Похитители личных данных взломали серьезную уязвимость безопасности Experian и получили доступ к кредитным отчетам клиентов
вычисления techradar.com Новости

Похитители личных данных взломали серьезную уязвимость безопасности Experian и получили доступ к кредитным отчетам клиентов

10 января 2023 г.

На веб-сайте компании-гиганта по предоставлению информации о потребительских кредитах Experian была обнаружена серьезная уязвимость конфиденциальности, которая позволяла хакерам получать кредитные отчеты клиентов. -identity-theft-protection" target="_blank">идентификационные данные, а также небольшие изменения в адресе, отображаемом в адресной строке.

Исследователь кибербезопасности Женя Кушнир обнаружила ошибка в Telegram после наблюдения за тем, как хакеры продают украденные отчеты, и работал с KrebsOnSecurity для дальнейшего расследования.

Идея была проста: если бы у вас были имя жертвы, адрес, день рождения и номер социального страхования (все это можно было бы получить из предыдущий инцидент), вы можете зайти на один из веб-сайтов, предлагающих бесплатные кредитные отчеты, и отправить данные, чтобы запросить один. В этот момент веб-сайт перенаправит вас на веб-сайт Experian, где вам потребуется предоставить более личную информацию, такую ​​как вопросы о предыдущих адресах проживания и т. д.

взлом Experian

И вот здесь недостаток можно использовать. Нет необходимости отвечать ни на один из этих вопросов — все, что вам нужно сделать на этом этапе, — это просто изменить адрес, отображаемый в адресной строке, с «/acr/oow/» на «/acr/report», и вы будет представлен с отчетом.

Во время тестирования концепции Кребс обнаружил, что настройка адреса сначала перенаправляет на «/acr/OcwError», но повторная попытка настройки сработала: «Затем веб-сайт Experian сразу же отобразил весь мой кредитный файл», — говорится в отчете. .

Подробнее

> Познакомьтесь с лучшими брандмауэрами

> Аккаунты Experian все еще могут быть подвержены риску хакеров

> Кредитные баллы миллионов американцев были опубликованы в Интернете

Хорошая новость (если ее можно рассматривать как таковую) заключается в том, что отчеты Experian полны неточностей. В случае с Кребсом в нем было множество телефонных номеров, только один из которых когда-то в прошлом принадлежал автору.

Experian хранит молчание по этому поводу, но тем временем проблема, похоже, решена. Мы не знаем, как долго брешь была активна на сайте и сколько за это время было создано мошеннических отчетов.

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE