API漏洞导致美国专利和商标局数据泄露且长达数年

2023-11-20 23:10

本文主要是介绍API漏洞导致美国专利和商标局数据泄露且长达数年,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

53e8c23b29b746d4794eaab29caa2a5b.gif 聚焦源代码安全,网罗国内外最新资讯!

作者:Alessandro Mascellino

编译:代码卫士

美国专利和商标局 (USPTO) 最近披露了一起数据安全事件,涉及2020年2月至2023年3月期间某些商标备案文件中的住所信息。

7d877f184cb19e738088d707b66c3708.png

从所提交的信息来看,约6.1万个住所地址,即约3%的总申请受影响。受影响客户收到通知称,“2023年2月24日,我们发现公众不应看到的住所地址出现在记录中,可通过商标状态和文档审计 (TSDR) 系统的某些 API 检索到。”这些API 可使 USPTO 内外的不同软件应用从程序上检索数据。

通知指出,“进一步调查表明,同样的住所信息也出现在 https://bulkdata.uspto.gov 上的批量数据产品中。”这些数据文件通常用于学术和经济研究中。

一名发言人指出,“我们发现,USPTO 将数据泄露事件报告给该部门的资深隐私机构官员及其企业安全运营中心。” USPTO 强调称,目前并未发现数据滥用的整局,该事件并非源自恶意活动。然而,他们严肃对待数据安全并对错误表示遗憾。

Noname Security 公司的公共行业计划执行总监 Dean Philips 指出,“恶意人员和外国对手热衷于利用联邦机构信息,如果这些信息不受保护,那么黑客就很有可能收集信息用于恶意目的。智慧财产因而USPTO是美国长期经济健康发展的主要推动力。而某些对手的目标正是破坏这一推动力。”

同时,USPTO 表示自身并不具备像私营企业或州/当地机构那样的报告要求。虽然在商标申请中包括住所地址信息是宪法强制要求的,但USPTO 为个体提供了多种选项,如果他们有安全担忧,可以要求保密或无视该要求。无论如何,USPTO 表示已迅速采取措施解决该问题,包括拦截对非重要 API 的访问并删除受影响的大量数据产品。他们已执行一个永久性修复方案,以删除住所地址的更新版本修复了数据文件。

通知指出,“自2023年4月1日起,住所信息已得到妥善打码,所有漏洞均已修复。”

Salt Security 公司的现场首席技术官 Nick Rago 表示,数据泄露强调了组织机构主动且谨慎维护适当API清单的迫切性。Rago 提到,“在API 优先的应用程序世界中,组织机构经常暴露访问同样数据集但发挥不同作用的多个API。这就使组织机构持续发现环境中 API 的能力变得十分重要。”

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com


推荐阅读

奇安信入选全球《静态应用安全测试全景图》代表厂商

奇安信入选全球《软件成分分析全景图》代表厂商

OWASP 发布2023年十大 API 安全风险清单

研究员在微软 Azure API 管理服务中发现3个漏洞

丰田、奔驰、宝马等API漏洞暴露车主个人信息

金融服务业遭受的 web 应用和API攻击活动增长257%

Chromium 原型污染漏洞导致Sanitizer API 被绕过

原文链接

https://www.infosecurity-magazine.com/news/uspto-api-flaw-years-leak/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

8266052881d6bb78ff26294d38f4c1e8.jpeg

983149d721763ea015952acd045c88bd.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   6776d1514eeed143ba3ecb857edcc325.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

这篇关于API漏洞导致美国专利和商标局数据泄露且长达数年的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/398113

相关文章

Python获取中国节假日数据记录入JSON文件

《Python获取中国节假日数据记录入JSON文件》项目系统内置的日历应用为了提升用户体验,特别设置了在调休日期显示“休”的UI图标功能,那么问题是这些调休数据从哪里来呢?我尝试一种更为智能的方法:P... 目录节假日数据获取存入jsON文件节假日数据读取封装完整代码项目系统内置的日历应用为了提升用户体验,

Java利用JSONPath操作JSON数据的技术指南

《Java利用JSONPath操作JSON数据的技术指南》JSONPath是一种强大的工具,用于查询和操作JSON数据,类似于SQL的语法,它为处理复杂的JSON数据结构提供了简单且高效... 目录1、简述2、什么是 jsONPath?3、Java 示例3.1 基本查询3.2 过滤查询3.3 递归搜索3.4

MySQL大表数据的分区与分库分表的实现

《MySQL大表数据的分区与分库分表的实现》数据库的分区和分库分表是两种常用的技术方案,本文主要介绍了MySQL大表数据的分区与分库分表的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有... 目录1. mysql大表数据的分区1.1 什么是分区?1.2 分区的类型1.3 分区的优点1.4 分

Mysql删除几亿条数据表中的部分数据的方法实现

《Mysql删除几亿条数据表中的部分数据的方法实现》在MySQL中删除一个大表中的数据时,需要特别注意操作的性能和对系统的影响,本文主要介绍了Mysql删除几亿条数据表中的部分数据的方法实现,具有一定... 目录1、需求2、方案1. 使用 DELETE 语句分批删除2. 使用 INPLACE ALTER T

Python Dash框架在数据可视化仪表板中的应用与实践记录

《PythonDash框架在数据可视化仪表板中的应用与实践记录》Python的PlotlyDash库提供了一种简便且强大的方式来构建和展示互动式数据仪表板,本篇文章将深入探讨如何使用Dash设计一... 目录python Dash框架在数据可视化仪表板中的应用与实践1. 什么是Plotly Dash?1.1

基于Flask框架添加多个AI模型的API并进行交互

《基于Flask框架添加多个AI模型的API并进行交互》:本文主要介绍如何基于Flask框架开发AI模型API管理系统,允许用户添加、删除不同AI模型的API密钥,感兴趣的可以了解下... 目录1. 概述2. 后端代码说明2.1 依赖库导入2.2 应用初始化2.3 API 存储字典2.4 路由函数2.5 应

Redis 中的热点键和数据倾斜示例详解

《Redis中的热点键和数据倾斜示例详解》热点键是指在Redis中被频繁访问的特定键,这些键由于其高访问频率,可能导致Redis服务器的性能问题,尤其是在高并发场景下,本文给大家介绍Redis中的热... 目录Redis 中的热点键和数据倾斜热点键(Hot Key)定义特点应对策略示例数据倾斜(Data S

Python实现将MySQL中所有表的数据都导出为CSV文件并压缩

《Python实现将MySQL中所有表的数据都导出为CSV文件并压缩》这篇文章主要为大家详细介绍了如何使用Python将MySQL数据库中所有表的数据都导出为CSV文件到一个目录,并压缩为zip文件到... python将mysql数据库中所有表的数据都导出为CSV文件到一个目录,并压缩为zip文件到另一个

SpringBoot整合jasypt实现重要数据加密

《SpringBoot整合jasypt实现重要数据加密》Jasypt是一个专注于简化Java加密操作的开源工具,:本文主要介绍详细介绍了如何使用jasypt实现重要数据加密,感兴趣的小伙伴可... 目录jasypt简介 jasypt的优点SpringBoot使用jasypt创建mapper接口配置文件加密

使用Python高效获取网络数据的操作指南

《使用Python高效获取网络数据的操作指南》网络爬虫是一种自动化程序,用于访问和提取网站上的数据,Python是进行网络爬虫开发的理想语言,拥有丰富的库和工具,使得编写和维护爬虫变得简单高效,本文将... 目录网络爬虫的基本概念常用库介绍安装库Requests和BeautifulSoup爬虫开发发送请求解