Los equipos de seguridad de la popular agencia de crédito al consumidor Experian anunciaron la corrección de una debilidad en un sitio web asociado que habría permitido a cualquier usuario no autorizado realizar búsquedas crediticias relacionadas con millones de ciudadanos estadounidenses. A pesar de que la falla ya ha sido resuelta, el investigador que realizó el primer reporte menciona que este mismo escenario podría replicarse en muchos otros sitios web que trabajan con Experian.
Bill Demirkapi, investigador de seguridad independiente y estudiante en Rochester Institute of Technology, dijo que descubrió esta filtración mientras buscaba servicios de préstamos para estudiantes universitarios.
El estudiante menciona que encontró un sitio web en el que se le ofrecía verificar su elegibilidad para un préstamo con solo ingresar su nombre, dirección y fecha de nacimiento: “Al verificar el código de este sitio web, pude ver que se invocaba una API de Experian”, mencionó Demirkapi. Por obvias razones, este no es un proceso que debería estar disponible para cualquier sitio web de préstamos: “Experian debe exigir información no pública para esta clase de consultas, pues los atacantes podrían usar esta condición como una vulnerabilidad”, agrega el experto.
Demirkapi descubrió que se podía acceder a la API de Experian directamente sin ningún tipo de autenticación, y que ingresar solo ceros en el campo de “fecha de nacimiento” permitía obtener el puntaje crediticio de casi cualquier usuario, incluso creando una herramienta de línea de comandos para realizar una búsqueda automatizada.
Un grupo de investigadores probó esta herramienta y pudo demostrar que es realmente funcional, ayudando a encontrar las puntuaciones de crédito y factores de riesgo para los usuarios analizados.
Demirkapi se negó a compartir con Experian el nombre del prestamista o el sitio web donde se expuso la API, argumentando que podría haber muchos más sitios exponiendo esta información: “Si permitimos que sepan el nombre de este sitio web, Experian podría limitarse a simplemente bloquear solicitudes específicas, lo que realmente no soluciona nada.”
Aún así, poco después de recibir el informe de Demirkapi los equipos de seguridad de Experian descubrieron el origen de la filtración: “Hemos confirmado que solo una instancia se ve impactada por este incidente, además de que ya ha sido corregida.”
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
