Oficiul de brevete din SUA a fost piratat, au fost accesate aplicații pentru mărci comerciale

Oficiul american de brevete și mărci comerciale (USPTO) a informat peste 60,000 de solicitanți ai cererilor de mărci comerciale că și-a lăsat în mod eronat adresele fizice expuse internetului public timp de trei ani.

A API leaky a fost vinovatul, potrivit Rapoarte, și au lăsat expuse seturi de date, inclusiv adrese colectate de la solicitanți, care sunt obligatorii atunci când aceștia solicită o marcă comercială la USPTO.

„Când am descoperit problema, am blocat accesul la toate API-urile necritice ale USPTO și am eliminat produsele de date în vrac afectate până când a putut fi implementată o remediere permanentă”, se arată în notificarea trimisă persoanelor afectate și distribuită TechCrunch.

Un purtător de cuvânt a adăugat că scurgerea a afectat aproximativ 3% dintre cererile depuse în perioada de trei ani.

Din păcate, nu am reușit să găsim unele dintre punctele de ieșire mai tehnice și să mascam corect datele exportate din acele puncte.” a adăugat un purtător de cuvânt al USPTO. „Ne cerem scuze pentru greșeala noastră și vom face mai bine să prevenim ca un astfel de incident să se repete, păstrând totodată capacitatea noastră de a reprima cantitatea istorică de fraudă pe care o vedem că provine de peste mări.”

Jason Kent, hacker care locuiește la Cequence Security, a declarat într-o declarație furnizată lui Dark Reading că acest tip de Configurare greșită a API este exact ceea ce caută atacatorii cibernetici pe internet.

„Punctele de ieșire mai tehnice sunt cele pe care atacatorii tind să le prefere”, a spus Kent. „În limbajul de securitate API 2023, aveau API9:2023 Improprie Inventory Management care permitea unui atacator să găsească punctul final, aflați că nu era autentificat API2:2023 Broken User Authentication care ar fi putut permite unui atacator automat să atragă toate elementele afectate. date într-o perioadă foarte scurtă de timp, API6:2023 Acces nerestricționat la fluxuri de afaceri sensibile.”