Tüketici kredisi raporlama devi Experian’ın web sitesi, bilgisayar korsanlarının müşteri kredi raporlarını almasına izin veren büyük bir gizlilik açığı taşıyordu ve tek gereken küçük bir kimlik verisiydi. (yeni sekmede açılır)ve URL çubuğunda görüntülenen adreste küçük bir değişiklik, uzmanlar ortaya çıkardı.
Siber güvenlik araştırmacısı Jenya Kushnir, çalıntı raporlar satan bilgisayar korsanlarını gözlemledikten sonra Telegram’daki açığı keşfetti ve Telegram ile çalıştı. KrebsOnGüvenlik (yeni sekmede açılır) daha fazla araştırmak için.
Fikir basitti – eğer kurbanın adı, adresi, doğum günü ve Sosyal Güvenlik numarasına sahipseniz (hepsi önceki bir olaydan elde edilmiş olabilir), ücretsiz kredi raporları sunan web sitelerinden birine gidebilir ve verileri gönderebilirsiniz. bir tane iste Bu noktada, web sitesi sizi Experian web sitesine yönlendirecek ve burada daha önceki yaşam adresleri ve benzeri sorular gibi kişisel olarak tanımlanabilecek daha fazla bilgi vermeniz istenecektir.
Experian kesmek
Ve kusurun istismar edilebilir olduğu yer burasıdır. Bu soruların hiçbirini yanıtlamanıza gerek yoktur – bu noktada yapmanız gereken tek şey, URL çubuğunda görüntülenen adresi “/acr/oow/” yerine “/acr/report” olarak değiştirmektir. raporu ile birlikte sunulacaktır.
Konsepti test ederken Krebs, adreste ince ayar yapmanın önce “/acr/OcwError”a yönlendirdiğini, ancak düzeltmeyi tekrar denemenin işe yaradığını gördü: “Daha sonra Experian’ın web sitesi hemen tüm kredi dosyamı görüntüledi” diyor rapor.
İyi haber (eğer öyle görülebilirse) Experian’ın raporlarının yanlışlıklarla dolu olmasıdır. Krebs örneğinde, çok sayıda telefon numarası vardı ve bunlardan yalnızca biri geçmişte bir süre yazara aitti.
Experian konu hakkında sessiz kalıyor, ancak bu arada sorun çözülmüş görünüyor. Kusurun sitede ne kadar süredir aktif olduğunu veya bu süre zarfında hileli bir şekilde kaç tane rapor oluşturulduğunu bilmiyoruz.