美国专利商标局(USPTO)最近披露了一起数据安全事件,涉及2020年2月至2023年3月期间某些商标申请中的住所信息。
根据向Infosecurity提供的资料,在有关期间,约有6.1万个住所地址受到影响,占申请总数的3%。
一份发给受影响客户的通知写道:“在2023年2月24日,我们发现本应隐藏在公众视野之外的住所地址出现在通过商标状态和文件审查系统(TSDR)的一些应用程序编程接口(api)检索的记录中。”
这些api允许USPTO内外的不同软件应用程序以编程方式检索数据。通知称:“进一步调查显示,找到的大数据产品中也出现了相同的住所地址。”就上下文而言,这些数据文件通常用于学术和经济研究。
一位发言人通过电子邮件告诉Infosecurity:“发现后,USPTO向该部门负责隐私的高级机构官员及其企业安全运营中心报告了数据泄露。”
该厅强调,目前没有数据滥用的证据,事件也不是恶意活动造成的。然而,他们认真对待数据安全,并对错误感到后悔。
Noname Security公共部门项目执行总监Dean Phillips评论道:“恶意行为者会喜欢利用美国联邦机构的信息,如果在任何一段时间内不受保护,黑客很有可能会收集信息用于邪恶目的。”
与此同时,USPTO还澄清说,它没有与私营公司或地方机构相同的报告要求。
在商标申请中包括住所地址是法律规定的,但USPTO为个人提供了要求不披露或放弃要求的选择,如果他们有安全问题。
无论如何,该办公室表示已迅速采取行动解决这一问题,包括阻止对非关键api的访问,并删除受影响的批量数据产品。他们已经实施了一个永久性的修复,将数据文件替换为省略住所地址的更新版本。
自2023年4月1日起,住址被适当地掩盖,所有漏洞都得到了纠正。Salt Security公司的首席技术官Nick Rago表示,数据暴露凸显了企业积极主动、保持警惕、维护适当API库存的紧迫性。
Rago说:“在API优先的应用程序世界中,组织经常公开多个API,这些API可以访问相同的数据集,但服务于不同的目的。这使得组织有能力不断发现其环境中存在的API变得绝对必要。”
1801
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
