Une faille de l’API Experian a révélé les scores de crédit de milliers d’Américains

  • Français


  • Les scores de crédit de millions d’Américains ont été exposés en ligne après qu’un fournisseur tiers ait mal configuré les clés de l’interface de programmation d’application (API) appartenant à l’agence d’évaluation du crédit Experian. Tel que rapporté par Krebs sur la sécurité, chercheur indépendant en sécurité Bill Demirkapi a découvert une vulnérabilité sur le site du fournisseur d’Experian qui permettait à quiconque de connaître les notes de crédit de n’importe qui en entrant simplement son nom et son adresse postale.

    Demirkapi a déclaré que n’importe qui pouvait accéder à l’API Experian sans aucune sorte d’authentification pour obtenir la cote de crédit d’une personne.

    «Personne ne devrait pouvoir effectuer une vérification de crédit Experian avec uniquement des informations accessibles au public. Experian devrait exiger des informations non publiques pour les demandes promotionnelles, sinon un attaquant qui a trouvé une seule vulnérabilité chez un fournisseur pourrait facilement abuser du système d’Experian », a déclaré Demirkapi.

    Alors qu’Experian a corrigé la vulnérabilité, Demirkapi a déclaré qu’elle pourrait exister dans divers autres sites de fournisseurs tiers associés à Experian.

    «Nous avons été en mesure de confirmer une seule instance de cette situation et avons pris des mesures pour alerter notre partenaire et résoudre le problème. Bien que cela n’ait compromis aucun des systèmes d’Experian, nous prenons cette question très au sérieux. En fait, nous travaillons continuellement avec nos clients pour revoir leurs processus et garantir les meilleures pratiques en matière de sécurité des données », a déclaré Experian.

    Les experts en sécurité disent…

    L’incident de fuite de données Experian nous rappelle l’importance de la sécurité des API. Parler à CISO MAG, Inon Shkedy, un chercheur en sécurité de la société de sécurité Traceable, a déclaré: «À l’ère de la transformation du cloud, nous trouvons de plus en plus d’entreprises qui privilégient malheureusement la livraison rapide à la sécurité. Les développeurs sont sous pression pour créer des fonctionnalités et améliorer l’expérience utilisateur le plus rapidement possible, et la sécurité est souvent une réflexion après coup. Les API qui exposent des informations sensibles, telles que la cote de crédit et les informations financières, doivent toujours être testées pour les problèmes de contrôle d’accès avant le déploiement, et non après qu’elles sont déjà utilisées par les clients. »

    «Faire des tests d’autorisation dans le cadre du pipeline CI / CD devient plus important que jamais, en particulier avec les API qui sont exposées aux consommateurs ou aux partenaires de tous les jours, car même une brèche peut nuire à la confiance, avoir un impact financier massif et des répercussions juridiques», Shkedy ajoutée.

    Source

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *