[ad_1]

Bureau de crédit à la consommation des trois grands Expérian vient de corriger une faiblesse avec un site Web partenaire qui permet à quiconque de consulter le pointage de crédit de dizaines de millions d’Américains simplement en fournissant leur nom et leur adresse postale, a appris BreachTrace. Experian dit avoir colmaté la fuite de données, mais le chercheur qui a rapporté la découverte dit qu’il craint que la même faiblesse ne soit présente sur d’innombrables autres sites Web de prêt qui travaillent avec le bureau de crédit.

Bill Demirkapiun chercheur indépendant en sécurité qui est actuellement étudiant en deuxième année à Institut de technologie de Rochestera déclaré avoir découvert l’exposition des données en recherchant des fournisseurs de prêts étudiants en ligne.

Demirkapi a rencontré le site d’un prêteur qui proposait de vérifier son admissibilité au prêt en saisissant son nom, son adresse et sa date de naissance. En regardant le code derrière cette page de recherche, il a pu voir qu’il invoquait un Experian Interface de programmation d’applications ou API – une capacité qui permet aux prêteurs d’automatiser les requêtes pour Cotes de crédit FICO du bureau de crédit.

« Personne ne devrait être en mesure d’effectuer une vérification de crédit Experian avec uniquement des informations accessibles au public », a déclaré Demirkapi. « Experian devrait exiger des informations non publiques pour les demandes promotionnelles, sinon un attaquant qui a trouvé une seule vulnérabilité chez un fournisseur pourrait facilement abuser du système d’Experian. »

Demirkapi a découvert que l’API Experian était accessible directement sans aucune sorte d’authentification, et que la saisie de tous les zéros dans le champ « date de naissance » lui permettait ensuite d’extraire le pointage de crédit d’une personne. Il a même créé un outil de ligne de commande pratique pour automatiser les recherches, qu’il a surnommé « l’utilitaire de recherche de pointage de crédit cool de Bill ».

Outil de recherche de pointage de crédit Experian de Demirkapi.

BreachTrace a mis cet outil à l’épreuve, demandant la permission à un ami pour que Demirkapi consulte son pointage de crédit. L’ami a accepté et a dit qu’il retirerait son score d’Experian (à ce stade, je ne lui avais pas dit qu’Experian était impliqué). Le score qu’il a fourni correspondait au score renvoyé par l’outil de recherche de Demirkapi.

En plus des cotes de crédit, l’API Experian renvoie pour chaque consommateur jusqu’à quatre «facteurs de risque», des indicateurs qui pourraient aider à expliquer pourquoi la cote d’une personne n’est pas plus élevée.

Par exemple, dans le cas de mon ami, l’outil de Bill indiquait que son score au milieu des 700 pourrait être meilleur si la proportion des soldes par rapport aux limites de crédit était inférieure et s’il ne devait pas autant sur les comptes de crédit renouvelables.

« Trop de comptes de sociétés de crédit à la consommation », a conclu l’API à propos du score de mon ami.

La raison pour laquelle je n’ai pas pu tester les conclusions de Demirkapi sur mon propre pointage de crédit est que nous avons un gel de sécurité sur nos fichiers dans les trois principaux bureaux d’évaluation du crédit à la consommation, et un gel empêche cette API particulière d’extraire les informations.

Demirkapi a refusé de partager avec Experian le nom du prêteur ou du site Web où l’API a été exposée. Il a refusé parce qu’il a dit qu’il soupçonnait qu’il pourrait y avoir des centaines, voire des milliers d’entreprises utilisant la même API, et que bon nombre de ces prêteurs pourraient également divulguer l’accès aux données des consommateurs d’Experian.

« Si nous les informons du point final spécifique, ils peuvent simplement interdire / travailler avec le fournisseur de prêt pour bloquer ces demandes sur ce cas unique, ce qui ne résout pas le problème systémique », a-t-il expliqué.

Néanmoins, après avoir été contacté par ce journaliste, Experian a découvert par lui-même quel prêteur exposait son API ; Demirkapi a déclaré que le site du fournisseur indique désormais que l’accès à l’API a été désactivé.

« Nous avons été en mesure de confirmer un seul cas où cette situation s’est produite et avons pris des mesures pour alerter notre partenaire et résoudre le problème », a déclaré Experian dans un communiqué écrit. « Bien que la situation n’implique ni ne compromette aucun des systèmes d’Experian, nous prenons cette question très au sérieux. La sécurité des données a toujours été et sera toujours notre priorité absolue.

Demirkapi a déclaré qu’il était déçu qu’Experian ait fait exactement ce qu’il craignait qu’ils fassent.

« Ils ont trouvé un terminal que j’utilisais et l’ont envoyé en mode maintenance », a-t-il déclaré. « Mais cela ne résout pas du tout le problème systémique. »

Les API qui fuient et mal sécurisées comme celle que Demirkapi a trouvée sont la source de beaucoup de méfaits entre les mains des voleurs d’identité. Plus tôt ce mois-ci, le géant de l’assurance automobile Geico divulgué que des fraudeurs ont abusé d’un bug de son site pour voler des numéros de permis de conduire à des Américains.

Geico a déclaré que les données étaient utilisées par des voleurs impliqués dans des demandes frauduleuses de prestations d’assurance-chômage. De nombreux États exigent désormais des numéros de permis de conduire comme moyen de vérifier l’identité d’un demandeur.

En 2013, BreachTrace a annoncé la nouvelle d’un service d’usurpation d’identité dans le métro qui a extrait par programme des données sensibles sur le crédit des consommateurs directement d’une filiale d’Experian. Ce service était dirigé par un hacker vietnamien qui avait dit à la filiale d’Experian qu’il était détective privé. le Services secrets américains a déclaré plus tard que le service de vol d’identité « causait plus de préjudice financier matériel à plus d’Américains que tout autre ».

Lecture supplémentaire : La sécurité du gel du crédit d’Experian est toujours une blague (27 avril 2021)

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *