Experian 公司的 API 泄露了大量美国人的信用评分数据
一名研究人员称,几乎每个美国人的信用分数都通过 Experian 信用局使用的 API 工具暴露了出来。他说一个贷款网站使用了该工具,但是对该工具没有做基本的安全保护措施。
Experian 方面驳斥了安全界对该问题可能是系统性问题的猜测。
该工具叫做 Experian Connect API,它可以允许贷款人查询 FICO 分数。据公布的一份报告称,罗切斯特理工学院的大二学生 Bill Demirkapi 在进行学生贷款时,发现了一个贷款机构只需提供姓名、地址和出生日期就能检查他的贷款资格。
他说,Demirkapi 很惊讶,这个工具使用的就是 Experian 的一个 API。
Demirkapi 告诉 Krebs On Security 说:" 一般情况下,不应该仅仅用公开的信息就可以使用 Experian 的信用检查功能。Experian 应该强制要求用户使用那些非公开的个人信息进行查询,否则如果在一个使用 API 的工具中发现了漏洞,攻击者就可以很容易地攻击 Experian 的系统。"
德米尔卡皮说,他甚至能够开发一个命令行工具,让他自动查询评分信息,他将其命名为 " 很酷的信用评分查询工具 "。
除了可以查看原始的信用分数,克雷布斯说,他能够使用 API 从 Experian 公司获得风险因素说明,这可以查看一个人的信用历史中存在的问题。
Experian 公司泄漏的是系统性的 API?
Experian 说,它已经修复了那些未受保护的端点设备,但一些研究人员担心,可能还有其他暴露的 Experian API,它们没有受到网络的保护,很可能会被网络犯罪分子利用。在 2017 年 Equifax 的违规事件中,有一个攻击者进行了类似的数据犯罪。在那个攻击案例中,黑客从 Experian 的竞争对手那里偷走了 1.43 亿美国人的财务细节。
然而,Experian 的一位发言人反驳了还可能存在其他不安全因素的说法。
她对 Threatpost 说:" 我们可以确定这只是一个特例。她告诉 Threatpost 说:" 这种情况并没有牵涉到或损害到 Experian 的任何系统,包括我们的 API。我们会提醒客户解决这个问题。"
她补充说:" 要重申的是,虽然这并没有损害 Experian 的任何系统,但我们非常重视此事。事实上,我们在不断地与客户进行合作,审查他们的工作流程,并确保数据安全。"
当 Threatpost 要求进一步澄清时,她回应说:" 明确地说,这是仅仅存在于这一个客户网站内的漏洞。" 她补充说:" 我们可以确保我们的 API 的安全性。在确定情况的来源后,我们关闭了客户对于 API 的访问权限。"
Demirkapi 告诉 Krebs:" 他们发现了我使用过的一个终端设备,对其进行了维护。但这根本没有解决系统性的问题 "。
应该指出的是,Experian 公司时有发生重大数据安全的事故,该公司在 2015 年就暴露了 1500 万 T-Mobile 客户的数据,包括用户的驾驶执照和护照号码。
安全界抨击 Experian 公司
安全界一直在批判 Experian 的 API 泄露事件,他们说,即使这是一个单一的例子,也是令人担忧的。
Gurucul 的首席执行官 Saryu Nayyar 对这一事件感到难以置信。
Nayyar 说:" 我为 Experian 感到羞耻!泄露出来的信用分数数据以及风险因素可以非常容易被用来进行社会工程学攻击。这些数据是高度敏感的。这些数据可以使网络犯罪分子轻易的获得受害人的信任,而这一切都是因为一个不安全的 API 造成的。
Shared Assessments 的 CISO Tom Garruba 将此次事件归因为不规范的应用开发模式,他还对 Experian 的软件做出了自己的评估。
Garruba 说:" 这个问题的根本原因是由于应用程序的整体安全控制测试不佳造成的。程序的设计者作为应用程序开发过程的一部分,如果在软件开发的生命周期的每个阶段都对代码进行彻底的测试,这些安全事故本来是可以避免的。"
APIs: 一个被大量利用的载体
Garruba 补充说,API 是一个非常明显的攻击载体,本来应该受到保护。
他补充说:" 不安全的 API 是最常见的攻击载体之一,攻击者会利用安全性比较差的应用程序来获取数据。这种糟糕的做法不仅在经济上伤害了每个人,而且还会严重削弱消费者对于使用该应用程序的机构的信任,而且也会损害开发公司的声誉。"
研究人员补充说,这应该是一个很严重的警告,昨天该公司就提醒了他们的客户关停他们的 API。
白帽安全公司副总裁 Setu Kulkarni 告诉 Threatpost 说:"API 是业务整合的语言框架,API 的漏洞是非常致命的。如果你是一个希望与其他公司合作的组织,必须要对 API、网络和移动应用程序进行安全测试,避免因战略合作伙伴的安全漏洞而对自己造成严重的损失。"
事实上,nVisium 的首席执行官 Jack Mannino 指出,这种问题并不是 Experian 独有的。
他说:" 许多正在启动疫苗管理和其他公共卫生服务的网站都在被同样的问题困扰,为了使得系统可以供更多的用户访问,他们通常会存储用户的私人数据。这样做往往需要有很多安全方面的权衡。为了防止系统被黑客攻击,我们需要使用更安全的认证验证过程,访问控制和更智能的反自动化防御措施 "。