US Patent Office hacket, varemerkeapper åpnet

Det amerikanske patent- og varemerkekontoret (USPTO) informerte mer enn 60,000 XNUMX varemerkesøkere om at det ved en feiltakelse la deres fysiske adresser eksponert for det offentlige Internett i tre år.

A lekk API var den skyldige, ifølge rapporter, og etterlot datasett eksponert, inkludert adresser samlet inn fra søkere, som er obligatoriske når de søker om et varemerke til USPTO.

"Da vi oppdaget problemet, blokkerte vi tilgangen til alle USPTO ikke-kritiske APIer og fjernet de berørte bulkdataproduktene til en permanent løsning kunne implementeres," står det i meldingen som ble sendt til berørte filer og delt med TechCrunch.

En talsperson la til at lekkasjen påvirket omtrent 3 % av søknadene som ble sendt inn i løpet av treårsperioden.

"Vi klarte dessverre ikke å finne noen av de mer tekniske utgangspunktene og maskere dataene som ble eksportert fra disse punktene på riktig måte.» la en talsperson for USPTO til. "Vi beklager feilen vår og vil gjøre det bedre for å forhindre at en slik hendelse gjentar seg, samtidig som vi bevarer vår evne til å slå ned på den historiske mengden innleveringssvindel vi ser kommer fra utlandet.»

Jason Kent, hacker hjemme hos Cequence Security, sa i en uttalelse gitt til Dark Reading at denne typen API feilkonfigurasjon er nettopp det nettangripere tråler etter på Internett.

"De mer tekniske utgangspunktene er de angriperne pleier å foretrekke," sa Kent. "I 2023 API-sikkerhetsspråk hadde de API9:2023 Feil Inventory Management som gjorde det mulig for en angriper å finne endepunktet, finne ut at det ikke var autentisert API2:2023 Broken User Authentication som kunne ha tillatt en automatisert angriper å trekke alle de berørte data på svært kort tid, API6:2023 ubegrenset tilgang til sensitive forretningsflyter.»