ABD Patent ve Ticari Marka Ofisi (USPTO), 60.000’den fazla ticari marka başvurusunda bulunan kişiye, fiziksel adreslerini yanlışlıkla üç yıl boyunca halka açık İnternet’e açık bıraktığını bildirdi.
Raporlara göre suçlu, sızdıran bir API idi ve başvuru sahiplerinden toplanan ve USPTO’ya bir ticari marka başvurusu yaptıklarında zorunlu olan adresler de dahil olmak üzere veri setlerini açığa çıkardı.
Etkilenen dosyalayıcılara gönderilen ve TechCrunch ile paylaşılan bildirimde “Sorunu keşfettiğimizde, kritik olmayan tüm USPTO API’lerine erişimi engelledik ve etkilenen toplu veri ürünlerini kalıcı bir düzeltme uygulanana kadar kaldırdık” ifadesi okundu.
Bir sözcü, sızıntının üç yıllık süre içinde yapılan başvuruların yaklaşık %3’ünü etkilediğini ekledi.
“Maalesef daha teknik çıkış noktalarından bazılarını tespit edemedik ve bu noktalardan dışa aktarılan verileri düzgün bir şekilde maskeleyemedik.” bir USPTO sözcüsü eklendi. “Hatamız için özür dileriz ve denizaşırı ülkelerden kaynaklandığını gördüğümüz tarihi dosya dolandırıcılığını azaltma yeteneğimizi korurken, böyle bir olayın tekrar olmasını önlemek için daha iyisini yapacağız.”
Cequence Security’de ikamet eden bilgisayar korsanı Jason Kent, Dark Reading’e verdiği bir açıklamada, bu tür bir API yanlış yapılandırmasının tam olarak siber saldırganların İnternet’te aradıkları şey olduğunu söyledi.
Kent, “Daha teknik çıkış noktaları, saldırganların tercih etme eğiliminde oldukları noktalardır,” dedi. “2023 API güvenlik tabiriyle, bir saldırganın uç noktayı bulmasına izin veren API9:2023 Uygunsuz Envanter Yönetimine sahiplerdi, kimliği doğrulanmamış olduğunu öğrendiler API2:2023 Bozuk Kullanıcı Kimlik Doğrulaması, otomatik bir saldırganın etkilenen tüm API6:2023 Hassas İş Akışlarına Sınırsız Erişim.”