US Patent Office hackad, varumärkesappar åtkomliga

US Patent and Trademark Office (USPTO) informerade mer än 60,000 XNUMX varumärkesansökningar om att de av misstag lämnade deras fysiska adresser exponerade för det offentliga Internet i tre år.

A läckande API var den skyldige, enligt rapporter, och lämnade datauppsättningar exponerade, inklusive adresser som samlats in från sökande, vilket är obligatoriskt när de ansöker om ett varumärke hos USPTO.

"När vi upptäckte problemet blockerade vi åtkomst till alla USPTO icke-kritiska API:er och tog ner de påverkade bulkdataprodukterna tills en permanent korrigering kunde implementeras", stod det i meddelandet som skickades till berörda filer och delas med TechCrunch.

En talesperson tillade att läckan påverkade cirka 3 % av de ansökningar som lämnades in under treårsperioden.

"Vi misslyckades tyvärr med att lokalisera några av de mer tekniska utgångspunkterna och korrekt maskera data som exporterades från dessa punkter." tillade en talesman för USPTO. "Vi ber om ursäkt för vårt misstag och kommer att göra bättre för att förhindra att en sådan incident inträffar igen, samtidigt som vi bevarar vår förmåga att slå ner på den historiska mängden anmälningsbedrägerier som vi ser kommer utomlands.”

Jason Kent, hackare i bostad med Cequence Security, sa i ett uttalande till Dark Reading att denna typ av API felkonfiguration är precis vad cyberattackare letar efter över hela Internet.

"De mer tekniska utgångspunkterna är de som angriparna tenderar att föredra," sa Kent. "I 2023 API-säkerhetsspråk hade de API9:2023 felaktig lagerhantering som gjorde det möjligt för en angripare att hitta slutpunkten, lära sig att den inte var autentiserad API2:2023 Broken User Authentication som kunde ha tillåtit en automatiserad angripare att dra alla de drabbade data under en mycket kort tidsperiod, API6:2023 obegränsad tillgång till känsliga affärsflöden."