La API de Experian pierde los puntajes de crédito de la mayoría de los estadounidenses - Calendae | Informática, Electrónica, CMS, Ciberseguridad

La API de Experian pierde los puntajes de crédito de la mayoría de los estadounidenses

Hola otra vez. Te habla Eduardo Arroyo y en el día de hoy vamos a hablar sobre La API de Experian pierde los puntajes de crédito de la mayoría de los estadounidenses

La API de Experian pierde los puntajes de crédito de la mayoría de los estadounidenses

Los investigadores temen una exposición más amplia, en medio de una tibia respuesta de Experian.

Un investigador dice que casi todos los puntajes crediticios de los estadounidenses fueron expuestos a través de una herramienta API utilizada por la oficina de crédito de Experian, que dijo que se dejó abierta en un sitio de préstamos sin ni siquiera las protecciones de seguridad básicas.

Experian restó importancia a las preocupaciones de la comunidad de seguridad de que el problema podría ser sistémico.

La herramienta, llamada Experian Connect API, permite a los prestamistas automatizar las consultas calificadas por FICO. Bill Demirkapi es un estudiante de segundo año en el Instituto de Tecnología de Rochester y estaba comprando préstamos para estudiantes cuando encontró un prestamista que verificaría su elegibilidad con solo un nombre, dirección y fecha de nacimiento, según un informe publicado.

Únase a Threatpost para «Fortalecer su negocio contra ataques de ransomware, DDoS y Cryptojacking», un panel de discusión EN VIVO el miércoles 12 de mayo a las 2 pm EDT para este seminario web GRATUITO patrocinado por Zoho ManageEngine.

Demirkapi se sorprendió y decidió echar un vistazo al código que mostraba que detrás de la herramienta había una conexión a una API de Experian, dijo.

«Nadie debería poder realizar una verificación crediticia de Experian con solo información disponible públicamente», Demirkapi Krebs dijo Sobre seguridad, que fue el primero en revelar la historia de la filtración. «Experian tendría que solicitar información no pública para consultas promocionales; de lo contrario, un atacante que encontrara una sola vulnerabilidad en un proveedor podría abusar fácilmente del sistema de Experian».

Demirkapi dijo que incluso pudo crear una herramienta de línea de comandos que le permite automatizar las búsquedas, incluso después de ingresar todos los ceros en los campos para la fecha de nacimiento, lo que llamó «Utilidad de búsqueda de puntaje crediticio genial de Bill».

Lea sobre la vulnerabilidad que encontré en @Experian donde venden la información crediticia privada de la mayoría de los estadounidenses, pidiendo solo un nombre y una dirección 🙃 https://t.co/rXW1yVh65a

– Bill Demirkapi (@BillDemirkapi) 28 de abril de 2021

Además de los puntajes crediticios brutos, Krebs dijo que pudo usar la conexión API para obtener «factores de riesgo» de Experian que explicaban fallas potenciales en el historial crediticio de una persona. Realizó una verificación de crédito para su amigo «Bill», quien devolvió la explicación de su puntaje de crédito de mediados de los 70 que tenía «Demasiadas cuentas de compañías de financiamiento al consumo».

Experian afirmó haber reparado la instancia de punto final no segura, pero algunos investigadores temen que otras API de Experian expuestas puedan estar ahí fuera sin seguridad, esperando ser explotadas por los ciberdelincuentes. Hay un gran precedente en la violación de Equifax de 2017, en la que los piratas informáticos chinos robaron los datos financieros de 143 millones de estadounidenses de su rival Experian.

Sin embargo, un portavoz de Experian descartó la idea de que puede haber otras interfaces inseguras por ahí.

«Podemos confirmar una sola instancia aislada que involucre el sitio web de un cliente», dijo a Threatpost. «Esta situación no involucró ni comprometió ninguno de los sistemas de Experian, incluida nuestra API. Pudimos notificar al cliente y resolver el problema».

Añadió: «Para reiterar, si bien esto no ha comprometido ninguno de los sistemas de Experian, nos tomamos este asunto muy en serio. De hecho, trabajamos continuamente con nuestros clientes para revisar sus procesos y garantizar las mejores prácticas de seguridad de datos».

Se contactó con Threatpost para obtener más aclaraciones.

Independientemente, Demirkapi dijo que no daría el nombre del prestamista para proteger las miles de otras API que potencialmente todavía están sin garantía.

«Encontraron un punto final que estaba usando y lo enviaron al modo de mantenimiento», dijo Demirkapi a Krebs. «Pero eso no aborda el problema sistémico en absoluto».

Cabe señalar que los colosales errores de seguridad no son desconocidos para Experian, que reveló datos de 15 millones de clientes de T-Mobile en 2015, incluidos sus números de licencia de conducir y pasaporte.

La comunidad de seguridad no se está reprimiendo de sus críticas a Experian por la filtración de API, que dijeron que era preocupante a pesar de que se trataba de una sola instancia.

Saryu Nayyar, director ejecutivo de Gurucul, no creyó en la revelación.

«¡Qué lástima para ti, Experian!» Dijo Nayyar. “Los datos de puntaje crediticio expuestos, así como los factores de riesgo, pueden usarse con gran éxito para generar dinero socialmente a partir de las cuentas de las personas. Estos datos son personales y muy sensibles, justo el tipo de datos que utilizan los ciberdelincuentes para ganar credibilidad y parecer convincentes en sus tácticas. ¿Y todo esto debido a una API insegura? «

Tom Garruba, CISO de calificaciones compartidas, lo atribuyó al desarrollo deficiente de la aplicación y agregó su apasionada evaluación del software de Experian.

«Si esto no es un argumento para DevSecOps mejores y más numerosos, no es nada», dijo Garruba. “La principal causa de este problema es la mala verificación de los controles de seguridad generales de la aplicación. Esto podría haberse evitado si los diseñadores de aplicaciones hubieran diseñado un desarrollo de código seguro y pruebas exhaustivas en cada etapa del ciclo de vida de desarrollo como parte de su proceso de desarrollo de aplicaciones. «

Las API agregadas por Garruba son un vector de ataque obvio que debería haberse protegido.

«Las API inseguras son uno de los vectores de amenazas más comunes utilizados por los atacantes para aprovechar las aplicaciones poco seguras para acceder a los datos», agregó. «Estas malas prácticas de codificación no solo perjudican a todos económicamente, sino que pueden erosionar seriamente la confianza de las agencias que utilizan la aplicación y dañar la reputación de la empresa desarrolladora».

Esta debería ser una gran advertencia intermitente para todas las demás empresas para que bloqueen sus API ayer, si no antes, agregaron los investigadores.

«Las API son la lengua franca para las integraciones comerciales, y una falla en la API es letal», dijo a Threatpost Setu Kulkarni, vicepresidente de White Hat Security. «Si usted es una organización que busca asociarse con otras empresas, las API, las aplicaciones web y móviles deben probarse en cuanto a seguridad para evitar pérdidas consecuentes debido a vulnerabilidades de seguridad por parte de un socio estratégico».

De hecho, Jack Mannino, director ejecutivo de nVisium, señaló que este tipo de problema no es exclusivo de Experian.

«Muchos sitios web lanzados para la gestión de vacunas y otros servicios de salud pública parecen estar luchando con los mismos problemas», dijo. “Hacer que los sistemas sean accesibles para el público en general utilizando datos privados a menudo tiene implicaciones de seguridad y compensaciones. Para prevenir estos ataques, se necesitan procesos de autenticación y verificación más sólidos junto con controles de acceso y defensas sólidas contra la automatización «.

.

Puedes compartir en en tu Twitter y Facebook para que tus amigos lo sepan

??? ? ? ???

Comparte