[[397562]]

一名研究人員稱，幾乎每個美國人的信用分?jǐn)?shù)都通過Experian信用局使用的API工具暴露了出來。他說一個貸款網(wǎng)站使用了該工具，但是對該工具沒有做基本的安全保護(hù)措施。

Experian方面駁斥了安全界對該問題可能是系統(tǒng)性問題的猜測。

該工具叫做Experian Connect API，它可以允許貸款人查詢FICO分?jǐn)?shù)。據(jù)公布的一份報告稱，羅切斯特理工學(xué)院的大二學(xué)生Bill Demirkapi在進(jìn)行學(xué)生貸款時，發(fā)現(xiàn)了一個貸款機(jī)構(gòu)只需提供姓名、地址和出生日期就能檢查他的貸款資格。

他說，Demirkapi很驚訝，這個工具使用的就是Experian的一個API。

Demirkapi告訴Krebs On Security說："一般情況下，不應(yīng)該僅僅用公開的信息就可以使用Experian的信用檢查功能。Experian應(yīng)該強(qiáng)制要求用戶使用那些非公開的個人信息進(jìn)行查詢，否則如果在一個使用API的工具中發(fā)現(xiàn)了漏洞，攻擊者就可以很容易地攻擊Experian的系統(tǒng)。”

德米爾卡皮說，他甚至能夠開發(fā)一個命令行工具，讓他自動查詢評分信息，他將其命名為 "很酷的信用評分查詢工具"。

除了可以查看原始的信用分?jǐn)?shù)，克雷布斯說，他能夠使用API從Experian公司獲得風(fēng)險因素說明，這可以查看一個人的信用歷史中存在的問題。

Experian公司泄漏的是系統(tǒng)性的API?

Experian說，它已經(jīng)修復(fù)了那些未受保護(hù)的端點設(shè)備，但一些研究人員擔(dān)心，可能還有其他暴露的Experian API，它們沒有受到網(wǎng)絡(luò)的保護(hù)，很可能會被網(wǎng)絡(luò)犯罪分子利用。在2017年Equifax的違規(guī)事件中，有一個攻擊者進(jìn)行了類似的數(shù)據(jù)犯罪。在那個攻擊案例中，黑客從Experian的競爭對手那里偷走了1.43億美國人的財務(wù)細(xì)節(jié)。

然而，Experian的一位發(fā)言人反駁了還可能存在其他不安全因素的說法。

她對Threatpost說："我們可以確定這只是一個特例。她告訴Threatpost說："這種情況并沒有牽涉到或損害到Experian的任何系統(tǒng)，包括我們的API。我們會提醒客戶解決這個問題。"

她補(bǔ)充說："要重申的是，雖然這并沒有損害Experian的任何系統(tǒng)，但我們非常重視此事。事實上，我們在不斷地與客戶進(jìn)行合作，審查他們的工作流程，并確保數(shù)據(jù)安全。"

當(dāng)Threatpost要求進(jìn)一步澄清時，她回應(yīng)說："明確地說，這是僅僅存在于這一個客戶網(wǎng)站內(nèi)的漏洞。" 她補(bǔ)充說："我們可以確保我們的API的安全性。在確定情況的來源后，我們關(guān)閉了客戶對于API的訪問權(quán)限。”

Demirkapi告訴Krebs："他們發(fā)現(xiàn)了我使用過的一個終端設(shè)備，對其進(jìn)行了維護(hù)。但這根本沒有解決系統(tǒng)性的問題"。

應(yīng)該指出的是，Experian公司時有發(fā)生重大數(shù)據(jù)安全的事故，該公司在2015年就暴露了1500萬T-Mobile客戶的數(shù)據(jù)，包括用戶的駕駛執(zhí)照和護(hù)照號碼。

安全界抨擊Experian公司

安全界一直在批判Experian的API泄露事件，他們說，即使這是一個單一的例子，也是令人擔(dān)憂的。

Gurucul的首席執(zhí)行官Saryu Nayyar對這一事件感到難以置信。

Nayyar說："我為Experian感到羞恥!泄露出來的信用分?jǐn)?shù)數(shù)據(jù)以及風(fēng)險因素可以非常容易被用來進(jìn)行社會工程學(xué)攻擊。這些數(shù)據(jù)是高度敏感的。這些數(shù)據(jù)可以使網(wǎng)絡(luò)犯罪分子輕易的獲得受害人的信任，而這一切都是因為一個不安全的API造成的。

Shared Assessments的CISO Tom Garruba將此次事件歸因為不規(guī)范的應(yīng)用開發(fā)模式，他還對Experian的軟件做出了自己的評估。

Garruba說："這個問題的根本原因是由于應(yīng)用程序的整體安全控制測試不佳造成的。程序的設(shè)計者作為應(yīng)用程序開發(fā)過程的一部分，如果在軟件開發(fā)的生命周期的每個階段都對代碼進(jìn)行徹底的測試，這些安全事故本來是可以避免的。"

APIs: 一個被大量利用的載體

Garruba補(bǔ)充說，API是一個非常明顯的攻擊載體，本來應(yīng)該受到保護(hù)。

他補(bǔ)充說："不安全的API是最常見的攻擊載體之一，攻擊者會利用安全性比較差的應(yīng)用程序來獲取數(shù)據(jù)。這種糟糕的做法不僅在經(jīng)濟(jì)上傷害了每個人，而且還會嚴(yán)重削弱消費者對于使用該應(yīng)用程序的機(jī)構(gòu)的信任，而且也會損害開發(fā)公司的聲譽(yù)。"

研究人員補(bǔ)充說，這應(yīng)該是一個很嚴(yán)重的警告，昨天該公司就提醒了他們的客戶關(guān)停他們的API。

白帽安全公司副總裁Setu Kulkarni告訴Threatpost說："API是業(yè)務(wù)整合的語言框架，API的漏洞是非常致命的。如果你是一個希望與其他公司合作的組織，必須要對API、網(wǎng)絡(luò)和移動應(yīng)用程序進(jìn)行安全測試，避免因戰(zhàn)略合作伙伴的安全漏洞而對自己造成嚴(yán)重的損失。"

事實上，nVisium的首席執(zhí)行官Jack Mannino指出，這種問題并不是Experian獨有的。

他說："許多正在啟動疫苗管理和其他公共衛(wèi)生服務(wù)的網(wǎng)站都在被同樣的問題困擾，為了使得系統(tǒng)可以供更多的用戶訪問，他們通常會存儲用戶的私人數(shù)據(jù)。這樣做往往需要有很多安全方面的權(quán)衡。為了防止系統(tǒng)被黑客攻擊，我們需要使用更安全的認(rèn)證驗證過程，訪問控制和更智能的反自動化防御措施"。

本文翻譯自：https://threatpost.com/experian-api-leaks-american-credit-scores/165731/如若轉(zhuǎn)載，請注明原文地址。