当前位置：GHOST系统之家>电脑问题 > Experian公司的API泄露了大量美国人的信用评分数据

Experian公司的API泄露了大量美国人的信用评分数据

来源：Ghost系统之家浏览：时间：2022-10-29 11:14:05

一名研究人员称，几乎每个美国人的信用分数都通过Experian信用局使用的API工具暴露了出来。他说一个贷款网站使用了该工具，但是对该工具没有做基本的安全保护措施。

Experian方面驳斥了安全界对该问题可能是系统性问题的猜测。

该工具叫做Experian ConnectAPI，它可以允许贷款人查询FICO分数。据公布的一份报告称，罗切斯特理工学院的大二学生BillDemirkapi在进行学生贷款时，发现了一个贷款机构只需提供姓名、地址和出生日期就能检查他的贷款资格。

他说，Demirkapi很惊讶，这个工具使用的就是Experian的一个API。

Demirkapi告诉KrebsOnSecurity说："一般情况下，不应该仅仅用公开的信息就可以使用Experian的信用检查功能。Experian应该强制要求用户使用那些非公开的个人信息进行查询，否则如果在一个使用API的工具中发现了漏洞，攻击者就可以很容易地攻击Experian的系统。”

德米尔卡皮说，他甚至能够开发一个命令行工具，让他自动查询评分信息，他将其命名为 "很酷的信用评分查询工具"。

除了可以查看原始的信用分数，克雷布斯说，他能够使用API从Experian公司获得风险因素说明，这可以查看一个人的信用历史中存在的问题。

Experian公司泄漏的是系统性的API?

Experian说，它已经修复了那些未受保护的端点设备，但一些研究人员担心，可能还有其他暴露的ExperianAPI，它们没有受到网络的保护，很可能会被网络犯罪分子利用。在2017年Equifax的违规事件中，有一个攻击者进行了类似的数据犯罪。在那个攻击案例中，黑客从Experian的竞争对手那里偷走了1.43亿美国人的财务细节。

然而，Experian的一位发言人反驳了还可能存在其他不安全因素的说法。

她对Threatpost说："我们可以确定这只是一个特例。她告诉Threatpost说："这种情况并没有牵涉到或损害到Experian的任何系统，包括我们的API。我们会提醒客户解决这个问题。"

她补充说："要重申的是，虽然这并没有损害Experian的任何系统，但我们非常重视此事。事实上，我们在不断地与客户进行合作，审查他们的工作流程，并确保数据安全。"

当Threatpost要求进一步澄清时，她回应说："明确地说，这是仅仅存在于这一个客户网站内的漏洞。"她补充说："我们可以确保我们的API的安全性。在确定情况的来源后，我们关闭了客户对于API的访问权限。”

Demirkapi告诉Krebs："他们发现了我使用过的一个终端设备，对其进行了维护。但这根本没有解决系统性的问题"。

应该指出的是，Experian公司时有发生重大数据安全的事故，该公司在2015年就暴露了1500万T-Mobile客户的数据，包括用户的驾驶执照和护照号码。