消费者征信巨头Experian网站存在重大隐私漏洞,黑客可以获取客户征信报告,只需要一点身份数据(在新标签页中打开),并稍微调整了URL栏中显示的地址,专家透露。
网络安全研究员JenyaKushnir在观察黑客出售被盗报告后发现了Telegram上的漏洞,并与KrebsOnSecurity合作(在新标签页中打开)进一步调查。
这个想法很简单——如果你有受害者的姓名、地址、生日和社会安全号码(所有这些都可能从以前的事件中获得),你可以访问一个提供免费信用报告的网站,并将数据提交给请求一个。届时,该网站会将您重定向到Experian网站,您需要在该网站上提交更多个人身份信息,例如有关以前居住地址的问题等。
在测试这个概念时,Krebs发现调整地址首先重定向到“/acr/OcwError”,但再次尝试调整成功了:“Experian的网站然后立即显示了我的整个信用档案,”报告指出。
好消息(如果可以这样看的话)是Experian的报告充满了不准确之处。在Krebs的案例中,它包含许多电话号码,其中只有一个是作者拥有的,在过去的某个时间。
Experian对此事保持沉默,但问题似乎已在此期间得到解决。我们不知道该漏洞在网站上活跃了多长时间,也不知道在这段时间内以欺诈方式生成了多少报告。