Los puntajes crediticios de millones de estadounidenses quedaron expuestos en línea cuando un prestamista hizo un mal uso de la API de una agencia de informes crediticios. Experian.
Como mencioné por primera vez antes Crips en seguridadEl investigador de seguridad independiente Bill Demercapi estaba buscando proveedores de préstamos estudiantiles en línea cuando descubrió que podía obtener fácilmente su crédito de Experian simplemente ingresando solo una parte de la información que normalmente se requiere para hacerlo.
Demircapi estaba en un sitio que ofrecía verificar su elegibilidad para el préstamo simplemente ingresando su nombre, dirección y fecha de nacimiento. Por lo general, cuando se usa un archivo Servicio de monitoreo de crédito, Los estadounidenses también deben introducir Número de protección social Para alcanzar sus puntajes crediticios.
Después de proporcionar la información necesaria, Demirkapi echó un vistazo al código en el sitio web del prestamista y luego descubrió que la empresa estaba llamando a la API de Experian. Dio más detalles sobre la importancia de su descubrimiento en una declaración a Crips en seguridad, diciendo:
«Nadie debería poder realizar una verificación de crédito de Experian utilizando sólo información disponible públicamente. Experian debería solicitar información no pública para consultas promocionales, de lo contrario, un atacante que encuentre una sola vulnerabilidad en un proveedor puede hacer un mal uso del sistema de Experian».
Exponiendo Experian a la API
Para empeorar las cosas, Demirkapi también descubrió que se puede acceder a la API de Experian que se llama en el sitio web del prestamista específico sin ningún tipo de Autenticación. De hecho, incluso pudo ingresar todos los ceros en el campo de fecha de nacimiento del sitio para obtener el puntaje crediticio de una persona.
Es desde aquí que Demirkapi construyó su propia casa. Herramienta de línea de comandos Para acelerar estas búsquedas, llamé «Utilidad de búsqueda de puntaje crediticio genial de Bill». Además de poder retirar el puntaje crediticio de una persona, Experian API también proporciona información sobre hasta cuatro «factores de riesgo» que podrían explicar por qué sus puntajes pueden no ser tan altos.
Al final, Demirkapi se puso en contacto con Experian y la empresa pudo averiguar qué prestamista ofrece su API en Internet. Experian dijo en un comunicado que se toma la seguridad de los datos y asuntos como este muy en serio, diciendo:
«Pudimos confirmar un caso en el que ocurrió esta situación y tomamos medidas para alertar a nuestro socio y resolver el problema. Si bien la situación no implicó ni puso en peligro a ninguno de los sistemas de Experian, nos tomamos esto muy en serio. La seguridad de los datos siempre ha sido y siempre será nuestra máxima prioridad «.
A través de Crips en seguridad
«Estudiante amistoso. Jugador certificado. Evangelista de las redes sociales. Fanático de Internet. Se cae mucho. Futuro ídolo adolescente».