Veri analitiği ve tüketici kredisi raporlama şirketi Experian ile ilgili kredi raporları, web sitesine erişim için sorulan güvenlik sorularını yanıtlamadan görüntülenebildi. Ukraynalı bir güvenlik araştırmacısı olan Jenya Kushnir, Amerikalı İrlandalı şirketteki aksaklık hakkında gazeteci Brian Krebs’e bilgi verdi ve daha sonra aksaklık araştırıldıktan sonra onları uyardı.
KrebsOnSecurity, yazarın yalnızca web sitesi URL’sini değiştirerek güvenlik adımını nasıl atlayabildiğini ve kredi raporuna erişebildiğini vurgulayan bir rapor yayınladı.
Rapora göre, belirli bir aksaklık düzeltildi. Ancak, şu ana kadar hangi verilerin siber suçlular tarafından ifşa edildiği ve bunlara erişildiği net değil.
Experian’ın yanı sıra Equifax ve TransUnion’un da aralarında bulunduğu üç ana şirketten birinde ihlal mağdurlarına ücretsiz kredi izleme hizmetleri sunuldu.
Experian güvenlik açığı: Nasıl keşfedildi?
Jenya Kushnir, yöntemi kullanarak kimlik hırsızlarını Telegram sohbet kanalları aracılığıyla keşfetti. Bu sohbetler, muhtemelen çeşitli şirketlerde siber saldırılardan sonra sızan kullanıcı verilerinin satılması ve satın alınmasıyla ilgiliydi.
Sohbetler aracılığıyla Kushnir, siber suçluların kredi raporlama şirketinin güvenlik duvarını aşmanın ve başkalarının kredi raporlarına erişmenin bir yolunu öğrendiklerini keşfetti.
KrebsOnSecurity’ye gönderdiği bir e-postada Kushnir, “Bir şekilde küçük bir değişiklik yapabilir ve bunu iyileştirmeye yardımcı olabilirsem, kendi içimde gerçekten önemli olan ve başkalarına yardımcı olan bir şey yaptığımı hissedebilirim.”
Bunu takiben Krebs, web sitesi URL’sinin son bitini /acr/OcwError’dan /acr/report’a biraz değiştirerek kredi raporuna erişilebileceğini bulmak için daha fazla araştırdı.
Krebs, araştırmacı tarafından verilen ve o sırada Experian’daki kredi raporunun görüntülenmesine izin veren güvenlik baypasına izin vermeyen talimatları izledi. Ancak, sonunda, güvenlik sorularını yanıtlamadan Experian’ın URL’sinin son bölümünü değiştirerek yaptı.
Kusuru onayladıktan sonra Krebs, 23 Aralık 2022’de şirkete bilgi verdi ve 27 Aralık’ta Experian’dan e-postanın alındığını onaylayan bir yanıt aldı ve sonrasında hiçbir şey yapılmadı. Bu, daha sonra işe yaramadığı için sistemlerdeki kusuru düzelttiklerinde muhtemeldi.
Sorun, Krebs tarafından Senatör Ron Wyden’a (D-Ore) detaylandırıldı ve “Kredi büroları yetersiz bir şekilde düzenleniyor, sanki yasaların üzerindeymiş gibi davranıyorlar ve Kongre’nin gözetimine burun kıvırıyorlar” diyerek endişesini dile getirdi.
Senatör Wyden, Temmuz 2022’de ofisinin Experian’a siber güvenlik açıkları hakkında birkaç brifing talebinde bulunduğu başka bir siber olaydan bahsediyordu.
Kredi Raporu
Krebs tarafından erişilen kredi raporu, web sitesinde güvenliği atlatmak için aynı prosedürü izleyen arkadaşı tarafından erişilen rapor gibi hatalarla doluydu. Arkadaş, kullanıcıların verilerine erişmek için URL’nin değiştirilebileceğini doğruladı.
Tek gereken kullanıcının adı, adresi, doğum günü ve sosyal güvenlik numarasıydı. Ardından rapor incelemeye açıldı. Experian’daki kredi raporuna erişmek için kullanıcının mali geçmişi hakkında hiçbir soru sorulmadı.
Experian, hizmetlerini 1 milyardan fazla müşteriye sunuyor ve bu sayı, siber suç kurbanlarının ücretsiz kredi takibi için kendisine yönlendirilmesiyle artıyor. Saldırıya uğrayan firmaların tüketicileri güvenlik olaylarından mağdur olduktan sonra kredi takibi için Experian ve benzeri firmalara yönlendirilmektedir.