[[397562]]

一名研究人員稱，幾乎每個(gè)美國(guó)人的信用分?jǐn)?shù)都通過Experian信用局使用的API工具暴露了出來。他說一個(gè)貸款網(wǎng)站使用了該工具，但是對(duì)該工具沒有做基本的安全保護(hù)措施。

Experian方面駁斥了安全界對(duì)該問題可能是系統(tǒng)性問題的猜測(cè)。

該工具叫做Experian Connect API，它可以允許貸款人查詢FICO分?jǐn)?shù)。據(jù)公布的一份報(bào)告稱，羅切斯特理工學(xué)院的大二學(xué)生Bill Demirkapi在進(jìn)行學(xué)生貸款時(shí)，發(fā)現(xiàn)了一個(gè)貸款機(jī)構(gòu)只需提供姓名、地址和出生日期就能檢查他的貸款資格。

他說，Demirkapi很驚訝，這個(gè)工具使用的就是Experian的一個(gè)API。

Demirkapi告訴Krebs On Security說："一般情況下，不應(yīng)該僅僅用公開的信息就可以使用Experian的信用檢查功能。Experian應(yīng)該強(qiáng)制要求用戶使用那些非公開的個(gè)人信息進(jìn)行查詢，否則如果在一個(gè)使用API的工具中發(fā)現(xiàn)了漏洞，攻擊者就可以很容易地攻擊Experian的系統(tǒng)。”

德米爾卡皮說，他甚至能夠開發(fā)一個(gè)命令行工具，讓他自動(dòng)查詢?cè)u(píng)分信息，他將其命名為 "很酷的信用評(píng)分查詢工具"。

除了可以查看原始的信用分?jǐn)?shù)，克雷布斯說，他能夠使用API從Experian公司獲得風(fēng)險(xiǎn)因素說明，這可以查看一個(gè)人的信用歷史中存在的問題。

Experian公司泄漏的是系統(tǒng)性的API?

Experian說，它已經(jīng)修復(fù)了那些未受保護(hù)的端點(diǎn)設(shè)備，但一些研究人員擔(dān)心，可能還有其他暴露的Experian API，它們沒有受到網(wǎng)絡(luò)的保護(hù)，很可能會(huì)被網(wǎng)絡(luò)犯罪分子利用。在2017年Equifax的違規(guī)事件中，有一個(gè)攻擊者進(jìn)行了類似的數(shù)據(jù)犯罪。在那個(gè)攻擊案例中，黑客從Experian的競(jìng)爭(zhēng)對(duì)手那里偷走了1.43億美國(guó)人的財(cái)務(wù)細(xì)節(jié)。

然而，Experian的一位發(fā)言人反駁了還可能存在其他不安全因素的說法。

她對(duì)Threatpost說："我們可以確定這只是一個(gè)特例。她告訴Threatpost說："這種情況并沒有牽涉到或損害到Experian的任何系統(tǒng)，包括我們的API。我們會(huì)提醒客戶解決這個(gè)問題。"

她補(bǔ)充說："要重申的是，雖然這并沒有損害Experian的任何系統(tǒng)，但我們非常重視此事。事實(shí)上，我們?cè)诓粩嗟嘏c客戶進(jìn)行合作，審查他們的工作流程，并確保數(shù)據(jù)安全。"

當(dāng)Threatpost要求進(jìn)一步澄清時(shí)，她回應(yīng)說："明確地說，這是僅僅存在于這一個(gè)客戶網(wǎng)站內(nèi)的漏洞。" 她補(bǔ)充說："我們可以確保我們的API的安全性。在確定情況的來源后，我們關(guān)閉了客戶對(duì)于API的訪問權(quán)限。”

Demirkapi告訴Krebs："他們發(fā)現(xiàn)了我使用過的一個(gè)終端設(shè)備，對(duì)其進(jìn)行了維護(hù)。但這根本沒有解決系統(tǒng)性的問題"。

應(yīng)該指出的是，Experian公司時(shí)有發(fā)生重大數(shù)據(jù)安全的事故，該公司在2015年就暴露了1500萬T-Mobile客戶的數(shù)據(jù)，包括用戶的駕駛執(zhí)照和護(hù)照號(hào)碼。

安全界抨擊Experian公司

安全界一直在批判Experian的API泄露事件，他們說，即使這是一個(gè)單一的例子，也是令人擔(dān)憂的。

Gurucul的首席執(zhí)行官Saryu Nayyar對(duì)這一事件感到難以置信。

Nayyar說："我為Experian感到羞恥!泄露出來的信用分?jǐn)?shù)數(shù)據(jù)以及風(fēng)險(xiǎn)因素可以非常容易被用來進(jìn)行社會(huì)工程學(xué)攻擊。這些數(shù)據(jù)是高度敏感的。這些數(shù)據(jù)可以使網(wǎng)絡(luò)犯罪分子輕易的獲得受害人的信任，而這一切都是因?yàn)橐粋€(gè)不安全的API造成的。

Shared Assessments的CISO Tom Garruba將此次事件歸因?yàn)椴灰?guī)范的應(yīng)用開發(fā)模式，他還對(duì)Experian的軟件做出了自己的評(píng)估。

Garruba說："這個(gè)問題的根本原因是由于應(yīng)用程序的整體安全控制測(cè)試不佳造成的。程序的設(shè)計(jì)者作為應(yīng)用程序開發(fā)過程的一部分，如果在軟件開發(fā)的生命周期的每個(gè)階段都對(duì)代碼進(jìn)行徹底的測(cè)試，這些安全事故本來是可以避免的。"

APIs: 一個(gè)被大量利用的載體

Garruba補(bǔ)充說，API是一個(gè)非常明顯的攻擊載體，本來應(yīng)該受到保護(hù)。

他補(bǔ)充說："不安全的API是最常見的攻擊載體之一，攻擊者會(huì)利用安全性比較差的應(yīng)用程序來獲取數(shù)據(jù)。這種糟糕的做法不僅在經(jīng)濟(jì)上傷害了每個(gè)人，而且還會(huì)嚴(yán)重削弱消費(fèi)者對(duì)于使用該應(yīng)用程序的機(jī)構(gòu)的信任，而且也會(huì)損害開發(fā)公司的聲譽(yù)。"

研究人員補(bǔ)充說，這應(yīng)該是一個(gè)很嚴(yán)重的警告，昨天該公司就提醒了他們的客戶關(guān)停他們的API。

白帽安全公司副總裁Setu Kulkarni告訴Threatpost說："API是業(yè)務(wù)整合的語言框架，API的漏洞是非常致命的。如果你是一個(gè)希望與其他公司合作的組織，必須要對(duì)API、網(wǎng)絡(luò)和移動(dòng)應(yīng)用程序進(jìn)行安全測(cè)試，避免因戰(zhàn)略合作伙伴的安全漏洞而對(duì)自己造成嚴(yán)重的損失。"

事實(shí)上，nVisium的首席執(zhí)行官Jack Mannino指出，這種問題并不是Experian獨(dú)有的。

他說："許多正在啟動(dòng)疫苗管理和其他公共衛(wèi)生服務(wù)的網(wǎng)站都在被同樣的問題困擾，為了使得系統(tǒng)可以供更多的用戶訪問，他們通常會(huì)存儲(chǔ)用戶的私人數(shù)據(jù)。這樣做往往需要有很多安全方面的權(quán)衡。為了防止系統(tǒng)被黑客攻擊，我們需要使用更安全的認(rèn)證驗(yàn)證過程，訪問控制和更智能的反自動(dòng)化防御措施"。

本文翻譯自：https://threatpost.com/experian-api-leaks-american-credit-scores/165731/如若轉(zhuǎn)載，請(qǐng)注明原文地址。