Experian公司的API泄露了大量美国人的信用评分数据
一名研究人员称,几乎每个美国人的信用分数都通过Experian信用局使用的API工具暴露了出来。他说一个贷款网站使用了该工具,但是对该工具没有做基本的安全保护措施。
Experian方面驳斥了安全界对该问题可能是系统性问题的猜测。
该工具叫做Experian ConnectAPI,它可以允许贷款人查询FICO分数。据公布的一份报告称,罗切斯特理工学院的大二学生BillDemirkapi在进行学生贷款时,发现了一个贷款机构只需提供姓名、地址和出生日期就能检查他的贷款资格。
他说,Demirkapi很惊讶,这个工具使用的就是Experian的一个API。
Demirkapi告诉KrebsOnSecurity说:"一般情况下,不应该仅仅用公开的信息就可以使用Experian的信用检查功能。Experian应该强制要求用户使用那些非公开的个人信息进行查询,否则如果在一个使用API的工具中发现了漏洞,攻击者就可以很容易地攻击Experian的系统。”
德米尔卡皮说,他甚至能够开发一个命令行工具,让他自动查询评分信息,他将其命名为 "很酷的信用评分查询工具"。
除了可以查看原始的信用分数,克雷布斯说,他能够使用API从Experian公司获得风险因素说明,这可以查看一个人的信用历史中存在的问题。
Experian公司泄漏的是系统性的API?
Experian说,它已经修复了那些未受保护的端点设备,但一些研究人员担心,可能还有其他暴露的ExperianAPI,它们没有受到网络的保护,很可能会被网络犯罪分子利用。在2017年Equifax的违规事件中,有一个攻击者进行了类似的数据犯罪。在那个攻击案例中,黑客从Experian的竞争对手那里偷走了1.43亿美国人的财务细节。
然而,Experian的一位发言人反驳了还可能存在其他不安全因素的说法。
她对Threatpost说:"我们可以确定这只是一个特例。她告诉Threatpost说:"这种情况并没有牵涉到或损害到Experian的任何系统,包括我们的API。我们会提醒客户解决这个问题。"
她补充说:"要重申的是,虽然这并没有损害Experian的任何系统,但我们非常重视此事。事实上,我们在不断地与客户进行合作,审查他们的工作流程,并确保数据安全。"
当Threatpost要求进一步澄清时,她回应说:"明确地说,这是仅仅存在于这一个客户网站内的漏洞。"她补充说:"我们可以确保我们的API的安全性。在确定情况的来源后,我们关闭了客户对于API的访问权限。”
Demirkapi告诉Krebs:"他们发现了我使用过的一个终端设备,对其进行了维护。但这根本没有解决系统性的问题"。
应该指出的是,Experian公司时有发生重大数据安全的事故,该公司在2015年就暴露了1500万T-Mobile客户的数据,包括用户的驾驶执照和护照号码。
安全界抨击Experian公司
安全界一直在批判Experian的API泄露事件,他们说,即使这是一个单一的例子,也是令人担忧的。
Gurucul的首席执行官Saryu Nayyar对这一事件感到难以置信。
Nayyar说:"我为Experian感到羞耻!泄露出来的信用分数数据以及风险因素可以非常容易被用来进行社会工程学攻击。这些数据是高度敏感的。这些数据可以使网络犯罪分子轻易的获得受害人的信任,而这一切都是因为一个不安全的API造成的。
Shared Assessments的CISO TomGarruba将此次事件归因为不规范的应用开发模式,他还对Experian的软件做出了自己的评估。
Garruba说:"这个问题的根本原因是由于应用程序的整体安全控制测试不佳造成的。程序的设计者作为应用程序开发过程的一部分,如果在软件开发的生命周期的每个阶段都对代码进行彻底的测试,这些安全事故本来是可以避免的。"
APIs: 一个被大量利用的载体
Garruba补充说,API是一个非常明显的攻击载体,本来应该受到保护。
他补充说:"不安全的API是最常见的攻击载体之一,攻击者会利用安全性比较差的应用程序来获取数据。这种糟糕的做法不仅在经济上伤害了每个人,而且还会严重削弱消费者对于使用该应用程序的机构的信任,而且也会损害开发公司的声誉。"
研究人员补充说,这应该是一个很严重的警告,昨天该公司就提醒了他们的客户关停他们的API。
白帽安全公司副总裁SetuKulkarni告诉Threatpost说:"API是业务整合的语言框架,API的漏洞是非常致命的。如果你是一个希望与其他公司合作的组织,必须要对API、网络和移动应用程序进行安全测试,避免因战略合作伙伴的安全漏洞而对自己造成严重的损失。"
事实上,nVisium的首席执行官Jack Mannino指出,这种问题并不是Experian独有的。
他说:"许多正在启动疫苗管理和其他公共卫生服务的网站都在被同样的问题困扰,为了使得系统可以供更多的用户访问,他们通常会存储用户的私人数据。这样做往往需要有很多安全方面的权衡。为了防止系统被黑客攻击,我们需要使用更安全的认证验证过程,访问控制和更智能的反自动化防御措施"。
推荐系统
windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载
语言:中文版系统大小:5.31GB系统类型:Win11windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载,微软win11发布快大半年了,其中做了很多次补丁和修复一些BUG,比之前的版本有一些功能上的调整,目前已经升级到最新版本的镜像系统,并且优化了自动激活,永久使用。windows11中文版镜像国内镜像下载地址微软windows11正式版镜像 介绍:1、对函数算法进行了一定程度的简化和优化
微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载
语言:中文版系统大小:5.31GB系统类型:Win11微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载,微软2022年正式推出了win11系统,很多人迫不及待的要体验,本站提供了最新版的微软Windows11正式版系统下载,微软windows11正式版镜像 是一款功能超级强大的装机系统,是微软方面全新推出的装机系统,这款系统可以通过pe直接的完成安装,对此系统感兴趣,想要使用的用户们就快来下载
微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件
语言:中文版系统大小:0MB系统类型:Win11微软Ghost win11 正式版镜像文件是一款由微软方面推出的优秀全新装机系统,这款系统的新功能非常多,用户们能够在这里体验到最富有人性化的设计等,且全新的柔软界面,看起来非常的舒服~微软Ghost win11 正式版镜像文件介绍:1、与各种硬件设备兼容。 更好地完成用户安装并有效地使用。2、稳定使用蓝屏,系统不再兼容,更能享受无缝的系统服务。3、为
雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载
语言:中文版系统大小:4.75GB系统类型:雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的雨林木风品牌,其系统口碑得到许多人认可,积累了广大的用户群体,雨林木风是一款稳定流畅的系统,一直以来都以用户为中心,是由雨林木风团队推出的Windows11国内镜像版,基于国内用户的习惯,做了系统性能的优化,采用了新的系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载
语言:中文版系统大小:3.91GB系统类型:Win7欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10番茄花园 Windows 10 32位极速企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86企业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
- 1迅雷云播“手机看片神器”使用教程(随时随地秒速离线云播放)
- 2微信公众号怎么年审? 微信公众号年审流程及所需材料介绍
- 3Win10怎么设置网络按流量计费 Win10网络设置流量收费教程
- 4i7 6700主频是多少 i7-6700参数详解
- 5win7蓝屏代码7f指什 怎么解决 很严重
- 6Steam提示“需要在线进行更新,请确认您的网络连接正常”怎么办?
- 7aoc一体机电脑win10改win7系统及bios设置
- 8安卓手机安装运行win7系统教程 安卓手机装win7系统教程
- 9高通骁龙8cx怎么样 高通骁龙8cx处理器详细介绍
- 10华硕b460主板装win7系统及bios设置教程 10代CPU安装Win7教程 BIOS设置 U盘启动 完美支持USB驱动
常用系统
- 1番茄花园Ghost Win8.1 x64 办公纯净版2020年4月(激活版) ISO镜像高速下载
- 2番茄花园 Windows 10 官方企业版 版本1903 2021年11月(64位) ISO高速下载
- 3番茄花园Ghost Win8.1 x64 办公纯净版2022年3月(激活版) ISO镜像高速下载
- 4雨林木风系统 Ghost XP SP3 装机版 YN2022年4月 ISO镜像高速下载
- 5番茄花园 Ghost XP SP3 海量驱动装机版 2018年5月
- 6新萝卜家园Ghost Win8.1 X64位 纯净版2022年2月(自动激活) ISO镜像高费下载
- 7深度技术 Windows 10 x86 企业版 元旦特别 电脑城装机版 版本1903 2022年1月(32位) ISO镜像免费下载
- 8笔记本&台式机专用系统 Windows10 企业版 2019年12月(64位) 提供下载
- 9笔记本&台式机专用系统GhostWin7 64位旗舰版2021年4月(64位) 高速下载
- 10番茄花园Ghost Win8.1 (X32) 纯净版2022年7月(免激活) ISO镜像免费下载