Escritório de patentes dos EUA hackeado, aplicativos de marcas registradas acessados

O Escritório de Marcas e Patentes dos EUA (USPTO) informou a mais de 60,000 depositantes de pedidos de marcas registradas que deixou, por engano, seus endereços físicos expostos à Internet pública durante três anos.

A API com vazamento foi o culpado, segundo relatóriose deixou conjuntos de dados expostos, incluindo endereços coletados de requerentes, que são obrigatórios quando eles solicitam uma marca no USPTO.

“Quando descobrimos o problema, bloqueamos o acesso a todas as APIs não críticas do USPTO e retiramos os produtos de dados em massa afetados até que uma correção permanente pudesse ser implementada”, dizia o aviso enviado aos arquivadores afetados e compartilhado com o TechCrunch.

Um porta-voz acrescentou que o vazamento afetou cerca de 3% dos pedidos apresentados durante o período de três anos.

"Lamentavelmente, não conseguimos localizar alguns dos pontos de saída mais técnicos e mascarar adequadamente os dados exportados desses pontos”, acrescentou um porta-voz do USPTO. “Pedimos desculpas pelo nosso erro e faremos o melhor para evitar que tal incidente aconteça novamente, preservando ao mesmo tempo a nossa capacidade de reprimir a quantidade histórica de fraudes de arquivamento que estamos vendo originadas no exterior.”

Jason Kent, hacker residente da Cequence Security, disse em comunicado fornecido à Dark Reading que esse tipo de Configuração incorreta da API é precisamente o que os ciberataques procuram na Internet.

“Os pontos de saída mais técnicos são aqueles que os atacantes tendem a preferir”, disse Kent. “No jargão de segurança da API de 2023, eles tinham API9:2023 Improper Inventory Management que permitiu que um invasor encontrasse o endpoint, descobrisse que não era autenticado API2:2023 Broken User Authentication que poderia ter permitido que um invasor automatizado extraísse todos os afetados dados em um período muito curto de tempo, API6:2023 Acesso irrestrito a fluxos de negócios sensíveis.”