API漏洞导致美国专利和商标局数据泄露且长达数年

 聚焦源代码安全，网罗国内外最新资讯！

作者：Alessandro Mascellino

编译：代码卫士

美国专利和商标局 (USPTO) 最近披露了一起数据安全事件，涉及2020年2月至2023年3月期间某些商标备案文件中的住所信息。

从所提交的信息来看，约6.1万个住所地址，即约3%的总申请受影响。受影响客户收到通知称，“2023年2月24日，我们发现公众不应看到的住所地址出现在记录中，可通过商标状态和文档审计 (TSDR) 系统的某些 API 检索到。”这些API 可使 USPTO 内外的不同软件应用从程序上检索数据。

通知指出，“进一步调查表明，同样的住所信息也出现在 https://bulkdata.uspto.gov 上的批量数据产品中。”这些数据文件通常用于学术和经济研究中。

一名发言人指出，“我们发现，USPTO 将数据泄露事件报告给该部门的资深隐私机构官员及其企业安全运营中心。” USPTO 强调称，目前并未发现数据滥用的整局，该事件并非源自恶意活动。然而，他们严肃对待数据安全并对错误表示遗憾。

Noname Security 公司的公共行业计划执行总监 Dean Philips 指出，“恶意人员和外国对手热衷于利用联邦机构信息，如果这些信息不受保护，那么黑客就很有可能收集信息用于恶意目的。智慧财产因而USPTO是美国长期经济健康发展的主要推动力。而某些对手的目标正是破坏这一推动力。”

同时，USPTO 表示自身并不具备像私营企业或州/当地机构那样的报告要求。虽然在商标申请中包括住所地址信息是宪法强制要求的，但USPTO 为个体提供了多种选项，如果他们有安全担忧，可以要求保密或无视该要求。无论如何，USPTO 表示已迅速采取措施解决该问题，包括拦截对非重要 API 的访问并删除受影响的大量数据产品。他们已执行一个永久性修复方案，以删除住所地址的更新版本修复了数据文件。

通知指出，“自2023年4月1日起，住所信息已得到妥善打码，所有漏洞均已修复。”

Salt Security 公司的现场首席技术官 Nick Rago 表示，数据泄露强调了组织机构主动且谨慎维护适当API清单的迫切性。Rago 提到，“在API 优先的应用程序世界中，组织机构经常暴露访问同样数据集但发挥不同作用的多个API。这就使组织机构持续发现环境中 API 的能力变得十分重要。”

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

奇安信入选全球《静态应用安全测试全景图》代表厂商

奇安信入选全球《软件成分分析全景图》代表厂商

OWASP 发布2023年十大 API 安全风险清单

研究员在微软 Azure API 管理服务中发现3个漏洞

丰田、奔驰、宝马等API漏洞暴露车主个人信息

金融服务业遭受的 web 应用和API攻击活动增长257%

Chromium 原型污染漏洞导致Sanitizer API 被绕过

原文链接

https://www.infosecurity-magazine.com/news/uspto-api-flaw-years-leak/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~