Cultura

Experian expone puntajes de crédito a través de API desprotegida

La empresa de informes crediticios Experian plc ha sufrido una nueva violación de datos, con las calificaciones crediticias de casi todas las personas en los EE. UU. Expuestas a través de una interfaz de programación de aplicaciones desprotegida.

Descubierto y publicado el 28 de abril por un investigador de seguridad. Bill Demirkapi, la violación involucró una herramienta llamada Experian Connect API que permite a los prestamistas automatizar las consultas de puntaje FICO. Demirkapi descubrió mientras visitaba el sitio web de un prestamista que se ofreció a verificar su elegibilidad para el préstamo que el código le permitía invocar la API de Experian con cualquier autenticación y obtener el puntaje crediticio de cualquier persona.

«Nadie debería poder realizar una verificación de crédito de Experian con solo información disponible públicamente», dijo Demirkapi a Krebs On Security. «Experian debería exigir información no pública para consultas promocionales; de lo contrario, un atacante que encontrara una sola vulnerabilidad en un proveedor podría abusar fácilmente del sistema de Experian».

Demirkapi también pudo diseñar una herramienta de línea de comandos para automatizar la búsqueda a la que llamó de manera bastante interesante «Utilidad de búsqueda de puntaje crediticio genial de Bill».

Aunque Experian desde entonces ha cerrado el acceso no autorizado a la API, la preocupación es que la empresa pueda estar utilizando otras API que podrían explotarse de manera similar. Se desconoce si otros han accedido a él.

«No está claro si esta debilidad fue explotada por otros atacantes más allá de la investigación y divulgación del investigador de seguridad», dijo a SiliconANGLE Michael Isbitski, evangelista técnico de la firma de protección API Salt Security Inc.. “Experian solo confirmó que pudieron descubrir la actividad del investigador de seguridad en sus registros de backend después de que se les reveló el problema. Una API que utiliza autenticación débil como esta podría potencialmente enumerarse y rasparse para obtener grandes cantidades de datos privados relacionados con el crédito «.

Hank Schless, gerente senior de soluciones de seguridad de la firma de soluciones de seguridad móvil Lookout Inc., señaló que la prominencia de los servicios y tecnologías basados ​​en la nube ha creado un ecosistema masivo de servicios interconectados que ayudan a las organizaciones de todo tipo a impulsar sus negocios internamente para los empleados y externamente. para clientes.

LEER  EL FRACASO NO EXISTE - Daniel Habif

“La integración entre varias aplicaciones y servicios puede hacer que la experiencia general sea mucho más conveniente y fluida para los usuarios”, explicó Schless. “Las API, especialmente para plataformas grandes como aerolíneas o redes sociales, a menudo se hacen públicas para que cualquiera pueda conectar su servicio a esas plataformas. Sin embargo, la conveniencia de la integración no debería poner la seguridad en un segundo plano «.

El incidente destaca lo importante que es comprender la postura de seguridad de todos los recursos, agregó Schless. “En este caso particular, eso significa examinar cualquier servicio de terceros que decida integrar en sus servicios o infraestructura”, dijo. «Cuando integra sus servicios, siempre existe el riesgo de que un atacante acceda a sus datos después de haber violado inicialmente el servicio del socio».

Experian sufrió por última vez una violación de datos con el robo de datos pertenecientes a 15 millones de estadounidenses en octubre de 2015.

Foto: Experian Tailandia

Ya que estás aquí …

Muestre su apoyo a nuestra misión con nuestra suscripción de un clic a nuestro canal de YouTube (abajo). Cuantos más suscriptores tengamos, más YouTube le sugerirá contenido empresarial relevante y de tecnología emergente. ¡Gracias!

Apoya nuestra misión: >>>>>> SUSCRÍBETE AHORA >>>>>> a nuestro canal de YouTube.

… También nos gustaría contarte sobre nuestra misión y cómo puedes ayudarnos a cumplirla. El modelo comercial de SiliconANGLE Media Inc. se basa en el valor intrínseco del contenido, no en la publicidad. A diferencia de muchas publicaciones en línea, no tenemos un muro de pago ni ejecutamos anuncios publicitarios, porque queremos mantener nuestro periodismo abierto, sin influencia ni la necesidad de perseguir el tráfico.El periodismo, los informes y los comentarios sobre SiliconANGLE, junto con el video en vivo sin guión de nuestro estudio de Silicon Valley y los equipos de video trotamundos en el cubo – requiere mucho trabajo, tiempo y dinero. Mantener la calidad alta requiere el apoyo de patrocinadores que estén alineados con nuestra visión de contenido periodístico sin publicidad.

Si le gustan los informes, las entrevistas en video y otro contenido sin publicidad aquí, tómese un momento para ver una muestra del contenido de video respaldado por nuestros patrocinadores, tuitea tu apoyoy sigo volviendo a SiliconaANGLE.

Author

Moisés Cabrera

Encantado de emprender, el Internet es como pez en el rio para mi y quiero aportar valor a este mundo digital. Si crees que es de interés estos artículos no dudes en comentar.

¿Te gusta nuestro contenido?Recibe noticias y estrategias digitales a tu correo.

No pierda la oportunidad de recibir también descuentos de nuestros servicios.