一名研究人员称,几乎每个美国人的信用分数都通过Experian信用局使用的API工具暴露了出来。他说一个贷款网站使用了该工具,但是对该工具没有做基本的安全保护措施。
Experian方面驳斥了安全界对该问题可能是系统性问题的猜测。
该工具叫做Experian Connect API,它可以允许贷款人查询FICO分数。据公布的一份报告称,罗切斯特理工学院的大二学生Bill Demirkapi在进行学生贷款时,发现了一个贷款机构只需提供姓名、地址和出生日期就能检查他的贷款资格。
他说,Demirkapi很惊讶,这个工具使用的就是Experian的一个API。
Demirkapi告诉Krebs On Security说:"一般情况下,不应该仅仅用公开的信息就可以使用Experian的信用检查功能。Experian应该强制要求用户使用那些非公开的个人信息进行查询,否则如果在一个使用API的工具中发现了漏洞,攻击者就可以很容易地攻击Experian的系统。”
德米尔卡皮说,他甚至能够开发一个命令行工具,让他自动查询评分信息,他将其命名为 "很酷的信用评分查询工具"。
除了可以查看原始的信用分数,克雷布斯说,他能够使用API从Experian公司获得风险因素说明,这可以查看一个人的信用历史中存在的问题。
Experian公司泄漏的是系统性的API?
Experian说,它已经修复了那些未受保护的端点设备,但一些研究人员担心,可能还有其他暴露的Experian API,它们没有受到网络的保护,很可能会被网络犯罪分子利用。在2017年Equifax的违规事件中,有一个攻击者进行了类似的数据犯罪。在那个攻击案例中,黑客从Experian的竞争对手那里偷走了1.43亿美国人的财务细节。
然而,Experian的一位发言人反驳了还可能存在其他不安全因素的说法。
她对Threatpost说:"我们可以确定这只是一个特例。她告诉Threatpost说:"这种情况并没有牵涉到或损害到Experian的任何系统,包括我们的API。我们会提醒客户解决这个问题。"
她补充说:"要重申的是,虽然这并没有损害Experian的任何系统,但我们非常重视此事。事实上,我们在不断地与客户进行合作,审查他们的工作流程,并确保数据安全。"
当Threatpost要求进一步澄清时,她回应说:"明确地说,这是仅仅存在于这一个客户网站内的漏洞。" 她补充说:"我们可以确保我们的API的安全性。在确定情况的来源后,我们关闭了客户对于API的访问权限。”
Demirkapi告诉Krebs:"他们发现了我使用过的一个终端设备,对其进行了维护。但这根本没有解决系统性的问题"。
应该指出的是,Experian公司时有发生重大数据安全的事故,该公司在2015年就暴露了1500万T-Mobile客户的数据,包括用户的驾驶执照和护照号码。
安全界抨击Experian公司
安全界一直在批判Experian的API泄露事件,他们说,即使这是一个单一的例子,也是令人担忧的。
Gurucul的首席执行官Saryu Nayyar对这一事件感到难以置信。
Nayyar说:"我为Experian感到羞耻!泄露出来的信用分数数据以及风险因素可以非常容易被用来进行社会工程学攻击。这些数据是高度敏感的。这些数据可以使网络犯罪分子轻易的获得受害人的信任,而这一切都是因为一个不安全的API造成的。
Shared Assessments的CISO Tom Garruba将此次事件归因为不规范的应用开发模式,他还对Experian的软件做出了自己的评估。
Garruba说:"这个问题的根本原因是由于应用程序的整体安全控制测试不佳造成的。程序的设计者作为应用程序开发过程的一部分,如果在软件开发的生命周期的每个阶段都对代码进行彻底的测试,这些安全事故本来是可以避免的。"
APIs: 一个被大量利用的载体
Garruba补充说,API是一个非常明显的攻击载体,本来应该受到保护。
他补充说:"不安全的API是最常见的攻击载体之一,攻击者会利用安全性比较差的应用程序来获取数据。这种糟糕的做法不仅在经济上伤害了每个人,而且还会严重削弱消费者对于使用该应用程序的机构的信任,而且也会损害开发公司的声誉。"
研究人员补充说,这应该是一个很严重的警告,昨天该公司就提醒了他们的客户关停他们的API。
白帽安全公司副总裁Setu Kulkarni告诉Threatpost说:"API是业务整合的语言框架,API的漏洞是非常致命的。如果你是一个希望与其他公司合作的组织,必须要对API、网络和移动应用程序进行安全测试,避免因战略合作伙伴的安全漏洞而对自己造成严重的损失。"
事实上,nVisium的首席执行官Jack Mannino指出,这种问题并不是Experian独有的。
他说:"许多正在启动疫苗管理和其他公共卫生服务的网站都在被同样的问题困扰,为了使得系统可以供更多的用户访问,他们通常会存储用户的私人数据。这样做往往需要有很多安全方面的权衡。为了防止系统被黑客攻击,我们需要使用更安全的认证验证过程,访问控制和更智能的反自动化防御措施"。
本文翻译自:https://threatpost.com/experian-api-leaks-american-credit-scores/165731/如若转载,请注明原文地址。
