Experian, van valami magyarázata – Crips a biztonságról

A KrebsOnSecurity az elmúlt hónapban kétszer hallott olyan olvasóktól, akiknek a számlájuk egy nagy hármas hitelirodánál van. Experian Feltörték, és egy új e-mail címmel frissítették, amely nem az övék. Mindkét esetben az olvasók jelszókezelőket használtak, hogy erős és egyedi jelszavakat válasszanak demófiókjukhoz. A kutatások azt mutatják, hogy a személyazonosság-tolvajok képesek voltak fiókokat eltéríteni egyszerűen úgy, hogy az áldozat személyes adataival és egy másik e-mail címével új fiókot regisztráltak az Experiannál.

John Turner Szoftvermérnök Salt Lake Cityben. Turner elmondta, hogy 2020-ban hozta létre a fiókot az Experiannál, hogy hitelprofilját biztonsági befagyasztással tegye, és jelszókezelőt használt az Experian-fiókja erős, egyedi jelszavának azonosítására és tárolására.

Turner elmondta, hogy 2022 júniusának elején kapott egy e-mailt az Experiantól, amely szerint a fiókjában szereplő e-mail cím megváltozott. Az Experian jelszó-visszaállítása akkoriban haszontalan volt, mert minden jelszó-visszaállítási hivatkozást az új (a csaló) e-mail címére küldtek.

Egy Experian Turner ügyfélszolgálati személyt hosszú várakozás után telefonon elértek, és elkérték a társadalombiztosítási számát (SSN) és a születési dátumát, valamint a fiók PIN-kódját és a bizalmas kérdéseire adott válaszokat. De a PIN-kódot és a titkos kérdéseket már mindenki megváltoztatta, aki újra regisztrált az Experiannál.

„Sikeresen válaszoltam a hiteljelentési kérdésekre, ami jóváhagyott a rendszerükben” – mondta Turner. „Akkor a képviselő felolvasta nekem az aktuálisan tárolt biztonsági kérdéseket és a PIN-kódot, és ezeket biztosan nem használtam volna.”

Turner azt mondta, hogy egy új fiók létrehozásával vissza tudta szerezni az irányítást az Experian-fiókja felett. Most azonban azon töpreng, mit tehetne, hogy megakadályozza egy másik fiók feltörését. Ez azért van, mert Experian Ne kínáljon semmilyen többtényezős hitelesítési lehetőséget a fogyasztói fiókokon.

„A legidegesítőbb az egészben, hogy kaptam később több „ez a bejelentkezési adataid” e-mailt, amelyeket az eredeti támadóknak tulajdonítottak, akik visszamentek és megpróbálták használni az „elfelejtett e-mail/felhasználónév” folyamatot, valószínűleg SSN-t használva. és DOB , de nem az e-mailjükre érkezett, amit vártak volna” – mondta Turner. „Mivel az Experian nem támogatja semmiféle kéttényezős hitelesítést – és nem tudom, hogyan kerültek először a fiókomba -, azóta elég tehetetlennek érzem magam.”

Hogy világos legyen, Experian Tedd Van egy üzleti egysége Egyszeri jelszószolgáltatást értékesít vállalkozásoknak. Ezt azonban nem biztosítja közvetlenül azoknak a fogyasztóknak, akik feliratkoztak hitelprofiljuk kezelésére az Experian webhelyén.

Arthur Richie Zenész és a Boston Landmarks Orchestra társ-ügyvezető igazgatója. Rishi elmondta, hogy nemrégiben értesült arról, hogy az Experian-fiókját eltérítették, miután figyelmeztetést kapott egy hitelfelügyeleti szolgáltatástól (nem az Experiantól), hogy valaki megpróbált számlát nyitni a nevében a JPMorgan Chase-nél.

Rishi elmondta, hogy a figyelmeztetés meglepte, mert az Experian hitelprofilja akkoriban le volt fagyva, és Experian nem értesítette a számláján végzett tevékenységről. Rishi elmondta, hogy Chase beleegyezett abba, hogy visszavonja a jogosulatlan számlakérést, és még a hitelkérdését is törölte (minden hitelhúzás egy kicsit ronthatja a hitelképességét).

De soha nem tudott senkit rávenni az Experian ügyfélszolgálatára, hogy felvegye a telefont, annak ellenére, hogy egy örökkévalóságnak tűnő időt töltött azzal, hogy a vállalat telefonos rendszerén keresztül haladjon. Ekkor döntött úgy Rishi, hogy megnézi, tud-e új fiókot létrehozni magának az Experianban.

„Új Experian fiókot nyithattam a nulláról, az SSN-em, a születési dátumom és néhány alapvető kérdés megválaszolásával, például, hogy milyen autóra kaptam kölcsönt, vagy melyik városban laktam.” azt mondta.tollas.

A felvétel befejeztével Rishi észrevette, hogy az egyensúlya lefagyott.

Turnerhez hasonlóan Richie is aggódik amiatt, hogy a személyazonosság-tolvajok ismét eltérítik az Experian-fiókját, és semmit sem tehet, hogy megakadályozza ezt a forgatókönyvet. Jelenleg Rishi úgy döntött, hogy havonta 25,99 dollárt fizet Experiannak, hogy gondosan figyelje a fiókját a gyanús tevékenységek miatt. Még az Experian fizetős szolgáltatása mellett sem voltak további többtényezős hitelesítési lehetőségek, bár azt mondta, hogy Experian nemrégiben egyszeri kódot küldött SMS-ben a telefonjára, amikor bejelentkezett.

„Az Experian időnként megköveteli az MFA-t számomra, ha új böngészőt használok vagy a VPN-emet futtatom” – mondta Rishi, de nem volt biztos benne, hogy az Experian ingyenes szolgáltatása másképp működne-e.

„Annyira mérges leszek, amikor erre az egészre gondolok” – mondta. „Nem bízom benne, hogy ez nem fog megismétlődni.”

Írásbeli nyilatkozatában Experian azt sugallta, hogy ami Rishivel és Turnerrel történt, az nem mindennapi esemény, és személyazonosságuk és biztonsági ellenőrzésük gyakorlata túlmutat a felhasználó számára láthatókon.

„Úgy gondoljuk, hogy ezek egyéni csalási incidensek lopott fogyasztói információk felhasználásával” – mondta Experian közleményében. „Különlegesen az Ön kérdésére, ha egy Experian-fiók létrehozása után valaki megpróbál létrehozni egy második Experian-fiókot, rendszerünk jelenti az eredeti e-mailt a fájlban.”

„Túllépünk azon, hogy a személyazonosításra alkalmas adatokra (PII) vagy a fogyasztó tudásalapú hitelesítési kérdésekre való támaszkodásán támaszkodunk, hogy hozzáférhessenek rendszereinkhez” – folytatja a nyilatkozat. „Nyilvánvaló biztonsági okokból nem teszünk közzé további folyamatokat; adat- és elemzési képességeink azonban több adatforráson keresztül ellenőrzik az identitáselemeket, és nem láthatók a fogyasztó számára. Ennek célja, hogy pozitívabb élményt nyújtson ügyfeleink számára, és további kiegészítőket biztosítson. Nagyon komolyan vesszük a fogyasztók adatvédelmét és biztonságát, és folyamatosan felülvizsgáljuk biztonsági folyamatainkat, hogy megvédjük magunkat a csalók által jelentett állandó és folyamatosan fejlődő fenyegetésekkel szemben.”

Analitika

A KrebsOnSecurity igyekezett megismételni Turner és Rishi tapasztalatait – hátha az Experian megengedi, hogy újra létrehozzam a fiókomat személyes adataimmal, de más e-mail címmel. A kísérletet más számítógépről és internetcímről végezték, mint amelyik évekkel ezelőtt létrehozta az eredeti fiókot.

Miután megadta az SSN-emet, a születési dátumomat, és válaszolt több feleletválasztós kérdésre, amelyekre a válaszok szinte teljes egészében nyilvános nyilvántartásból származnak, Experian azonnal megváltoztatta a hitelprofilomhoz tartozó e-mail-címet. Ezt anélkül tettem meg, hogy először megerősítettem volna, hogy az új e-mail cím képes válaszolni az üzenetekre, vagy hogy az előző e-mail cím beleegyezett a módosításba.

Az Experian rendszer ezután automatikus üzenetet küldött az eredetileg regisztrált e-mail címre, amelyben közölte, hogy a fiók e-mail címe megváltozott. Az egyetlen lehetőség, amit az Experian felkínált a figyelmeztetésben, az volt, hogy bejelentkezett vagy e-mailt küld egy Experian-postafiókra, amely azt válaszolta, hogy „Ezt az e-mail címet már nem figyeljük”.

Ezután Experian megkért, hogy válasszak ki új titkos kérdéseket és válaszokat, valamint új fiók-PIN-t – hatékony PIN-törlési és -helyreállítási kérdéseket a fiókhoz. Miután megváltoztattam a PIN-kódomat és a biztonsági kérdéseimet, az Experian segítőkészen emlékeztetett arra, hogy a fájl biztonsági lefagyása van, és szeretném eltávolítani vagy ideiglenesen feloldani a biztonsági lefagyást?

Mennyiben különbözik az Experian a gyakorlatoktól Equifax És a TransUnionA másik két nagy fogyasztói hitelbejelentő iroda? Amikor a KrebsOnSecurity megpróbált újból létrehozni egy meglévő TransUnion-fiókot a társadalombiztosítási számommal, a TransUnion elutasította a kérelmet, jelezve, hogy már van fiókom, és felszólította, hogy folytassam az elveszett jelszó folyamatát. Úgy tűnik továbbá, hogy a cég e-mailt küld a regisztrált címre, amelyben kéri a számlamódosítások érvényesítését.

Hasonlóképpen, ha egy meglévő Equifax-fiókot próbál meg újra létrehozni a meglévő fiókommal társított személyes adatok felhasználásával, akkor az Equifax rendszereket arra kéri, hogy jelentsék, hogy már van fiókom, és alkalmazzák a jelszó-visszaállítási folyamatot (amely magában foglalja egy ellenőrző e-mail küldését a fájlban szereplő címre).

A KrebsOnSecurity mindig is sürgette az amerikai olvasókat, hogy helyezzék el valahova Biztonsági befagyasztják aktáikat a három nagy hitelintézetnél. Befagyasztás esetén a potenciális hitelezők nem vonhatják vissza hiteladatait, így kisebb a valószínűsége annak, hogy bárki új hitelkeretet kapjon az Ön nevében. Az olvasóknak is tanácsoltam A három fő irodában kitűzték zászlójukathogy megakadályozzák, hogy a személyazonosság-tolvajok fiókot hozzanak létre Önnek, és átvegyék az irányítást a személyazonossága felett.

Richie, Turner és a szerző tapasztalatai azt mutatják, hogy Experian gyakorlata jelenleg aláássa ezeket a proaktív biztonsági intézkedéseket. még akkor is, Aktív Experian-fiókkal lehet az egyetlen módja annak, hogy megtudja, hogy a csalók felvették-e az Ön személyazonosságát. Mert legalább utána kellene kapnod egy e-mailt az Experiantól, hogy másnak adták a személyazonosságodat.

2021 áprilisában a KrebsOnSecurity felfedte, milyenek a személyazonosság-tolvajok A laza hitelesítés kihasználása az Experian PIN-kód lekérő oldalán Fogyasztói hitelállományok feloldásához. Ezekben az esetekben az Experian nem küldött e-mailes értesítést a PIN-kód lefagyasztásakor, és nem követelte meg, hogy a PIN-kódot elküldjék a fogyasztói fiókhoz már társított e-mail címre.

Néhány nappal a 2021. áprilisi sztori után a Krebs on Security közzétette a hírt Az Experian API felfedte a legtöbb amerikai hitelpontszámát.

Emory Roanszakpolitikai tanácsadója Adatvédelmi jogok elszámolóházaExperian szerint 2022-ben nem indokolt a többtényezős hitelesítés bevezetése a fogyasztói fiókoknál.

„Összeépítik a problémát azáltal, hogy tájékoztatják a helyreállítási folyamatot olyan információkról, amelyekre lehet, hogy harmadik felek adatbrókereiből következtettek, vagy amelyekre korábbi adatvédelmi incidensek során derült fény” – mondta Rowan. „Az Experian az ország egyik legnagyobb fogyasztóvédelmi jelentéstevő ügynöksége, és a hitelrendszer azon kevés fő szereplői közé tartozik, amelyekhez az amerikaiak kénytelenek csatlakozni. Számukra rejtélyes dolog, ha nem nyújtanak valamilyen (ingyenes) MFA-t. és nagyon rosszul tükrözi az Experian.”

Nicholas Weaverkeres Nemzetközi Számítástechnikai Intézet ban ben Kaliforniai Egyetem, BerkeleyElmondta, hogy az Experiannak nincs valódi ösztönzése arra, hogy üzlete fogyasztói oldalán a dolgokat helyesen tegye. Ez azt jelenti, mondta, hacsak az Experian ügyfelei – bankok és más hitelezők – nem a lábukkal szavaznak, mert nagyon sok befagyott hitelállományú embernek kell megbirkóznia jogosulatlan új hitelkéréssel.

„A hitelszolgáltatás valódi ügyfelei nem veszik észre, hogy Experian milyen rossz állapotban van, és nem ez az első eset, hogy az Experian szörnyű kudarcot vallott” – mondta Weaver. „Az Experian egy trió cég része, és biztos vagyok benne, hogy ez pénzbe kerül a tényleges ügyfeleiknek, mert ha feloldják a hitelek befagyasztását, és valaki kölcsönadja, akkor a hitelező fizeti meg a csalás költségeit.”

A fogyasztókkal ellentétben a hitelezőknek választhatnak, hogy a három cég közül melyik kezeli a hitelellenőrzést.

„Fontosnak tartom megjegyezni, hogy a valódi ügyfeleknek van választási lehetőségük, és át kell váltaniuk a TransUnionra és az Equifaxra” – tette hozzá.

További legjobb dalok az Experiantól:

2017: Az Experian bárkinek megadhatja a PIN-kódját, hogy befagyaszthassa hitelét
2015: A tesztsértés 15 millió ügyfelet érint
2015: A NY-NJ-i személyazonosító okmány lopási epizódjához kapcsolódó próbaidőszak
2015: Az Experianban a biztonság kiürül a felvásárlások közepette
2015: Experian sikert aratott a személyazonosság-lopás elleni tömeges akciószolgálattal
2014: Az Experian Lapse lehetővé teszi, hogy a személyazonosság-lopás szolgáltatása 200 millió fogyasztói rekordhoz férhessen hozzá
2013: Kísérleti fogyasztói adatok, amelyeket személyazonosság-lopás szolgálatnak értékesítettek