Experian公司的API泄露了大量美國人的信用評分數據
一名研究人員稱,幾乎每個美國人的信用分數都通過Experian信用局使用的API工具暴露了出來。他說一個貸款網站使用了該工具,但是對該工具沒有做基本的安全保護措施。
Experian方面駁斥了安全界對該問題可能是系統性問題的猜測。
該工具叫做Experian Connect API,它可以允許貸款人查詢FICO分數。據公布的一份報告稱,羅切斯特理工學院的大二學生Bill Demirkapi在進行學生貸款時,發現了一個貸款機構只需提供姓名、地址和出生日期就能檢查他的貸款資格。
他說,Demirkapi很驚訝,這個工具使用的就是Experian的一個API。
Demirkapi告訴Krebs On Security說:"一般情況下,不應該僅僅用公開的信息就可以使用Experian的信用檢查功能。Experian應該強制要求用戶使用那些非公開的個人信息進行查詢,否則如果在一個使用API的工具中發現了漏洞,攻擊者就可以很容易地攻擊Experian的系統。”
德米爾卡皮說,他甚至能夠開發一個命令行工具,讓他自動查詢評分信息,他將其命名為 "很酷的信用評分查詢工具"。
除了可以查看原始的信用分數,克雷布斯說,他能夠使用API從Experian公司獲得風險因素說明,這可以查看一個人的信用歷史中存在的問題。
Experian公司泄漏的是系統性的API?
Experian說,它已經修復了那些未受保護的端點設備,但一些研究人員擔心,可能還有其他暴露的Experian API,它們沒有受到網絡的保護,很可能會被網絡犯罪分子利用。在2017年Equifax的違規事件中,有一個攻擊者進行了類似的數據犯罪。在那個攻擊案例中,黑客從Experian的競爭對手那里偷走了1.43億美國人的財務細節。
然而,Experian的一位發言人反駁了還可能存在其他不安全因素的說法。
她對Threatpost說:"我們可以確定這只是一個特例。她告訴Threatpost說:"這種情況并沒有牽涉到或損害到Experian的任何系統,包括我們的API。我們會提醒客戶解決這個問題。"
她補充說:"要重申的是,雖然這并沒有損害Experian的任何系統,但我們非常重視此事。事實上,我們在不斷地與客戶進行合作,審查他們的工作流程,并確保數據安全。"
當Threatpost要求進一步澄清時,她回應說:"明確地說,這是僅僅存在于這一個客戶網站內的漏洞。" 她補充說:"我們可以確保我們的API的安全性。在確定情況的來源后,我們關閉了客戶對于API的訪問權限。”
Demirkapi告訴Krebs:"他們發現了我使用過的一個終端設備,對其進行了維護。但這根本沒有解決系統性的問題"。
應該指出的是,Experian公司時有發生重大數據安全的事故,該公司在2015年就暴露了1500萬T-Mobile客戶的數據,包括用戶的駕駛執照和護照號碼。
安全界抨擊Experian公司
安全界一直在批判Experian的API泄露事件,他們說,即使這是一個單一的例子,也是令人擔憂的。
Gurucul的首席執行官Saryu Nayyar對這一事件感到難以置信。
Nayyar說:"我為Experian感到羞恥!泄露出來的信用分數數據以及風險因素可以非常容易被用來進行社會工程學攻擊。這些數據是高度敏感的。這些數據可以使網絡犯罪分子輕易的獲得受害人的信任,而這一切都是因為一個不安全的API造成的。
Shared Assessments的CISO Tom Garruba將此次事件歸因為不規范的應用開發模式,他還對Experian的軟件做出了自己的評估。
Garruba說:"這個問題的根本原因是由于應用程序的整體安全控制測試不佳造成的。程序的設計者作為應用程序開發過程的一部分,如果在軟件開發的生命周期的每個階段都對代碼進行徹底的測試,這些安全事故本來是可以避免的。"
APIs: 一個被大量利用的載體
Garruba補充說,API是一個非常明顯的攻擊載體,本來應該受到保護。
他補充說:"不安全的API是最常見的攻擊載體之一,攻擊者會利用安全性比較差的應用程序來獲取數據。這種糟糕的做法不僅在經濟上傷害了每個人,而且還會嚴重削弱消費者對于使用該應用程序的機構的信任,而且也會損害開發公司的聲譽。"
研究人員補充說,這應該是一個很嚴重的警告,昨天該公司就提醒了他們的客戶關停他們的API。
白帽安全公司副總裁Setu Kulkarni告訴Threatpost說:"API是業務整合的語言框架,API的漏洞是非常致命的。如果你是一個希望與其他公司合作的組織,必須要對API、網絡和移動應用程序進行安全測試,避免因戰略合作伙伴的安全漏洞而對自己造成嚴重的損失。"
事實上,nVisium的首席執行官Jack Mannino指出,這種問題并不是Experian獨有的。
他說:"許多正在啟動疫苗管理和其他公共衛生服務的網站都在被同樣的問題困擾,為了使得系統可以供更多的用戶訪問,他們通常會存儲用戶的私人數據。這樣做往往需要有很多安全方面的權衡。為了防止系統被黑客攻擊,我們需要使用更安全的認證驗證過程,訪問控制和更智能的反自動化防御措施"。
本文翻譯自:https://threatpost.com/experian-api-leaks-american-credit-scores/165731/如若轉載,請注明原文地址。
