Miljontals amerikaners kreditpoäng avslöjades online när en långivare missbrukade ett API som ägs av kreditupplysningsföretaget Experian. Som Krebs först rapporterade om säkerhet studerade den oberoende säkerhetsforskaren Bill Demirkapi onlinehandlare av studielån när han upptäckte att han lätt kunde få sin Experian-kreditpoäng genom att helt enkelt inte ange en del av den information som vanligtvis krävs för att göra det. Demirkapi var på en sida som erbjöd sig att kontrollera ditt låneberättigande genom att helt enkelt ange ditt namn, adress och födelsedatum. I allmänhet, när de använder en kreditövervakningstjänst, måste amerikaner också hantera sitt personnummer för att få tillgång till sina kreditpoäng. Efter att ha samlat in den nödvändiga informationen tog Demirkapi en titt på koden på långivarens webbplats och upptäckte att företaget hade åberopat Experian API. Han gav mer detaljer om relevansen av hans upptäckt i ett säkerhetsuttalande till Krebs och sa: "Ingen ska kunna göra en Experian-kreditkontroll med bara allmänt tillgänglig information. Experian måste tvinga fram icke-offentlig information för reklamförfrågningar; Annars kan en angripare som hittade en enda sårbarhet hos en distributör helt enkelt missbruka Experians system. "