Похитители личных данных взломали серьезную уязвимость безопасности Experian и получили доступ к кредитным отчетам клиентов
10 января 2023 г.На веб-сайте компании-гиганта по предоставлению информации о потребительских кредитах Experian была обнаружена серьезная уязвимость конфиденциальности, которая позволяла хакерам получать кредитные отчеты клиентов. -identity-theft-protection" target="_blank">идентификационные данные, а также небольшие изменения в адресе, отображаемом в адресной строке.
Исследователь кибербезопасности Женя Кушнир обнаружила ошибка в Telegram после наблюдения за тем, как хакеры продают украденные отчеты, и работал с KrebsOnSecurity для дальнейшего расследования.
Идея была проста: если бы у вас были имя жертвы, адрес, день рождения и номер социального страхования (все это можно было бы получить из предыдущий инцидент), вы можете зайти на один из веб-сайтов, предлагающих бесплатные кредитные отчеты, и отправить данные, чтобы запросить один. В этот момент веб-сайт перенаправит вас на веб-сайт Experian, где вам потребуется предоставить более личную информацию, такую как вопросы о предыдущих адресах проживания и т. д.
взлом Experian
И вот здесь недостаток можно использовать. Нет необходимости отвечать ни на один из этих вопросов — все, что вам нужно сделать на этом этапе, — это просто изменить адрес, отображаемый в адресной строке, с «/acr/oow/» на «/acr/report», и вы будет представлен с отчетом.
Во время тестирования концепции Кребс обнаружил, что настройка адреса сначала перенаправляет на «/acr/OcwError», но повторная попытка настройки сработала: «Затем веб-сайт Experian сразу же отобразил весь мой кредитный файл», — говорится в отчете. .
Хорошая новость (если ее можно рассматривать как таковую) заключается в том, что отчеты Experian полны неточностей. В случае с Кребсом в нем было множество телефонных номеров, только один из которых когда-то в прошлом принадлежал автору.
Experian хранит молчание по этому поводу, но тем временем проблема, похоже, решена. Мы не знаем, как долго брешь была активна на сайте и сколько за это время было создано мошеннических отчетов.
- Это наилучшие инструменты для защиты конечных точек из доступных< /ли>ул>
Оригинал