API漏洞导致美国专利和商标局数据泄露且长达数年

2023-11-20 23:10

本文主要是介绍API漏洞导致美国专利和商标局数据泄露且长达数年,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

53e8c23b29b746d4794eaab29caa2a5b.gif 聚焦源代码安全,网罗国内外最新资讯!

作者:Alessandro Mascellino

编译:代码卫士

美国专利和商标局 (USPTO) 最近披露了一起数据安全事件,涉及2020年2月至2023年3月期间某些商标备案文件中的住所信息。

7d877f184cb19e738088d707b66c3708.png

从所提交的信息来看,约6.1万个住所地址,即约3%的总申请受影响。受影响客户收到通知称,“2023年2月24日,我们发现公众不应看到的住所地址出现在记录中,可通过商标状态和文档审计 (TSDR) 系统的某些 API 检索到。”这些API 可使 USPTO 内外的不同软件应用从程序上检索数据。

通知指出,“进一步调查表明,同样的住所信息也出现在 https://bulkdata.uspto.gov 上的批量数据产品中。”这些数据文件通常用于学术和经济研究中。

一名发言人指出,“我们发现,USPTO 将数据泄露事件报告给该部门的资深隐私机构官员及其企业安全运营中心。” USPTO 强调称,目前并未发现数据滥用的整局,该事件并非源自恶意活动。然而,他们严肃对待数据安全并对错误表示遗憾。

Noname Security 公司的公共行业计划执行总监 Dean Philips 指出,“恶意人员和外国对手热衷于利用联邦机构信息,如果这些信息不受保护,那么黑客就很有可能收集信息用于恶意目的。智慧财产因而USPTO是美国长期经济健康发展的主要推动力。而某些对手的目标正是破坏这一推动力。”

同时,USPTO 表示自身并不具备像私营企业或州/当地机构那样的报告要求。虽然在商标申请中包括住所地址信息是宪法强制要求的,但USPTO 为个体提供了多种选项,如果他们有安全担忧,可以要求保密或无视该要求。无论如何,USPTO 表示已迅速采取措施解决该问题,包括拦截对非重要 API 的访问并删除受影响的大量数据产品。他们已执行一个永久性修复方案,以删除住所地址的更新版本修复了数据文件。

通知指出,“自2023年4月1日起,住所信息已得到妥善打码,所有漏洞均已修复。”

Salt Security 公司的现场首席技术官 Nick Rago 表示,数据泄露强调了组织机构主动且谨慎维护适当API清单的迫切性。Rago 提到,“在API 优先的应用程序世界中,组织机构经常暴露访问同样数据集但发挥不同作用的多个API。这就使组织机构持续发现环境中 API 的能力变得十分重要。”

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com


推荐阅读

奇安信入选全球《静态应用安全测试全景图》代表厂商

奇安信入选全球《软件成分分析全景图》代表厂商

OWASP 发布2023年十大 API 安全风险清单

研究员在微软 Azure API 管理服务中发现3个漏洞

丰田、奔驰、宝马等API漏洞暴露车主个人信息

金融服务业遭受的 web 应用和API攻击活动增长257%

Chromium 原型污染漏洞导致Sanitizer API 被绕过

原文链接

https://www.infosecurity-magazine.com/news/uspto-api-flaw-years-leak/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

8266052881d6bb78ff26294d38f4c1e8.jpeg

983149d721763ea015952acd045c88bd.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   6776d1514eeed143ba3ecb857edcc325.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

这篇关于API漏洞导致美国专利和商标局数据泄露且长达数年的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/398113

相关文章

Pandas统计每行数据中的空值的方法示例

《Pandas统计每行数据中的空值的方法示例》处理缺失数据(NaN值)是一个非常常见的问题,本文主要介绍了Pandas统计每行数据中的空值的方法示例,具有一定的参考价值,感兴趣的可以了解一下... 目录什么是空值?为什么要统计空值?准备工作创建示例数据统计每行空值数量进一步分析www.chinasem.cn处

如何使用 Python 读取 Excel 数据

《如何使用Python读取Excel数据》:本文主要介绍使用Python读取Excel数据的详细教程,通过pandas和openpyxl,你可以轻松读取Excel文件,并进行各种数据处理操... 目录使用 python 读取 Excel 数据的详细教程1. 安装必要的依赖2. 读取 Excel 文件3. 读

Spring 请求之传递 JSON 数据的操作方法

《Spring请求之传递JSON数据的操作方法》JSON就是一种数据格式,有自己的格式和语法,使用文本表示一个对象或数组的信息,因此JSON本质是字符串,主要负责在不同的语言中数据传递和交换,这... 目录jsON 概念JSON 语法JSON 的语法JSON 的两种结构JSON 字符串和 Java 对象互转

C++如何通过Qt反射机制实现数据类序列化

《C++如何通过Qt反射机制实现数据类序列化》在C++工程中经常需要使用数据类,并对数据类进行存储、打印、调试等操作,所以本文就来聊聊C++如何通过Qt反射机制实现数据类序列化吧... 目录设计预期设计思路代码实现使用方法在 C++ 工程中经常需要使用数据类,并对数据类进行存储、打印、调试等操作。由于数据类

SpringBoot使用GZIP压缩反回数据问题

《SpringBoot使用GZIP压缩反回数据问题》:本文主要介绍SpringBoot使用GZIP压缩反回数据问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录SpringBoot使用GZIP压缩反回数据1、初识gzip2、gzip是什么,可以干什么?3、Spr

SpringBoot集成Milvus实现数据增删改查功能

《SpringBoot集成Milvus实现数据增删改查功能》milvus支持的语言比较多,支持python,Java,Go,node等开发语言,本文主要介绍如何使用Java语言,采用springboo... 目录1、Milvus基本概念2、添加maven依赖3、配置yml文件4、创建MilvusClient

springboot项目中常用的工具类和api详解

《springboot项目中常用的工具类和api详解》在SpringBoot项目中,开发者通常会依赖一些工具类和API来简化开发、提高效率,以下是一些常用的工具类及其典型应用场景,涵盖Spring原生... 目录1. Spring Framework 自带工具类(1) StringUtils(2) Coll

SpringValidation数据校验之约束注解与分组校验方式

《SpringValidation数据校验之约束注解与分组校验方式》本文将深入探讨SpringValidation的核心功能,帮助开发者掌握约束注解的使用技巧和分组校验的高级应用,从而构建更加健壮和可... 目录引言一、Spring Validation基础架构1.1 jsR-380标准与Spring整合1

MySQL 中查询 VARCHAR 类型 JSON 数据的问题记录

《MySQL中查询VARCHAR类型JSON数据的问题记录》在数据库设计中,有时我们会将JSON数据存储在VARCHAR或TEXT类型字段中,本文将详细介绍如何在MySQL中有效查询存储为V... 目录一、问题背景二、mysql jsON 函数2.1 常用 JSON 函数三、查询示例3.1 基本查询3.2

SpringBatch数据写入实现

《SpringBatch数据写入实现》SpringBatch通过ItemWriter接口及其丰富的实现,提供了强大的数据写入能力,本文主要介绍了SpringBatch数据写入实现,具有一定的参考价值,... 目录python引言一、ItemWriter核心概念二、数据库写入实现三、文件写入实现四、多目标写入