Kredi izleme devi Experian, web sitesinde kritik bir güvenlik açığı bulunduğu tespit edildikten sonra kredi raporlarını siber suçlulara ifşa etti.
Araştırmacı gazeteci Brian Krebs, tüketici ve işletme kredisi raporlamasında dünya lideri olan Experian’ın resmi web sitesinde bir güvenlik açığının şaşırtıcı ayrıntılarını açıkladı. Krebs’e göre, güvenlik açığı kimlik hırsızlığı dolandırıcıları tarafından kullanılırken, Experian’ın bu konuda hiçbir fikri yoktu.
Tipik olarak, Experian kredi raporlarını, insanlar mali geçmişleriyle ilgili çoktan seçmeli birkaç soruyu yanıtladıktan sonra sunar. Ancak, 2022’nin sonunda Experian web sitesi, kullanıcıların bu MCQ’ları atlamasına ve adlarını, doğum tarihlerini, adreslerini ve Sosyal Güvenlik Numaralarını girdikten sonra doğrudan rapora erişmelerine izin veriyordu.
Brian Krebs, Ukrayna merkezli bir güvenlik araştırmacısı Jenya Kushnir tarafından, kimlik hırsızları tarafından bu amaca özel Telegram sohbet kanalları aracılığıyla çalınan kimlikleri elde edebildikleri için istismar edilen bu aksaklık hakkında bilgi aldı. Kushnir, Krebs’e gönderdiği bir e-postada şunları yazdı:
“Bir bok yapmamak ve sıradan insanlar mücadele ettiği için buna bir son vermek ve erişimi zorlaştırmak için yardım etmeye çalışmak istiyorum. Bir şekilde küçük bir değişiklik yapıp bunu iyileştirmeye yardımcı olabilirsem, kendi içimde gerçekten önemli olan ve başkalarına yardımcı olan bir şey yaptığımı hissedebilirim.
Kushnir’in bulgularına göre, siber suçlular, kimlik doğrulama işlemi sırasında bir noktada tarayıcı URL çubuğundaki adresi düzenleyerek herhangi bir kullanıcının kredi raporuna erişmelerine izin vermek için Experian web sitesini kandırabilir.
Krebs daha sonra Experian aracılığıyla Kushnir’in kredi raporunun bir kopyasını isteyerek Kushnir’in iddialarını çapraz kontrol etti. yıllıkkredireport.com. Bu web sitesi, Amerikalılara yılda bir kez kredi raporlarının ücretsiz bir kopyasını sunar.
Rapor, üç büyük raporlama bürosu tarafından yayınlanmaktadır. Ziyaretçinin adını, doğum tarihini, adresini ve Sosyal Güvenlik Numarasını vermesi gerekir. Brian Krebs bu bilgiyi sağladığında, kimlik doğrulamasını tamamlaması için Experian.com’a yönlendirildi. Bu, MCQ’ların göründüğü aşamadır.
Ancak Krebs, Kushnir’den bu aşamada URL’nin “/acr/oow/” olan son kısmını “/acr/report” olarak değiştirirse kredi raporunun görüneceğini öğrendi. Experian web sitesine yönlendirildiğinde, MCQ’ları göstermedi ve kimliğini doğrulamak için yeterli veriye sahip olmadığını belirten “/acr/OcwError” URL’si görüntülendi. Ardından, site Krebs’e üç seçenek sundu:
- Kimlik doğrulama belgelerini içeren bir kredi raporu için bir e-posta gönderin;
- Experian’ı arayın;
- Web sitesine kimlik kanıtı yükleyin.
Ancak Krebs, Kushnir’in kendisine söylediği gibi URL’yi “/acr/report” olarak değiştirdiğinde, Experian kimliğini doğrulayamasa da kendisine tam kredi dosyası gösterildi.
Brian Krebs, bulgularını 23 Aralık 2022’de Experian ile paylaştı ve bildirim, şirketin halkla ilişkiler ekibi tarafından 27 Aralık 2022’de kabul edildi. Bu süre zarfında, istismar yamalandı. Bununla birlikte, bu konunun kimlik hırsızları tarafından ne kadar süredir bilindiği ve istismar edildiği belirsizdir.
Experian Güvenliği ve Veri İhlalleri
Experian, 1 milyardan fazla insan ve işletme hakkında bilgi toplayan ve bir araya getiren dünyanın önde gelen kredi raporlama ajanslarından biridir. 235 milyon bireysel ABD tüketicisinin yanı sıra 25 milyon ABD işletmesinden gelen verilere erişimi vardır ve bu da onu finansal kurumlar, işverenler, ev sahipleri ve daha fazlası için güçlü bir araç haline getirir.
Ancak aynı zamanda Experian, büyük ölçekli veri ihlalleri ve kritik güvenlik açıklarıyla da tanınır. Birkaç yıl önce, böyle bir açık, saldırganların müşterilerin hesap erişimini ve kredi dondurma PIN numaralarını ele geçirmesine olanak tanıyordu.
Ağustos 2020’de Experian’ın 22 milyon müşterinin kişisel bilgilerinin çalındığı büyük bir veri ihlaline maruz kaldığı ortaya çıktı. Başka bir olayda, Experian’ın Brezilya şubesi Serasa Experian, 223 milyon kişinin verilerinin bir bilgisayar korsanı forumuna sızdırıldığı başka bir veri ihlali yaşadı.
İlgili Haberler ve Konular
- Equifax Hacklendi; 143 Milyon Amerikalının SSN’leri Çalındı
- Equifax, 143 milyon veri hackinden sonra Milyarlarca dava açtı
- Kimlik Hırsızlığı – Çevrimiçi Kimliğinizi Güvence altına almanın 5 Yolu
- Dark Web’de Experian ve Whois hesapları satan satıcı
- Experian Hack, T-Mobile Müşterilerinin Veri İhlaline Yol Açıyor