API Gap en el sitio de socios de Experian expone puntajes de crédito



Al estudiante investigador le preocupa que exista una brecha de seguridad en muchos otros sitios.

Un estudiante e investigador de seguridad informó recientemente a la oficina de informes crediticios Experian sobre una vulnerabilidad en el sitio website de un socio que permite a cualquier persona buscar puntajes crediticios solo con un nombre y una dirección postal.

KrebsOnSecurity informa el incidente después de recibir el aviso del estudiante de segundo año del Instituto de Tecnología de Rochester, Invoice Demirkapi. El estudiante dice que descubrió la filtración cuando buscaba información en línea sobre proveedores de préstamos estudiantiles.

Uno de los sitios de prestamistas ofreció verificar su elegibilidad para el préstamo ingresando su nombre, dirección y fecha de nacimiento, dice Demirkapi. Finalmente, descubrió que el código detrás de una página estaba utilizando una interfaz de programación de aplicaciones (API) a la que se podía acceder directamente sin ningún tipo de autenticación. Hizo este descubrimiento ingresando todos los ceros en el campo «fecha de nacimiento», lo que le permitió obtener el puntaje crediticio de una persona.

Demirkapi dice que alertó a Experian, pero no proporcionó el nombre del prestamista o el sitio net donde hizo su descubrimiento porque le preocupaba que existiera debilidad en sitios de préstamos similares. KrebsOnSecurity informa que Experian parece haber descubierto por sí solo qué prestamista estaba exponiendo la API. El acceso a la API parece estar deshabilitado ahora.

El informe completo se puede encontrar aquí.

Speedy Hits de Dim Studying ofrece una breve sinopsis y un resumen de la importancia de las noticias de última hora. Para obtener más información de la fuente original de la noticia, siga el enlace proporcionado en este artículo. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique