Данные почтой!

Государственная почтовая служба США United States Postal Service (USPS) предоставляет пользователям сервис Informed Delivery, с помощью которого можно увидеть, какую почту в этот день доставит почтальон. Сервис сканирует внешнюю часть корреспонденции и пользователи могут в онлайне посмотреть, например, ждать ли в этот день важное письмо.

Оказалось, что в API этого сервиса была обнаружена уязвимость, позволявшая получить доступ к персональным данным 60 миллионов пользователей, отправляя произвольные запросы к сервису. Данные включали в себя имя пользователя, его имейл, физический адрес, номер телефона и другую информацию. Интересно, что уязвимость была обнаружена около года назад, и все это время обнаруживший её эксперт пытался связаться с разработчиками сервиса, чтобы они исправили эту проблему. Только после того, как анонимный исследователь сообщил о проблеме известному эксперту по безопасности Брайану Креббсу и тот связался с USPS, проблема была исправлена.

Большая статья, включая пример уязвимого API, по ссылке:
https://krebsonsecurity.com/2018/11/usps-site-exposed-data-on-60-million-users/