אתר האינטרנט של ענקית דיווח האשראי הצרכני Experian עבר פגיעת משמעותית בפרטיות לקוחותיו. מחדל אבטחת מידע איפשר להאקרים להשיג דוחות אשראי של לקוחות וכל מה שנדרש היה לשם כך היה נתון זהות וכוונון כתובת ה- URL. חוקרת אבטחת הסייבר ג'ניה קושניר חשפה את הפגם בטלגרם, לאחר שצפתה בהאקרים המוכרים דוחות אשראי גנובים.
הרעיון היה פשוט – אם היו ברשות ההאקרים שם הנפגע, כתובת, תאריך יום הולדת ומספר תעודת זהות (שכולם היו יכולים להתקבל מפרצות אבטחת מידע אחרות), הם יכלו להיכנס לאחד מאתרי האינטרנט המציעים דוחות אשראי בחינם ולהגיש את הנתונים. בשלב זה, האתר מפנה אותם לאתר Experian שבו הם נדרשים לשלוח מידע אישי יותר מזהה, כגון כתובות מגורים קודמות וכדומה. כאן נוצל פגם אבטחת המידע מכיוון שלא היה צורך לענות על אף אחת מהשאלות הללו, אלא פשוט לשנות את הכתובת המוצגת בשורת הכתובות מ- /acr/oow/ ל- /acr/report וההאקרים מקבלים את דוח האשראי: האתר של Experian הציג מיד את כל קובץ האשראי של הלקוח.
החדשות הטובות (אם אפשר לקרוא להן כך) הן שהדיווחים של Experian מלאים באי דיוקים. Experian אינה חושפת מידע נוסף בנושא, אולם נראה שהבעיה תוקנה בינתיים. לא ידוע כמה זמן היה ליקוי אבטחת המידע פעיל, או כמה דוחות אשראי נגנבו במהלך זמן זה.
