近日，美国邮政署（United States Postal Service，USPS）修复了其网站的一个高危漏洞，该漏洞允许任何在usps.com拥有账户的用户查看和修改其他用户的账户信息，约有6000万用户受到影响。

有关该漏洞的消息最初是由知名网络安全记者Brian Krebs报道的，发现漏洞的安全研究人员在上周主动联系了他。

这位不愿透露姓名的安全研究人员表示，他在一年多以前就已经向USPS报告了这个漏洞，但一直没有收到回复。在Brian Krebs验证了漏洞的真实性并联系了USPS之后，该机构立即对其进行了修复。

根据Brian Krebs的报道，这个漏洞源于USPS 的一个应用程序接口（Application Programming Interface ，API）的身份验证缺陷。这个API与USPS的一项名为“ Informed Visibility” 的邮政服务计划有关，旨为企业、广告商和其他批量邮件发件人提供接近实时数据跟踪的能力，从而“做出更好的业务决策”。

“除了会暴露有关附近包裹和邮件的实时数据之外，该漏洞还允许任何登录usps.com用户向系统查询其他用户的帐户信息，如电子邮箱地址、用户名、用户ID、账号、街道地址、电话号码、授权用户、邮寄活动数据和其他信息。” Brian Krebs在他的文章中写道。

与该API相关的许多功能均支持“通配符”搜索参数，这也就意味着它们可以返回给定数据集的所有记录，而不需要搜索特定的术语。

安全研究人员发现，使用该API搜索一个特定的数据元素（即地址）可以检索共享数据的多个帐户。除了需要了解如何查看和修改由Chrome或Firefox等常规浏览器处理的数据元素之外，并不需要特殊的黑客工具来提取这些数据。

如果多个帐户共享一个公共数据元素（例如街道地址），那么使用该API进行搜索通常会显示多个记录的特定数据元素。例如，如果多个用户在同一物理地址进行注册，那么对电子邮件地址进行搜索就能够发现所有这些帐户。

Brian Krebs表示，这种漏洞是十分危险的，垃圾邮件发送者可能会将其滥用到多种恶意目的，包括网络钓鱼活动。

作为对该漏洞的修复，USPS增加了一个验证步骤，以防止对某些特定数据字段的未经授权修改。当用户尝试通过该API来修改与特定USPS帐户关联的电子邮件地址时，系统会提示发送到与该帐户关联的电子邮件地址的确认消息。好消息是，这个API似乎并没有暴露USPS帐户密码。