Văn phòng bằng sáng chế Hoa Kỳ bị tấn công, các ứng dụng nhãn hiệu bị truy cập

Văn phòng Bằng sáng chế và Thương hiệu Hoa Kỳ (USPTO) đã thông báo cho hơn 60,000 người nộp đơn đăng ký nhãn hiệu rằng họ đã để nhầm địa chỉ thực của họ trên Internet công cộng trong ba năm.

A API bị rò rỉ là thủ phạm, theo báo cáovà để lộ các bộ dữ liệu, bao gồm cả địa chỉ được thu thập từ người nộp đơn, đây là điều bắt buộc khi họ nộp đơn đăng ký nhãn hiệu cho USPTO.

“Khi phát hiện ra sự cố, chúng tôi đã chặn quyền truy cập vào tất cả các API không quan trọng của USPTO và gỡ bỏ các sản phẩm dữ liệu hàng loạt bị ảnh hưởng cho đến khi có thể triển khai bản sửa lỗi vĩnh viễn”, thông báo được gửi tới những người quay phim bị ảnh hưởng và chia sẻ với TechCrunch cho biết.

Người phát ngôn cho biết thêm vụ rò rỉ đã ảnh hưởng đến khoảng 3% số đơn đăng ký được nộp trong khoảng thời gian ba năm.

"Đáng tiếc là chúng tôi đã không xác định được một số điểm thoát mang tính kỹ thuật hơn và che giấu đúng cách dữ liệu được xuất từ ​​những điểm đó,” người phát ngôn của USPTO cho biết thêm. “Chúng tôi xin lỗi vì sai lầm của mình và sẽ làm tốt hơn để ngăn chặn sự cố như vậy xảy ra lần nữa, đồng thời duy trì khả năng trấn áp số lượng gian lận nộp hồ sơ lịch sử mà chúng tôi thấy có nguồn gốc từ nước ngoài.”

Jason Kent, hacker làm việc tại Cequence Security, cho biết trong một tuyên bố cung cấp cho Dark Reading rằng loại hình này Cấu hình sai API chính xác là những gì những kẻ tấn công mạng đang truy tìm trên Internet.

Kent nói: “Các điểm thoát mang tính kỹ thuật cao hơn là những điểm mà những kẻ tấn công có xu hướng ưa thích”. “Theo cách nói bảo mật API năm 2023, họ có API9:2023 Quản lý khoảng không quảng cáo không đúng cách cho phép kẻ tấn công tìm điểm cuối, biết rằng đó không phải là xác thực API2:2023 Xác thực người dùng bị hỏng có thể cho phép kẻ tấn công tự động lấy tất cả những gì bị ảnh hưởng dữ liệu trong một khoảng thời gian rất ngắn, API6:2023 Quyền truy cập không hạn chế vào các luồng kinh doanh nhạy cảm.”