从所提交的信息来看,约6.1万个住所地址,即约3%的总申请受影响。受影响客户收到通知称,“2023年2月24日,我们发现公众不应看到的住所地址出现在记录中,可通过商标状态和文档审计 (TSDR) 系统的某些 API 检索到。”这些API 可使 USPTO 内外的不同软件应用从程序上检索数据。
通知指出,“进一步调查表明,同样的住所信息也出现在 https://bulkdata.uspto.gov 上的批量数据产品中。”这些数据文件通常用于学术和经济研究中。
一名发言人指出,“我们发现,USPTO 将数据泄露事件报告给该部门的资深隐私机构官员及其企业安全运营中心。” USPTO 强调称,目前并未发现数据滥用的整局,该事件并非源自恶意活动。然而,他们严肃对待数据安全并对错误表示遗憾。
Noname Security 公司的公共行业计划执行总监 Dean Philips 指出,“恶意人员和外国对手热衷于利用联邦机构信息,如果这些信息不受保护,那么黑客就很有可能收集信息用于恶意目的。智慧财产因而USPTO是美国长期经济健康发展的主要推动力。而某些对手的目标正是破坏这一推动力。”
同时,USPTO 表示自身并不具备像私营企业或州/当地机构那样的报告要求。虽然在商标申请中包括住所地址信息是宪法强制要求的,但USPTO 为个体提供了多种选项,如果他们有安全担忧,可以要求保密或无视该要求。无论如何,USPTO 表示已迅速采取措施解决该问题,包括拦截对非重要 API 的访问并删除受影响的大量数据产品。他们已执行一个永久性修复方案,以删除住所地址的更新版本修复了数据文件。
通知指出,“自2023年4月1日起,住所信息已得到妥善打码,所有漏洞均已修复。”
Salt Security 公司的现场首席技术官 Nick Rago 表示,数据泄露强调了组织机构主动且谨慎维护适当API清单的迫切性。Rago 提到,“在API 优先的应用程序世界中,组织机构经常暴露访问同样数据集但发挥不同作用的多个API。这就使组织机构持续发现环境中 API 的能力变得十分重要。”
原文始发于微信公众号(代码卫士):API漏洞导致美国专利和商标局数据泄露且长达数年
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论