Experian API leckt die Credit Scores der meisten Amerikaner

Cyber Security News

Forscher befürchten eine breitere Aufdeckung inmitten einer lauwarmen Reaktion von Experian.

Ein Forscher behauptet, dass die Kredit-Scores von fast jedem Amerikaner durch ein API-Tool von der Experian Kreditbüro verwendet ausgesetzt wurden, dass er sagte, wurde auf einem Kreditgeber Website ohne auch grundlegende Sicherheitsmaßnahmen offen gelassen.

Experian spielte Bedenken aus der Sicherheitsgemeinschaft herunter, dass das Problem systemisch sein könnte.

Das Tool, genannt Experian Connect API, ermöglicht Kreditgebern die Automatisierung von FICO-Score-Abfragen. Bill Demirkapi ist Student am Rochester Institute of Technology und war auf der Suche nach einem Studentenkredit, als er einen Kreditgeber fand, der seine Kreditwürdigkeit mit nur einem Namen, einer Adresse und einem Geburtsdatum prüfte, so ein veröffentlichter Bericht.

Nehmen Sie an Threatposts LIVE-Roundtable-Veranstaltung “Fortifying Your Business Against Ransomware, DDoS & Cryptojacking Attacks” am Mittwoch, den 12. Mai um 14:00 Uhr EDT teil. Dieses KOSTENLOSE Webinar wird von Zoho ManageEngine gesponsert.

Demirkapi war überrascht und beschloss, einen Blick auf den Code zu werfen, der zeigte, dass eine Verbindung zu einer Experian-API hinter dem Tool steckte, sagte er.

“Niemand sollte in der Lage sein, eine Experian-Kreditprüfung nur mit öffentlich zugänglichen Informationen durchzuführen”, sagte Demirkapi gegenüber Krebs On Security, die als erste die Geschichte des Lecks veröffentlicht hat. “Experian sollte nicht-öffentliche Informationen für Werbeanfragen vorschreiben, sonst könnte ein Angreifer, der eine einzige Schwachstelle bei einem Anbieter gefunden hat, das System von Experian leicht missbrauchen.”

Demirkapi sagte, dass er sogar in der Lage war, ein Kommandozeilen-Tool zu bauen, das es ihm ermöglichte, Lookups zu automatisieren, selbst nachdem er alle Nullen in die Felder für das Geburtsdatum eingegeben hatte, was er “Bill’s Cool Credit Score Lookup Utility” nannte.

Lesen Sie über die Schwachstelle, die ich bei @Experian gefunden habe, wo sie die privaten Kreditinformationen der meisten Amerikaner verkaufen und nur einen Namen und eine Adresse benötigen 🙃 https://t.co/rXW1yVh65a

– Bill Demirkapi (@BillDemirkapi) April 28, 2021

Zusätzlich zu den rohen Kredit-Scores sagte Krebs, dass er in der Lage war, die API-Verbindung zu nutzen, um “Risikofaktoren” von Experian zu erhalten, die potenzielle Fehler in der Kreditgeschichte einer Person erklärten. Er führte eine Kreditprüfung für seinen Freund “Bill” durch, die die Erklärung für seinen mittleren 700er Kreditscore lieferte, dass er “zu viele Konten bei Konsumfinanzierungsunternehmen” hatte.

Experians undichte API systemisch?

Experian sagte, dass es die ungeschützte Endpunkt-Instanz behoben hat, aber einige Forscher sind besorgt, dass andere exponierte Experian-APIs ungeschützt da draußen sitzen könnten und nur darauf warten, von Cyberkriminellen ausgenutzt zu werden. Es gibt einen großen Präzedenzfall in der 2017 Verletzung von Equifax, wo chinesische Hacker Finanzdaten von 143 Millionen Amerikanern von der Experian Rivalen gestohlen.

Ein Experian-Sprecher wies jedoch die Vermutung zurück, dass es noch weitere unsichere Schnittstellen geben könnte.

“Wir können einen einzelnen, isolierten Fall bestätigen, der eine Kunden-Website betraf”, sagte sie gegenüber Threatpost. “Diese Situation betraf oder kompromittierte keine der Systeme von Experian, einschließlich unserer API. Wir waren in der Lage, den Kunden zu alarmieren und die Angelegenheit zu klären.”

Sie fügte hinzu: “Um es noch einmal zu betonen, obwohl dieser Vorfall keine Systeme von Experian gefährdet hat, nehmen wir diese Angelegenheit sehr ernst. In der Tat arbeiten wir kontinuierlich mit unseren Kunden zusammen, um ihre Prozesse zu überprüfen und die besten Praktiken für die Datensicherheit sicherzustellen.”

Threatpost hat sich für weitere Klarstellungen gemeldet.

Unabhängig davon, sagte Demirkapi würde nicht den Namen des Kreditgebers geben, um die Tausende von anderen APIs zu schützen, die potenziell immer noch da draußen ungesichert sind.

“Sie fanden einen Endpunkt, den ich benutzte, und schickten ihn in den Wartungsmodus”, sagte Demirkapi gegenüber Krebs. “Aber das behebt das systemische Problem überhaupt nicht.”

Es sollte angemerkt werden, dass kolossale Sicherheitsfehler für Experian nicht unbekannt sind, die im Jahr 2015 die Daten von 15 Millionen T-Mobile-Kunden ausgesetzt haben, einschließlich Führerschein- und Reisepassnummern.

Sicherheit Gemeinschaft Slams Experian

Die Sicherheits-Community hält sich mit ihrer Kritik an Experian wegen der undichten API nicht zurück, die ihrer Meinung nach selbst dann besorgniserregend ist, wenn es sich nur um einen einzelnen Fall handelt.

Saryu Nayyar, CEO bei Gurucul, war geradezu ungläubig über die Enthüllung.

“Shame on you Experian!” sagte Nayyar. “Die aufgedeckten Kredit-Score-Daten sowie Risikofaktoren können sehr erfolgreich genutzt werden, um Geld von den Konten der Leute zu ergaunern. Diese Daten sind persönlich und hochsensibel – genau die Art von Daten, die Cyberkriminelle nutzen, um Glaubwürdigkeit zu erlangen und in ihrer Taktik überzeugend zu klingen. Und das alles wegen einer unsicheren API?”

Tom Garruba, CISO bei Shared Assessments, führt das auf eine schlampige App-Entwicklung zurück und fügt seine eigene vernichtende Bewertung der Experian-Software hinzu.

“Wenn das kein Argument für mehr und bessere DevSecOps ist, dann ist es nichts”, sagte Garruba. “Die Hauptursache für dieses Problem ist das mangelhafte Testen der gesamten Sicherheitskontrollen der Anwendung. Dies hätte verhindert werden können, wenn die Anwendungsentwickler als Teil ihres Anwendungsentwicklungsprozesses eine sichere Codeentwicklung und gründliche Tests in jeder Phase des Entwicklungslebenszyklus vorgesehen hätten.”

Garruba fügte hinzu, dass APIs ein offensichtlicher Angriffsvektor sind, der hätte gesichert werden müssen.

“Unsichere APIs sind einer der häufigsten Bedrohungsvektoren, die von bösen Akteuren genutzt werden, um schlecht gesicherte Anwendungen auszunutzen, um an Daten zu gelangen”, fügte er hinzu. “Solche schlechten Kodierungspraktiken schaden nicht nur finanziell, sondern können das Vertrauen der Behörden, die die Anwendung nutzen, ernsthaft untergraben und den Ruf der Entwicklungsfirma beschädigen.”

Dies sollte eine große, fette, blinkende Warnung an jedes andere Unternehmen da draußen sein, ihre APIs gestern, wenn nicht früher, abzuschließen, fügten die Forscher hinzu.

“APIs sind die Lingua-franca für Geschäftsintegrationen und ein Fehler in APIs ist tödlich”, sagte Setu Kulkarni, Vizepräsident bei White Hat Security gegenüber Threatpost. “Wenn Sie ein Unternehmen sind, das Partnerschaften mit anderen Unternehmen eingehen möchte, müssen APIs, Web- und mobile Anwendungen auf Sicherheit getestet werden, um Folgeschäden durch Sicherheitslücken eines strategischen Partners zu vermeiden.”

Tatsächlich merkte Jack Mannino, CEO bei nVisium, an, dass diese Art von Problem nicht nur bei Experian auftritt.

“Viele Websites, die für das Impfstoffmanagement und andere öffentliche Gesundheitsdienste gestartet werden, scheinen mit denselben Problemen zu kämpfen”, sagte er. “Systeme unter Verwendung privater Daten für die breite Öffentlichkeit zugänglich zu machen, hat oft Sicherheitseinbußen und Konsequenzen. Stärkere Authentifizierungs- und Verifizierungsprozesse sind zusammen mit Zugriffskontrollen und vernünftigen Abwehrmechanismen erforderlich, um diese Angriffe zu verhindern.”

Nehmen Sie an Threatposts Veranstaltung “Fortifying Your Business Against Ransomware, DDoS & Cryptojacking Attacks” teil – ein LIVE-Roundtable-Event am Mi, 12. Mai um 14:00 Uhr EDT. Gesponsert von Zoho ManageEngine, moderiert Threatpost-Moderatorin Becky Bracken eine Expertenrunde, die die besten Abwehrstrategien für diese Bedrohungen des Jahres 2021 diskutiert. Fragen und LIVE-Beteiligung des Publikums sind erwünscht. Nehmen Sie an der lebhaften Diskussion teil und registrieren Sie sich HIER kostenlos.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/04/29144158/Experian.jpg]

Einige Teile dieses Artikels stammen aus:
threatpost.com