Az Egyesült Államok Szabadalmi Hivatalát feltörték, védjegyalkalmazásokhoz hozzáfértek

Az Egyesült Államok Szabadalmi és Védjegyhivatala (USPTO) több mint 60,000 XNUMX védjegybejelentőt tájékoztatott arról, hogy tévedésből három éven keresztül a nyilvános interneten hagyta a fizikai címüket.

A szivárgó API szerint volt a tettes jelentések, és nyilvánosságra hagyott adatkészleteket, beleértve a kérelmezőktől gyűjtött címeket, amelyek kötelezőek, amikor védjegyet kérnek az USPTO-hoz.

„Amikor felfedeztük a problémát, letiltottuk a hozzáférést az összes USPTO nem kritikus API-hoz, és eltávolítottuk az érintett tömeges adattermékeket mindaddig, amíg végleges javítást nem hajtottak végre” – olvasható az érintett fájlkezelőknek elküldött és a TechCrunch-cal megosztott közleményben.

A szóvivő hozzátette, a kiszivárogtatás a három év alatt benyújtott kérelmek mintegy 3%-át érintette.

"Sajnálatos módon nem sikerült megtalálnunk néhány technikaibb kilépési pontot, és nem sikerült megfelelően elfednünk az ezekről a pontokról exportált adatokat.” – tette hozzá az USPTO szóvivője. "Elnézést kérünk a hibánkért, és jobban teszünk, hogy megakadályozzuk az ilyen esetek megismétlődését, ugyanakkor megőrizzük képességünket arra, hogy felszámoljunk a tengerentúlról származó, történelmi mennyiségű bejelentési csalást.”

Jason Kent, a Cequence Security hackere a Dark Readingnek adott nyilatkozatában azt mondta, hogy az ilyen típusú API hibás konfiguráció pontosan ez az, amit a kibertámadók keresnek az interneten keresztül.

„A támadók általában a technikaibb kilépési pontokat részesítik előnyben” – mondta Kent. „A 2023-as API biztonsági szóhasználatában API9:2023 Nem megfelelő készletkezelést alkalmaztak, amely lehetővé tette a támadó számára, hogy megtalálja a végpontot, és megtudja, hogy nem volt hitelesített API2:2023 Broken User Authentication, amely lehetővé tette volna az automatizált támadó számára, hogy az összes érintettet lekérje. adatok nagyon rövid időn belül, API6:2023 Korlátlan hozzáférés az érzékeny üzleti folyamatokhoz.”