fastestinfo
Гость
Как минимум на протяжении 47 дней базы данных компании Experian, занимающейся анализом систем потребительского и бизнес-кредитования, были уязвимы для взломщиков. Как рассказал (Experian Glitch Exposing Credit Files Lasted 47 Days – Krebs on Security) известный западный эксперт в сфере информационной безопасности Брайан Кребс (Brian Krebs), уязвимость эксплуатировали с помощью подмены содержимого адресной строки. Она была активна с 9 ноября по 26 декабря 2022 года.
Таким образом похитители персональных данных могли получить доступ к полным кредитным отчетам любого потребителя, находящегося в базе Experian. Точное количество скомпрометированных записей неизвестно, однако в общей сложности компания хранит сведения, связанные как минимум с миллиардом человек, среди которых как физические лица, так и представители корпораций.
Для получения доступа к отчетам похитителям было необходимо знать лишь имя человека, его адрес, дату рождения и номер социального страхования. По данным украинского ИБ-эксперта Жени Кушнира, который специально мониторил Telegram-чаты, связанные с финансовыми преступлениями, этой опцией представители даркнета активно пользовались.
Сама уязвимость связана с тем, что обычно сайт Experian для подтверждения личности задает ряд вопросов с несколькими вариантами ответов. Они связаны с финансовой историей посетителя, запрашивающего кредитный отчет. Однако если в определенный момент заменить окончание адреса с /acr/oow/ на /acr/report/, пользователь сразу переходил на страницу с отчетом. При этом эксплойт был активен только при переходе на портал Experian с сайта Annualcreditreport.com, который по запросу обязан бесплатно предоставлять данные пользователям раз в год.
В Experian на сообщение от Креббса и Кушнира отреагировали не сразу. Сначала дыра была устранена, а затем компания обозначила даты, в течение которых уязвимость была активна. При этом никаких других сведений в корпорации не сообщили, отметив лишь, что «столкнулись с локальной технической проблемой, которая могла повлиять на работу ИБ-функций».
Таким образом похитители персональных данных могли получить доступ к полным кредитным отчетам любого потребителя, находящегося в базе Experian. Точное количество скомпрометированных записей неизвестно, однако в общей сложности компания хранит сведения, связанные как минимум с миллиардом человек, среди которых как физические лица, так и представители корпораций.
Для получения доступа к отчетам похитителям было необходимо знать лишь имя человека, его адрес, дату рождения и номер социального страхования. По данным украинского ИБ-эксперта Жени Кушнира, который специально мониторил Telegram-чаты, связанные с финансовыми преступлениями, этой опцией представители даркнета активно пользовались.
Сама уязвимость связана с тем, что обычно сайт Experian для подтверждения личности задает ряд вопросов с несколькими вариантами ответов. Они связаны с финансовой историей посетителя, запрашивающего кредитный отчет. Однако если в определенный момент заменить окончание адреса с /acr/oow/ на /acr/report/, пользователь сразу переходил на страницу с отчетом. При этом эксплойт был активен только при переходе на портал Experian с сайта Annualcreditreport.com, который по запросу обязан бесплатно предоставлять данные пользователям раз в год.
В Experian на сообщение от Креббса и Кушнира отреагировали не сразу. Сначала дыра была устранена, а затем компания обозначила даты, в течение которых уязвимость была активна. При этом никаких других сведений в корпорации не сообщили, отметив лишь, что «столкнулись с локальной технической проблемой, которая могла повлиять на работу ИБ-функций».