I punteggi di credito di milioni di americani sono rimasti esposti online quando un prestatore ha abusato dell’API di un’agenzia di segnalazione del credito. Experian.
Come ho già detto per la prima volta Crips sulla sicurezzaIl ricercatore freelance di sicurezza Bill Demercapi stava cercando fornitori di prestiti per studenti online quando ha scoperto che poteva facilmente guadagnare il suo credito Experian semplicemente inserendo solo una parte delle informazioni normalmente richieste per farlo.
Demircapi era su un sito che si offriva di verificare la sua idoneità al prestito semplicemente inserendo il suo nome, indirizzo e data di nascita. Di solito quando si utilizza un file Servizio di monitoraggio del credito, Anche gli americani devono introdurre Numero di protezione sociale Per raggiungere i loro punteggi di credito.
Dopo aver fornito le informazioni necessarie, Demirkapi ha esaminato il codice sul sito Web dell’istituto di credito e ha scoperto che la società stava chiamando l’API di Experian. Ha fornito maggiori dettagli sull’importanza della sua scoperta in una dichiarazione a Crips sulla sicurezza, detto:
“Nessuno dovrebbe essere in grado di eseguire un controllo del credito Experian utilizzando solo informazioni disponibili pubblicamente. Experian dovrebbe richiedere informazioni non pubbliche per richieste promozionali, altrimenti un utente malintenzionato che trova una singola vulnerabilità in un fornitore può facilmente utilizzare in modo improprio il sistema di Experian”.
Esporre Experian all’API
A peggiorare le cose, Demirkapi ha anche scoperto che è possibile accedere all’API Experian richiamata sul sito Web del prestatore specifico senza alcun tipo di Autenticazione. In effetti, è stato persino in grado di inserire tutti gli zeri nel campo della data di nascita del sito per ottenere il punteggio di credito di una persona.
È da qui che Demirkapi ha costruito la sua casa Strumento da riga di comando Per velocizzare queste ricerche ho soprannominato “Bill’s Cool Credit Score Lookup Utility”. Oltre a poter ritirare il punteggio di credito di una persona, Experian API fornisce anche informazioni su un massimo di quattro “fattori di rischio” che potrebbero spiegare perché i loro punteggi potrebbero non essere così alti.
Alla fine, Demirkapi ha contattato Experian e la società è stata in grado di scoprire quale prestatore offre la sua API su Internet. Experian ha affermato in una dichiarazione che prende molto sul serio la sicurezza dei dati e questioni come questa, dicendo:
“Siamo stati in grado di confermare un caso in cui si è verificata questa situazione e abbiamo preso provvedimenti per allertare il nostro partner e risolvere il problema. Anche se la situazione non ha implicato o messo in pericolo nessuno dei sistemi di Experian, prendiamo molto seriamente questo aspetto. sarà sempre la nostra massima priorità. “.
Attraverso Crips sulla sicurezza
“Internet savvy. TV fan. Infuriatingly humble analyst. Unapologetic Twitter pioneer. Freelance coffee fanatic.”