미국 특허청이 해킹되어 상표 앱에 액세스됨

미국 특허상표청(USPTO)은 60,000명 이상의 상표 출원 제출자에게 실수로 실제 주소가 XNUMX년 동안 공공 인터넷에 노출되었다고 통보했습니다.

A 누출된 API 에 따르면 범인이었다 보고서, USPTO에 상표를 출원할 때 필수인 신청자로부터 수집한 주소를 포함하여 데이터 세트가 노출되었습니다.

"문제를 발견했을 때 우리는 모든 USPTO 중요하지 않은 API에 대한 액세스를 차단하고 영구적인 수정이 구현될 때까지 영향을 받은 대량 데이터 제품을 중단했습니다."라는 알림이 영향을 받은 파일러에게 전송되고 TechCrunch 읽기와 공유되었습니다.

대변인은 이 유출이 3년 동안 접수된 신청서의 약 XNUMX%에 영향을 미쳤다고 덧붙였습니다.

"유감스럽게도 좀 더 기술적인 종료 지점을 찾고 해당 지점에서 내보낸 데이터를 적절하게 마스킹하는 데 실패했습니다.” USPTO 대변인이 추가되었습니다. “우리는 실수에 대해 사과하고 이러한 사건이 다시는 발생하지 않도록 최선을 다하는 동시에 해외에서 발생하고 있는 역사적 규모의 신고 사기 사건을 단속할 수 있는 능력을 유지하도록 노력할 것입니다.”

Cequence Security에 상주하는 해커인 Jason Kent는 Dark Reading에 제공된 성명에서 이러한 유형의 공격이 다음과 같이 말했습니다. API 구성 오류 사이버 공격자들이 인터넷을 통해 탐색하는 것이 바로 그것입니다.

Kent는 "공격자들이 더 기술적인 출구 지점을 선호하는 경향이 있습니다."라고 말했습니다. “2023년 API 보안 용어로 말하면 API9:2023 부적절한 인벤토리 관리를 통해 공격자가 엔드포인트를 찾을 수 있었고 인증되지 않았다는 사실을 알게 되었습니다. API2:2023 손상된 사용자 인증으로 인해 자동화된 공격자가 영향을 받은 모든 항목을 가져올 수 있었습니다. API6:2023 민감한 비즈니스 흐름에 대한 무제한 액세스.”