Les scores de crédit de millions d’Américains ont été exposés en ligne lorsqu’un prêteur a abusé d’une API appartenant à l’agence d’évaluation du crédit Experian.
Comme signalé pour la première fois par Krebs sur la sécurité, le chercheur indépendant en sécurité Bill Demirkapi cherchait des fournisseurs de prêts étudiants en ligne lorsqu’il a découvert qu’il pouvait facilement remonter son pointage de crédit Experian simplement en entrant seulement une partie des informations normalement nécessaires pour le faire.
Demirkapi était sur un site qui proposait de vérifier son éligibilité au prêt en entrant simplement son nom, son adresse et sa date de naissance. Normalement, lorsqu’ils utilisent un service de surveillance du crédit, les Américains doivent également fournir leur numéro de sécurité sociale pour avoir accès à leurs cotes de crédit.
Après avoir fourni les informations nécessaires, Demirkapi a jeté un coup d’œil au code sur le site du prêteur et c’est alors qu’il a découvert que la société avait invoqué l’API d’Experian. Il a fourni plus de détails sur l’importance de sa découverte dans une déclaration à Krebs sur la sécurité, en disant:
«Personne ne devrait pouvoir effectuer une vérification de crédit Experian avec uniquement des informations accessibles au public. Experian doit imposer des informations non publiques pour les demandes promotionnelles, sinon un attaquant qui a trouvé une seule vulnérabilité chez un fournisseur pourrait facilement abuser du système d’Experian. »
Sommaire
Exposer l’API d’Experian
Pour aggraver les choses, Demirkapi a également constaté que l’API Experian invoquée sur le site Web de ce prêteur en particulier était accessible sans aucune authentification. En fait, il a même pu entrer tous les zéros dans le champ de date de naissance du site pour obtenir le pointage de crédit d’une personne.
De là, Demirkapi a construit son propre outil de ligne de commande pour accélérer ces recherches qu’il a appelé «Bill’s Cool Credit Score Lookup Utility». En plus de pouvoir obtenir le pointage de crédit d’une personne, l’API Experian fournit également des informations sur jusqu’à quatre «facteurs de risque» qui pourraient expliquer pourquoi leur score n’est pas plus élevé.
En fin de compte, Demirkapi a contacté Experian et la société a pu découvrir quel prêteur exposait son API en ligne. Dans un communiqué, Experian a expliqué qu’il prend très au sérieux la sécurité des données et des questions comme celle-ci, en disant:
«Nous avons été en mesure de confirmer un seul cas où cette situation s’est produite et avons pris des mesures pour alerter notre partenaire et résoudre le problème. Bien que la situation n’implique ni ne compromette aucun des systèmes d’Experian, nous prenons cette question très au sérieux. La sécurité des données a toujours été et sera toujours notre priorité absolue. »
Via Krebs sur la sécurité
