- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 6ч 10м
- Сделки
- 251
- Нарушения
- 0 / 0
Таким образом похитители персональных данных могли получить доступ к полным кредитным отчетам любого потребителя, находящегося в базе Experian. Точное количество скомпрометированных записей неизвестно, однако в общей сложности компания хранит сведения, связанные как минимум с миллиардом человек, среди которых как физические лица, так и представители корпораций.
Для получения доступа к отчетам похитителям было необходимо знать лишь имя человека, его адрес, дату рождения и номер социального страхования. По данным украинского ИБ-эксперта Жени Кушнира, который специально мониторил Telegram-чаты, связанные с финансовыми преступлениями, этой опцией представители даркнета активно пользовались.
Сама уязвимость связана с тем, что обычно сайт Experian для подтверждения личности задает ряд вопросов с несколькими вариантами ответов. Они связаны с финансовой историей посетителя, запрашивающего кредитный отчет. Однако если в определенный момент заменить окончание адреса с /acr/oow/ на /acr/report/, пользователь сразу переходил на страницу с отчетом. При этом эксплойт был активен только при переходе на портал Experian с сайта Annualcreditreport.com, который по запросу обязан бесплатно предоставлять данные пользователям раз в год.
В Experian на сообщение от Креббса и Кушнира отреагировали не сразу. Сначала дыра была устранена, а затем компания обозначила даты, в течение которых уязвимость была активна. При этом никаких других сведений в корпорации не сообщили, отметив лишь, что «столкнулись с локальной технической проблемой, которая могла повлиять на работу ИБ-функций».
