משרד הפטנטים האמריקאי פרוץ, גישה לאפליקציות סימן מסחרי

משרד הפטנטים והסימנים המסחריים של ארה"ב (USPTO) הודיע ​​ליותר מ-60,000 מגישי בקשה לסימנים מסחריים כי השאיר בטעות את הכתובות הפיזיות שלהם חשופות לאינטרנט הציבורי למשך שלוש שנים.

A API דולף היה האשם, לפי דיווחים, והשאירו מערכי נתונים חשופים, כולל כתובות שנאספו מפונים, שהן חובה כאשר הם מגישים בקשה לסימן מסחרי ל-USPTO.

"כשגילינו את הבעיה, חסמנו את הגישה לכל ממשקי ה-API הלא קריטיים של USPTO והורדנו את מוצרי הנתונים המרובים המושפעים עד שניתן היה ליישם תיקון קבוע", נכתב בהודעה שנשלחה למאגרים המושפעים ושותפה עם TechCrunch.

דובר הוסיף כי ההדלפה השפיעה על כ-3% מהבקשות שהוגשו במהלך שלוש השנים.

"למרבה הצער, לא הצלחנו לאתר כמה מנקודות היציאה הטכניות יותר ולהסוות כראוי את הנתונים שיוצאו מאותן נקודות." הוסיף דובר USPTO. "אנו מתנצלים על הטעות שלנו ונעשה טוב יותר כדי למנוע מאירוע כזה לקרות שוב, תוך כדי שמירה על יכולתנו לפצח את הכמות ההיסטורית של הונאות הגשות שאנו רואים שמקורן בחו"ל".

ג'ייסון קנט, האקר ב-Cequence Security, אמר בהצהרה שמסרה ל-Dark Reading כי סוג זה של תצורת API שגויה זה בדיוק מה שתוקפי סייבר סוררים ברחבי האינטרנט.

"נקודות היציאה הטכניות יותר הן אלו שהתוקפים נוטים להעדיף", אמר קנט. "בעגת אבטחת API 2023, היה להם API9:2023 ניהול מלאי לא תקין שאיפשר לתוקף למצוא את נקודת הקצה, ללמוד שזה לא היה אימות API2:2023 Broken User Authentication שיכול היה לאפשר לתוקף אוטומטי למשוך את כל המושפעים נתונים בפרק זמן קצר מאוד, API6:2023 גישה בלתי מוגבלת לזרימות עסקיות רגישות."