Puntuaciones crediticias expuestas de la API de Experian de la mayoría de los estadounidenses: Krebs on Protection


Tres grandes oficinas de crédito al consumidor Experian simplemente solucionó una debilidad con un sitio world wide web asociado que permitía a cualquiera buscar el puntaje crediticio de decenas de millones de estadounidenses con solo proporcionar su nombre y dirección postal, ha aprendido KrebsOnSecurity. Experian dice que ha solucionado la fuga de datos, pero el investigador que informó el hallazgo dice que teme que la misma debilidad pueda estar presente en innumerables otros sitios world-wide-web de préstamos que trabajan con el buró de crédito.

Invoice Demirkapi, investigador de seguridad independiente que actualmente es estudiante de segundo año en el Instituto de Tecnología de Rochester, dijo que descubrió la exposición de datos mientras buscaba proveedores de préstamos estudiantiles en línea.

Demirkapi encontró el sitio de un prestamista que se ofreció a verificar su elegibilidad para el préstamo ingresando su nombre, dirección y fecha de nacimiento. Mirando el código detrás de esta página de búsqueda, pudo ver que invocaba un Experian Interfaz de programación de aplicaciones o API: una capacidad que permite a los prestamistas automatizar consultas para Puntajes de crédito FICO del buró de crédito.

«Nadie debería poder realizar una verificación de crédito de Experian con solo información disponible públicamente», dijo Demirkapi. «Experian debería exigir información no pública para consultas promocionales, de lo contrario, un atacante que encontrara una sola vulnerabilidad en un proveedor podría abusar fácilmente del sistema de Experian».

Demirkapi descubrió que se podía acceder a la API de Experian directamente sin ningún tipo de autenticación, y que ingresar todos los ceros en el campo «fecha de nacimiento» le permitía obtener la calificación crediticia de una persona. Incluso creó una práctica herramienta de línea de comandos para automatizar las búsquedas, a la que denominó «Utilidad de búsqueda de puntaje crediticio genial de Invoice».

Herramienta de búsqueda de puntaje de crédito Experian de Demirkapi.

KrebsOnSecurity puso esa herramienta a prueba y pidió permiso a un amigo para que Demirkapi buscara su puntaje crediticio. El amigo estuvo de acuerdo y dijo que sacaría su puntaje de Experian (en este punto no le había dicho que Experian estaba involucrado). La puntuación que proporcionó coincidió con la puntuación devuelta por la herramienta de búsqueda de Demirkapi.

Además de las puntuaciones de crédito, la API de Experian devuelve para cada consumidor hasta cuatro «factores de riesgo», indicadores que pueden ayudar a explicar por qué la puntuación de una persona no es más alta.

Por ejemplo, en el caso de mi amigo, la herramienta de Monthly bill dijo que su puntaje medio de 700 podría ser mejor si la proporción de saldos con respecto a los límites de crédito fuera menor y si no debía tanto en cuentas de crédito renovables.

«Demasiadas cuentas de empresas de financiación al consumo», concluyó la API sobre la puntuación de mi amigo.

La razón por la que no pude probar los hallazgos de Demirkapi en mi propio puntaje de crédito es que tenemos un congelamiento de seguridad en nuestros archivos en las tres principales oficinas de informes de crédito del consumidor, y un congelamiento bloquea esta API en individual para que no extraiga la información.

Demirkapi se negó a compartir con Experian el nombre del prestamista o el sitio web donde se expuso la API. Se negó porque dijo que sospecha que puede haber cientos o incluso miles de empresas que utilizan la misma API, y que muchos de esos prestamistas podrían estar filtrando de manera identical el acceso a los datos del consumidor de Experian.

«Si les informamos sobre el punto last específico, pueden simplemente prohibir / trabajar con el proveedor de préstamos para bloquear estas solicitudes en este caso, lo que no soluciona el problema sistémico», explicó.

Sin embargo, después de ser contactado por este reportero, Experian descubrió por sí mismo qué prestamista estaba exponiendo su API Demirkapi dijo que el sitio del proveedor ahora indica que el acceso a la API ha sido deshabilitado.

«Hemos podido confirmar una sola instancia de dónde ha ocurrido esta situación y hemos tomado medidas para alertar a nuestro socio y resolver el asunto», dijo Experian en una declaración escrita. “Si bien la situación no implicó ni comprometió ninguno de los sistemas de Experian, nos tomamos este asunto muy en serio. La seguridad de los datos siempre ha sido, y siempre será, nuestra máxima prioridad «.

Demirkapi dijo que está decepcionado de que Experian hiciera exactamente lo que temía que hicieran.

«Encontraron un punto closing que estaba usando y lo enviaron al modo de mantenimiento», dijo. «Pero esto no aborda el problema sistémico en absoluto».

Las API con fugas y poco seguras, como la que encontró Demirkapi, son la fuente de muchos problemas en manos de los ladrones de identidad. A principios de este mes, el gigante de los seguros de automóviles Geico divulgado que los estafadores abusaron de un error en su sitio para robar los números de licencia de conducir de los estadounidenses.

Geico dijo que los datos fueron utilizados por ladrones involucrados en la solicitud fraudulenta de beneficios del seguro de desempleo. Muchos estados ahora exigen números de licencia de conducir como una forma de verificar la identidad de un solicitante.

En 2013, KrebsOnSecurity dio la noticia sobre un servicio de robo de identidad en la clandestinidad que extraía de forma programática datos sensibles de crédito al consumidor directamente de una subsidiaria de Experian. Ese servicio lo dirigía un pirata informático vietnamita que le había dicho a la filial de Experian que period un investigador privado. La Servicio Secreto de EE. UU. Más tarde dijo que el servicio de robo de identidad «causó más daños económicos materiales a más estadounidenses que cualquier otro».

Lectura adicional: La seguridad de congelación de crédito de Experian sigue siendo una broma (27 de abril de 2021)





Enlace a la noticia primary