Персональные данные из баз Experian можно было получить с помощью подмены адресной строки

Как минимум на протяжении 47 дней базы данных компании Experian, занимающейся анализом систем потребительского и бизнес-кредитования, были уязвимы для взломщиков. Как рассказал известный западный эксперт в сфере информационной безопасности Брайан Кребс (Brian Krebs), уязвимость эксплуатировали с помощью подмены содержимого адресной строки. Она была активна с 9 ноября по 26 декабря 2022 года.

Таким образом похитители персональных данных могли получить доступ к полным кредитным отчетам любого потребителя, находящегося в базе Experian. Точное количество скомпрометированных записей неизвестно, однако в общей сложности компания хранит сведения, связанные как минимум с миллиардом человек, среди которых как физические лица, так и представители корпораций.

Для получения доступа к отчетам похитителям было необходимо знать лишь имя человека, его адрес, дату рождения и номер социального страхования. По данным украинского ИБ-эксперта Жени Кушнира, который специально мониторил Telegram-чаты, связанные с финансовыми преступлениями, этой опцией представители даркнета активно пользовались.

Сама уязвимость связана с тем, что обычно сайт Experian для подтверждения личности задает ряд вопросов с несколькими вариантами ответов. Они связаны с финансовой историей посетителя, запрашивающего кредитный отчет. Однако если в определенный момент заменить окончание адреса с /acr/oow/ на /acr/report/, пользователь сразу переходил на страницу с отчетом. При этом эксплойт был активен только при переходе на портал Experian с сайта Annualcreditreport.com, который по запросу обязан бесплатно предоставлять данные пользователям раз в год.

В Experian на сообщение от Креббса и Кушнира отреагировали не сразу. Сначала дыра была устранена, а затем компания обозначила даты, в течение которых уязвимость была активна. При этом никаких других сведений в корпорации не сообщили, отметив лишь, что «столкнулись с локальной технической проблемой, которая могла повлиять на работу ИБ-функций».

RuNews|DarkNews.pro|EngNews
🍋LEMON XCHANGE — лучший анонимный бот-обменник, без лимитов и верификации! -30% на первый обмен по промокоду NEWUSER30

Лучший магазин банковских аккаунтов на рынке — @leakshop_bot