El gigante de monitoreo de crédito Experian expuso los informes de crédito a los ciberdelincuentes después de que se descubrió que su sitio web tenía una vulnerabilidad crítica.
El periodista de investigación Brian Krebs reveló detalles sorprendentes de una vulnerabilidad de seguridad en el sitio web oficial de Experian líder mundial en informes crediticios comerciales y de consumo. Según Krebs los estafadores de robo de identidad estaban explotando la vulnerabilidad mientras que Experian no tenía idea al respecto.
Por lo general, Experian ofrece informes de crédito después de que las personas respondan varias preguntas de opción múltiple relacionadas con sus antecedentes financieros. Sin embargo, a fines de 2022, el sitio web de Experian permitía a los usuarios omitir estos MCQ y acceder directamente al informe después de ingresar su nombre, fecha de nacimiento, dirección y número de seguro social.
Brian Krebs fue informado por un investigador de seguridad con sede en Ucrania, Jenya Kushnir sobre esta vulnerabilidad que estaba siendo explotada por ladrones de identidad, ya que podían obtener identidades robadas a través de los canales de chat de Telegram dedicados a este propósito. En un correo electrónico a Krebs Kushnir escribió:
“Quiero intentar ayudar a frenarlo y hacerlo más difícil de acceder, ya que no hacer una mierda y la gente común lucha. Si de alguna manera puedo hacer un pequeño cambio y ayudar a mejorar esto dentro de mí puedo sentir que hice algo que realmente importa y que ayudé a otros”.
Según los hallazgos de Kushnir los ciberdelincuentes podrían engañar al sitio web de Experian para que les permita acceder al informe de crédito de cualquier usuario simplemente editando la dirección en la barra de URL del navegador en algún momento durante el proceso de verificación de identidad.
Luego, Krebs cotejó las afirmaciones de Kushnir solicitando una copia de su informe de crédito de Experian a través de annualcreditreport.com . Este sitio web ofrece a los estadounidenses una copia gratuita de su informe crediticio una vez al año.
El informe es emitido por tres importantes oficinas de informes. El visitante debe proporcionar su nombre, fecha de nacimiento, dirección y número de seguro social. Cuando Brian Krebs proporcionó esta información, fue redirigido a Experian.com para finalizar la verificación de identidad. Ese es el escenario cuando aparecen los MCQ.
Sin embargo, Krebs aprendió de Kushnir que en esta etapa si cambia la última parte de la URL de “/acr/oow/” a “/acr/report”, aparecerá su informe crediticio. Cuando fue redirigido al sitio web de Experian, no mostró los MCQ y se mostró la URL “/acr/OcwError”, indicando que no tenía datos suficientes para verificar su identidad. A continuación, el sitio le ofreció a Krebs tres opciones:
- Enviar un correo electrónico para un informe de crédito con documentos de verificación de identidad;
- Llame a Experian;
- Cargue una prueba de identidad en el sitio web.
Pero, cuando Krebs cambió la URL a “/acr/report” como le había dicho Kushnir, se le mostró su archivo de crédito completo a pesar de que Experian no pudo verificar su identidad.
Brian Krebs compartió sus hallazgos con Experian el 23 de diciembre de 2022 y el equipo de relaciones públicas de la empresa acusó recibo de la notificación el 27 de diciembre de 2022. Durante este tiempo se corrigió el exploit. Sin embargo, no está claro durante cuánto tiempo los ladrones de identidad conocían esta vulnerabilidad y se estaba explotando.
Violaciones de datos y seguridad de Experian
Experian es una de las principales agencias de informes crediticios del mundo que recopila y agrega información sobre más de mil millones de personas y empresas. Tiene acceso a datos de 235 millones de consumidores individuales de EE. UU., así como de 25 millones de empresas de EE. UU., lo que la convierte en una poderosa herramienta para instituciones financieras, empleadores, propietarios y más.
Sin embargo, al mismo tiempo, Experian también es conocido por violaciones de datos a gran escala y fallas de seguridad críticas. Hace algunos años, una de esas fallas permitió a los atacantes obtener acceso a la cuenta de los clientes y sus números PIN de congelación de crédito.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
