اداره ثبت اختراعات ایالات متحده هک شد، به برنامه های علامت تجاری دسترسی پیدا کرد

اداره ثبت اختراع و علائم تجاری ایالات متحده (USPTO) به بیش از 60,000 پرونده کننده درخواست علامت تجاری اطلاع داد که به اشتباه آدرس های فیزیکی آنها را به مدت سه سال در معرض اینترنت عمومی قرار داده است.

A API نشتی به گفته او مقصر بود گزارش، و مجموعه داده‌ها را در معرض دید قرار داد، از جمله آدرس‌های جمع‌آوری‌شده از متقاضیان، که هنگام ثبت علامت تجاری در USPTO اجباری هستند.

در اعلامیه‌ای که به فایل‌های آسیب‌دیده ارسال شد و با TechCrunch به اشتراک گذاشته شد، آمده است: «وقتی مشکل را کشف کردیم، دسترسی به همه APIهای غیر مهم USPTO را مسدود کردیم و محصولات داده‌های انبوه آسیب‌دیده را تا زمانی که بتوانیم یک اصلاح دائمی اجرا کنیم، حذف کردیم.

یک سخنگوی اضافه کرد که این نشت بر 3 درصد از درخواست های ثبت شده در طول دوره زمانی سه ساله تأثیر گذاشته است.

"ما متأسفانه نتوانستیم برخی از نقاط خروج فنی تر را پیدا کنیم و داده های صادر شده از آن نقاط را به درستی پنهان کنیم. یک سخنگوی USPTO افزود. "ما بابت اشتباه خود عذرخواهی می‌کنیم و بهتر است از تکرار چنین حادثه‌ای جلوگیری کنیم، در حالی که توانایی خود را برای سرکوب حجم تاریخی تقلب‌هایی که در خارج از کشور مشاهده می‌کنیم، حفظ می‌کنیم.»

جیسون کنت، هکر مستقر در Cequence Security، در بیانیه ای که به Dark Reading ارائه شده است، گفت که این نوع پیکربندی نادرست API دقیقاً همان چیزی است که مهاجمان سایبری در اینترنت به دنبال آن هستند.

کنت گفت: "نقاط خروجی فنی بیشتر، نقاطی هستند که مهاجمان ترجیح می دهند." «در اصطلاح امنیتی 2023 API، آن‌ها API9:2023 مدیریت موجودی نامناسب داشتند که به مهاجم اجازه می‌داد نقطه پایانی را پیدا کند، یاد بگیرند که API2: 2023 احراز هویت شکسته کاربر احراز هویت نشده بود که می‌توانست به مهاجم خودکار اجازه دهد همه موارد تحت‌تاثیر را بکشد. داده‌ها در مدت زمان بسیار کوتاه، API6:2023 دسترسی نامحدود به جریان‌های تجاری حساس».