Saltar al contenido
computerg

馃 Los Puntajes Crediticios De Millones De Estadounidenses Han Sido Expuestos On Line

mayo 1, 2021

Los puntajes crediticios de millones de estadounidenses se expusieron on line en el momento en que un prestamista abus贸 de una API propiedad de la agencia de informes crediticios Experian.

Como Krebs notific贸 por vez primera sobre seguridad, el estudioso de seguridad independiente Bill Demirkapi estaba estudiando distribuidores de pr茅stamos estudiantiles on line cuando descubri贸 que pod铆a conseguir sencillamente su puntaje de cr茅dito de Experian sencillamente no ingresando solo una parte de la informaci贸n que por norma general se precisa para hacerlo.

Demirkapi estaba en un lugar que ofrec铆a contrastar su elegibilidad para el pr茅stamo sencillamente ingresando su nombre, direcci贸n y data de nacimiento. En general, cuando se utiliza un servicio de monitoreo de cr茅dito, los estadounidenses asimismo deben administrar su n煤mero de Seguro Social para acceder a sus puntajes de cr茅dito.

Tras administrar la informaci贸n precisa, Demirkapi ech贸 una ojeada al c贸digo en el lugar del prestamista y fue entonces cuando descubri贸 que la compa帽铆a hab铆a invocado la API de Experian. Brind贸 m谩s detalles sobre la relevancia de su descubrimiento en una declaraci贸n de seguridad a Krebs, diciendo:

鈥淣adie deber铆a poder efectuar una verificaci贸n de cr茅dito de Experian con solo informaci贸n libre en p煤blico. Experian debe forzar la informaci贸n no p煤blica para peticiones promocionales; en caso contrario, un atacante que encontrase una sola vulnerabilidad en un distribuidor podr铆a abusar sencillamente del sistema de Experian. 禄

Exponer la API de Experian

Para empeorar las cosas, Demirkapi asimismo descubri贸 que la API de Experian invocada en el sitio de este prestamista particularmente era alcanzable sin autentificaci贸n. En verdad, aun pudo ingresar todos y cada uno de los ceros en el campo de data de nacimiento del lugar para conseguir el puntaje crediticio de una persona.

Desde ah铆, Demirkapi edific贸 su herramienta de l铆nea de comandos para apresurar estas buscas, a la que llam贸 鈥淯tilidad de busca de puntaje crediticio excelente de Bill鈥. Aparte de poder conseguir el puntaje crediticio de una persona, la API de Experian asimismo da informaci贸n sobre hasta 4 芦factores de peligro禄 que podr铆an explicar por qu茅 raz贸n su puntaje no es m谩s alto.

Al final, Demirkapi se puso en contacto con Experian y la compa帽铆a pudo descubrir qu茅 prestamista estaba exponiendo su API on line. En un comunicado, Experian explic贸 que se toma muy de verdad la seguridad de los datos y inconvenientes como este, diciendo:

鈥淗emos podido confirmar solo una instancia de esta situaci贸n y hemos tomado medidas para alertar a nuestro asociado y solucionar el inconveniente. Aunque la situaci贸n no implica ni compromete ninguno de los sistemas de Experian, nos tomamos este inconveniente muy de verdad. La seguridad de los datos siempre y en todo momento ha sido y siempre y en todo momento va a ser nuestra m谩xima prioridad. 禄

V铆a Krebs sobre seguridad


Source link