Veiligheidsresearcher Bill Demirkapi heeft op 28 april een veiligheidslek gevonden bij het kredietrapportagebedrijf Experian. Via een onbeveiligde api was het mogelijk om de kredietscore van bijna iedere Amerikaan te achterhalen, aldus siliconANGLE.
Kredietscores, ook wel FICO-scores, worden in de VS gebruikt om de kredietwaardigheid van particulieren te bepalen. Dit in tegenstelling tot de Nederlandse kredietscore, die een indicator is van de kredietwaardigheid van bedrijven.
Experian Connect API
Experian’s Connect API was verantwoordelijk voor het lek. Met deze tool kunnen leningverstrekkers kredietscore-aanvragen automatiseren. Demirkapi kwam erachter dat toen hij zijn kredietwaardigheid op de website van een aangesloten leningverstrekker wou checken, hij met de code toegang kreeg tot de Experian-api. Zonder enige authenticatie kon hij vervolgens de scores van willekeurige Amerikanen opvragen. Daarnaast wist hij een command-line-tool te ontwikkelen om het aanvragen van scores te automatiseren, genaamd “Bill’s Cool Credit Score Lookup Utility”.
In een gesprek met Krebs On Security verklaart de onderzoeker dat niemand een Experian-kredietcheck zou mogen aanvragen met publiekelijk beschikbare informatie. Experian zou volgens Demirkapi niet-publieke informatie verplicht moeten stellen bij aanvragen. Anders kan een aanvaller dankzij een enkele kwetsbaarheid bij een aangesloten bedrijf met gemak het Experian systeem misbruiken.
Michael Isbitski van api-beveiligingsfirma Salt Security Inc. laat weten dat het onbekend is of ook anderen het datalek hebben gebruikt. Experian zou hebben bevestigd dat ze na het ontdekken van het probleem de activiteiten van Demirkapi hebben kunnen traceren. Inmiddels zou het niet meer mogelijk zijn om zonder authenticatie toegang te krijgen tot de api.
Nadelen van integratie
Senior manager beveiligingsoplossingen bij Lookout, Hank Schless, merkt op dat de groei van cloud-gebaseerde diensten en technologieën een groot ecosysteem heeft gecreëerd van onderling verbonden diensten. Hij legt uit dat de integratie tussen verschillende apps en diensten de algehele ervaring makkelijker en naadlozer maakt. Het gemak van integratie zou echter niet ten koste moeten gaan van de veiligheid. Volgens Schless laat het incident zien hoe belangrijk het is om de veiligheidsstatus van alle betrokken partijen te begrijpen. Wanneer je diensten integreert is er altijd het risico dat een aanvaller bij bepaalde gegevens komt via een partnerdienst, aldus de senior manager.
Tip: Datalek bij DigitalOcean, “klein percentage” gegevens op straat
19 uur geleden
