El sitio web del gigante de informes crediticios del consumidor Experian tenía una importante vulnerabilidad de privacidad que permitía a los piratas informáticos obtener informes crediticios de los clientes, y todo lo que necesitaban eran algunos datos de identidad. (se abre en una pestaña nueva)y un pequeño ajuste a la dirección que se muestra en la barra de URL, revelaron los expertos.
La investigadora de ciberseguridad Jenya Kushnir descubrió la falla en Telegram, luego de observar a los piratas informáticos que vendían informes robados, y trabajó con KrebsOnSecurity. (se abre en una pestaña nueva) para investigarlo más a fondo.
La idea era simple: si tenía el nombre, la dirección, el cumpleaños y el número de Seguro Social de la víctima (todos los cuales podrían obtenerse de un incidente anterior), podía ir a uno de los sitios web que ofrecen informes de crédito gratuitos y enviar los datos a pide uno En ese momento, el sitio web lo redirigirá al sitio web de Experian, donde se le solicitará que envíe más información de identificación personal, como preguntas sobre direcciones anteriores de viviendas y demás.
truco de Experian
Y aquí es donde la falla es explotable. No hay necesidad de responder ninguna de esas preguntas; todo lo que necesita hacer en este punto es simplemente cambiar la dirección que se muestra en la barra de URL, de «/acr/oow/» a «/acr/report», y Sería presentado con el informe.
Mientras probaba el concepto, Krebs descubrió que ajustar la dirección primero redirige a «/acr/OcwError», pero intentarlo nuevamente funcionó: «El sitio web de Experian mostró inmediatamente mi archivo de crédito completo», afirma el informe.
La buena noticia (si puede verse como tal) es que los informes de Experian están llenos de inexactitudes. En el caso de Krebs, tenía numerosos números de teléfono, de los cuales solo uno era propiedad del autor, en algún momento del pasado.
Experian permanece en silencio sobre el asunto, pero el problema parece haberse solucionado mientras tanto. No sabemos durante cuánto tiempo estuvo activa la falla en el sitio, o cuántos informes se generaron de manera fraudulenta durante ese tiempo.