0
0
A Experian, agência de crédito ao consumidor, apenas corrigiu uma fraqueza com um site parceiro que permite que qualquer pessoa procure a pontuação de crédito de dezenas de milhões de americanos apenas fornecendo seu nome e endereço de e-mail, a KrebsOnSecurity descobriu. A Experian diz que ligou o vazamento de dados, mas o pesquisador que relatou a descoberta diz que teme que a mesma fraqueza possa estar presente em inúmeros outros sites de empréstimos que trabalham com o departamento de crédito.
Bill Demirkapi, um pesquisador independente de segurança que atualmente está no segundo ano do Instituto de Tecnologia de Rochester,disse que descobriu a exposição de dados enquanto fazia compras online para vendedores de empréstimos estudantis.
Demirkapi encontrou o site de um credor que se ofereceu para verificar sua elegibilidade do empréstimo digitando seu nome, endereço e data de nascimento. Olhando para o código por trás desta página de pesquisa, ele foi capaz de vê-lo invocado uma Interface de Programação de Aplicativos Experian ou API — um recurso que permite aos credores automatizar consultas para pontuações de crédito FICO do bureau de crédito.
“Ninguém deve ser capaz de realizar um cheque de crédito experian com apenas informações disponíveis publicamente”, disse Demirkapi. “A Experian deve exigir informações não públicas para consultas promocionais, caso contrário, um invasor que encontrou uma única vulnerabilidade em um fornecedor poderia facilmente abusar do sistema da Experian.”
Demirkapi descobriu que a API experiana poderia ser acessada diretamente sem qualquer tipo de autenticação, e que entrar em todos os zeros no campo “data de nascimento” permitiu que ele puxasse a pontuação de crédito de uma pessoa. Ele até construiu uma ferramenta de linha de comando útil para automatizar as buscas, que ele chamou de “Utilitário de Busca de Pontuação de Crédito Legal de Bill”.
A ferramenta de busca de pontuação de crédito Experian da Demirkapi.
KrebsOnSecurity colocou essa ferramenta à prova, pedindo permissão de um amigo para que Demirkapi procurasse sua pontuação de crédito. O amigo concordou e disse que iria tirar sua pontuação da Experian (neste momento eu não tinha dito a ele que Experian estava envolvido). O placar que ele deu correspondeu ao placar devolvido pela ferramenta de busca de Demirkapi.
Além dos escores de crédito, a API Experian retorna para cada consumidor até quatro “fatores de risco”, indicadores que podem ajudar a explicar por que a pontuação de uma pessoa não é maior.
Por exemplo, no caso do meu amigo, a ferramenta do Bill disse que sua pontuação em meados dos anos 700 poderia ser melhor se a proporção de saldos para os limites de crédito fosse menor, e se ele não devesse tanto em contas de crédito rotativo.
“Muitas contas da empresa de finanças de consumo”, concluiu a API sobre a pontuação do meu amigo.
A razão pela qual não pude testar as descobertas de Demirkapi sobre minha própria pontuação de crédito é que temos um congelamento de segurança em nossos arquivos nos três principais escritóriosde relatórios de crédito ao consumidor , e um congelamento bloqueia essa API em particular de retirar as informações.
Demirkapi se recusou a compartilhar com a Experian o nome do credor ou o site onde a API foi exposta. Ele recusou porque disse que suspeita que pode haver centenas ou mesmo milhares de empresas usando a mesma API, e que muitos desses credores poderiam estar vazando o acesso aos dados de consumo da Experian.
“Se os avisarmos sobre o ponto final específico, eles podem simplesmente proibir/trabalhar com o fornecedor de empréstimos para bloquear essas solicitações neste caso, o que não resolve o problema sistêmico”, explicou.
No entanto, após ser contatado por este repórter, a Experian descobriu por conta própria qual credor estava expondo sua API; Demirkapi disse que o site do fornecedor agora indica que o acesso à API foi desativado.
“Conseguimos confirmar uma única instância de onde essa situação ocorreu e tomamos medidas para alertar nosso parceiro e resolver o assunto”, disse a Experian em um comunicado por escrito. “Embora a situação não implique ou comprometa nenhum dos sistemas da Experian, levamos este assunto muito a sério. A segurança dos dados sempre foi, e sempre será, nossa maior prioridade.”
Demirkapi disse que está desapontado que Experian fez exatamente o que ele temia que eles fariam.
“Eles encontraram um ponto final que eu estava usando e o enviaram para o modo de manutenção”, disse ele. “Mas isso não aborda a questão sistêmica em tudo.”
APIs vazadas e mal protegidas como a que Demirkapi encontrou são a fonte de muitas travessuras nas mãos de ladrões de identidade. No início deste mês, a gigante de seguros de automóveis Geico divulgou que os fraudadores abusaram de um bug em seu site para roubar números de carteira de motorista dos americanos.
Geico disse que os dados foram usados por ladrões envolvidos na solicitação fraudulenta de benefícios de seguro-desemprego. Muitos estados agora exigem números de carteira de motorista como forma de verificar a identidade de um candidato.
Em 2013, a KrebsOnSecurity divulgou a notícia sobre um serviço de roubo de identidade no subsolo que programáticamente retirou dados confidenciais de crédito ao consumidor diretamente de uma subsidiária da Experian. Esse serviço era dirigido por um hacker vietnamita que tinha dito à subsidiária experiana que ele era um investigador particular. O Serviço Secreto dos EUA disse mais tarde que o serviço de roubo de identidade “causou mais danos financeiros materiais a mais americanos do que qualquer outro.”
Leitura adicional: O Credit Freeze Security da Experian ainda é uma piada (27 de abril de 2021)
FONTE: KREBS ON SECURITY