0
0
O Escritório de Marcas e Patentes dos EUA (USPTO) informou a mais de 60.000 depositantes de pedidos de registro de marca que deixou seus endereços físicos expostos à Internet pública por três anos.
Uma API vazada foi a culpada, de acordo com relatos, e deixou conjuntos de dados expostos, incluindo endereços coletados de requerentes, que são obrigatórios quando eles registram uma marca no USPTO.
“Quando descobrimos o problema, bloqueamos o acesso a todas as APIs não críticas do USPTO e removemos os produtos de dados em massa afetados até que uma correção permanente pudesse ser implementada”, diz o aviso enviado aos arquivadores afetados e compartilhado com o TechCrunch.
Um porta-voz acrescentou que o vazamento afetou cerca de 3% dos pedidos protocolados durante o período de três anos.
“Lamentavelmente, não conseguimos localizar alguns dos pontos de saída mais técnicos e mascarar adequadamente os dados exportados desses pontos”, acrescentou um porta-voz do USPTO. “Pedimos desculpas por nosso erro e faremos melhor para evitar que tal incidente aconteça novamente, ao mesmo tempo em que preservamos nossa capacidade de reprimir a quantidade histórica de fraudes de arquivamento que estamos vendo originadas no exterior.”
Jason Kent, hacker residente da Cequence Security, disse em um comunicado fornecido à Dark Reading que esse tipo de configuração incorreta de API é justamente o que os ciberatacantes estão buscando na Internet.
“Os pontos de saída mais técnicos são aqueles que os atacantes tendem a preferir”, disse Kent. “No jargão de segurança da API de 2023, eles tinham o Gerenciamento de Inventário Impróprio API9:2023 que permitia que um invasor encontrasse o ponto de extremidade, aprendesse que não era autenticado API2:2023 Broken User Authentication que poderia ter permitido que um invasor automatizado extraísse todos os dados afetados em um período muito curto de tempo, API6:2023 Unrestricted Access to Sensitive Business Flows.”
FONTE: DARK READING