米国特許庁がハッキングされ、商標アプリがアクセスされる

米国特許商標庁 (USPTO) は、60,000 人を超える商標出願人に対し、物理アドレスが誤って XNUMX 年間公衆インターネットに公開されたままになっていたと通知しました。

A 漏洩した API によれば、犯人は彼だった レポート、米国特許商標庁に商標を申請する際に必須となる、出願人から収集した住所を含むデータセットを公開したままにした。

「問題を発見したとき、私たちはすべてのUSPTOの重要でないAPIへのアクセスをブロックし、恒久的な修正が実装されるまで影響を受けたバルクデータ製品を削除しました」と影響を受けた申告者に送信され、TechCrunchと共有された通知には書かれている。

広報担当者は、この漏洩は3年間に提出された出願の約XNUMX％に影響を与えたと付け加えた。

「残念なことに、私たちはいくつかのより技術的な出口ポイントを特定することができず、それらのポイントからエクスポートされたデータを適切にマスクすることができませんでした。」 USPTOの広報担当者は付け加えた。 「私たちは自分たちの間違いを謝罪し、このような事件が二度と起こらないように努めると同時に、海外で起きている歴史的な量の申告詐欺を取り締まる能力を維持するつもりです。」

Cequence Security に所属するハッカー、ジェイソン・ケント氏は Dark Reading に提供した声明の中で、この種の攻撃は次のように述べています。 APIの設定ミス まさにサイバー攻撃者がインターネット上で探し回っているものです。

「攻撃者はより技術的な出口ポイントを好む傾向があります」とケント氏は言う。 「2023 年の API セキュリティ用語では、API9:2023 不適切なインベントリ管理により、攻撃者がエンドポイントを見つけ、それが認証されていないことを知ることができました。 API2:2023 壊れたユーザー認証により、自動化された攻撃者が影響を受けるすべての情報を取得できる可能性がありました。」非常に短期間のデータ、API6:2023 機密性の高いビジネス フローへの無制限のアクセス。」