Los puntajes crediticios de millones de estadounidenses se expusieron on line en el momento en que un prestamista abusó de una API propiedad de la agencia de informes crediticios Experian. Como Krebs notificó por vez primera sobre seguridad, el estudioso de seguridad independiente Bill Demirkapi estaba estudiando distribuidores de préstamos estudiantiles on line cuando descubrió que podía conseguir sencillamente su puntaje de crédito de Experian sencillamente no ingresando solo una parte de la información que por norma general se precisa para hacerlo. Demirkapi estaba en un lugar que ofrecía contrastar su elegibilidad para el préstamo sencillamente ingresando su nombre, dirección y data de nacimiento. En general, cuando se utiliza un servicio de monitoreo de crédito, los estadounidenses asimismo deben administrar su número de Seguro Social para acceder a sus puntajes de crédito. Tras administrar la información precisa, Demirkapi echó una ojeada al código en el lugar del prestamista y fue entonces cuando descubrió que la compañía había invocado la API de Experian. Brindó más detalles sobre la relevancia de su descubrimiento en una declaración de seguridad a Krebs, diciendo: “Nadie debería poder efectuar una verificación de crédito de Experian con solo información libre en público. Experian debe forzar la información no pública para peticiones promocionales; en caso contrario, un atacante que encontrase una sola vulnerabilidad en un distribuidor podría abusar sencillamente del sistema de Experian. "