Los puntajes de crédito de millones de estadounidenses se expusieron en línea cuando un prestamista hizo un mal uso de la API de una agencia de crédito Experian.
Según lo informado por primera vez por Cáncer sobre seguridadEl investigador de seguridad independiente Bill Demirkapi estaba buscando proveedores de préstamos estudiantiles en línea cuando descubrió que podía mejorar fácilmente su puntaje crediticio de Experian simplemente ingresando parte de la información que normalmente se requiere para hacerlo.
Demirkapi se encontró en un sitio web que ofrecía verificar su elegibilidad para el préstamo con solo ingresar su nombre, dirección y fecha de nacimiento. Por lo general, cuando se usa un Servicio de seguimiento de créditoLos estadounidenses también deben proporcionar los suyos Número de seguridad social para tener acceso a sus puntajes crediticios.
Después de que Demirkapi proporcionó la información requerida, miró el código en el sitio web del prestamista y descubrió que la compañía había llamado a la API de Experian. Dio más detalles sobre la importancia de su descubrimiento en un comunicado. Cáncer sobre seguridad, Diciendo:
“Nadie debería poder realizar una verificación crediticia de Experian solo con información disponible públicamente. Experian no debería requerir información pública para consultas publicitarias, de lo contrario, un atacante que haya encontrado una sola vulnerabilidad en un proveedor podría abusar fácilmente del sistema de Experian. ”
Exponer la API de Experian
Para empeorar las cosas, Demirkapi también señaló que se puede acceder a la API de Experian llamada en el sitio web de este prestamista en particular sin ningún tipo de acceso. Autenticación. De hecho, incluso podría poner todos los ceros en el campo de fecha de nacimiento del sitio para obtener la calificación crediticia de una persona.
A partir de aquí, Demirkapi construyó su propio Herramienta de línea de comandos para acelerar estas búsquedas, que él llamó “Utilidad de búsqueda de puntaje crediticio genial de Bill”. Además de la capacidad de obtener la solvencia de una persona, la API de Experian también proporciona información sobre hasta cuatro “factores de riesgo” que podrían explicar por qué su solvencia no es mayor.
Al final, Demirkapi se acercó a Experian y descubrieron qué prestamista hizo que su API estuviera disponible en línea. En un comunicado, Experian dijo que se toma muy en serio la seguridad de los datos y otros asuntos, diciendo:
“Hemos podido confirmar un solo caso en el que se ha presentado esta situación y hemos tomado medidas para alertar a nuestro socio y resolver el asunto. Si bien la situación no implicó ni afectó a ninguno de los sistemas Experian, nos tomamos este asunto muy en serio. La seguridad de los datos fue y es nuestra principal prioridad. “
encima Cáncer sobre seguridad
