Experian, yapacak bir açıklaman var – Güvenlikle ilgili sorunlar

KrebsOnSecurity, hesapları büyük bir üçlü kredi bürosunda olan okuyuculardan geçen ay iki kez haber aldı deneyim Saldırıya uğradı ve kendilerine ait olmayan yeni bir e-posta adresiyle güncellendi. Her iki durumda da okuyucular, demo hesapları için güçlü ve benzersiz parolalar seçmek için parola yöneticilerini kullandı. Araştırmalar, kimlik hırsızlarının kurbanın kişisel bilgilerini ve farklı bir e-posta adresini kullanarak Experian’da yeni hesaplara kaydolarak hesapları ele geçirebildiğini gösteriyor.

John Turner Salt Lake City’de yaşayan bir yazılım mühendisi. Turner, 2020’de Experian’da kredi profiline bir güvenlik dondurması koymak için hesabı oluşturduğunu ve Experian hesabı için güçlü, benzersiz bir şifre belirlemek ve saklamak için bir şifre yöneticisi kullandığını söyledi.

Turner, Haziran 2022’nin başlarında Experian’dan hesabındaki e-posta adresinin değiştiğini belirten bir e-posta aldığını söyledi. Experian’ın parola sıfırlaması o noktada işe yaramazdı çünkü herhangi bir parola sıfırlama bağlantısı yeni (dolandırıcının) e-posta adresine gönderilecekti.

Bir Experian Turner destek görevlisine uzun bir bekleyişin ardından telefonla ulaşılarak Sosyal Güvenlik Numarası (SSN) ve doğum tarihi ile hesap PIN’i ve gizli sorularına yanıtlar istendi. Ancak PIN ve Gizli Sorular, Experian’a yeniden kaydolan herkes tarafından zaten değiştirilmiştir.

Turner, “Beni sistemlerinde onaylayan kredi raporu sorularını başarıyla yanıtlayabildim” dedi. “Bu noktada, temsilci bana mevcut saklanan güvenlik sorularını ve PIN’i okudu ve bunlar kesinlikle benim kullanacağım şeyler değildi.”

Turner, Experian hesabının kontrolünü yeni bir hesap oluşturarak yeniden ele geçirebileceğini söyledi. Ama şimdi başka bir hesabın saldırıya uğramasını önlemek için ne yapabileceğini merak ediyor. Bunun nedeni Experian’ın Tüketici hesaplarında herhangi bir çok faktörlü kimlik doğrulama seçeneği sunmayın.

“Bütün bu şeyin en sinir bozucu yanı, daha sonra geri dönen ve büyük olasılıkla SSN kullanarak ‘e-postayı/kullanıcı adını unuttum’ akışını kullanmaya çalışan orijinal saldırganlara atfedilen birkaç ‘bu sizin giriş bilgileriniz’ e-postaları almamdı. ve DOB , ancak bekledikleri e-postalarına gitmedi, “dedi Turner. “Experian hiçbir şekilde iki faktörlü kimlik doğrulamayı desteklemediğinden ve ilk başta hesabıma nasıl girdiklerini bilmiyorum – o zamandan beri kendimi oldukça çaresiz hissettim.”

Açık olmak gerekirse, Experian Yapmak İş birimi var İşletmelere tek kullanımlık şifre hizmetleri satıyor. Ancak bunu doğrudan Experian web sitesinde kredi profillerini yönetmek için kaydolan tüketicilere sağlamaz.

Arthur Richie Müzisyen ve Boston Landmarks Orchestra’nın ortak yöneticisi. Rishi, yakın zamanda, bir kredi izleme hizmetinden (Experian’ın değil) birinin JPMorgan Chase’de kendi adına bir hesap açmaya çalıştığına dair bir uyarı aldıktan sonra Experian hesabının ele geçirildiğini öğrendiğini söyledi.

Rishi, Experian kredi profilinin o sırada dondurulması nedeniyle uyarının kendisini şaşırttığını ve Experian’ın hesabındaki herhangi bir aktiviteyi kendisine bildirmediğini söyledi. Rishi, Chase’in yetkisiz hesap talebini iptal etmeyi kabul ettiğini ve hatta kredi sorgulamasını iptal ettiğini söyledi (her kredi çekimi kredi puanınızı biraz incitebilir).

Ancak, şirketin telefon tabanlı sisteminde ilerlemek için sonsuz gibi görünen bir süreyi harcamasına rağmen, Experian desteğinden hiç kimsenin telefona cevap vermesini sağlayamadı. İşte o zaman Rishi, Experian’da kendisi için yeni bir hesap oluşturup oluşturamayacağını görmeye karar verdi.

“SSN’mi, doğum tarihimi kullanarak ve ne tür bir araba için kredi aldığım veya hangi şehirde yaşadığım gibi gerçekten temel bazı soruları yanıtlayarak sıfırdan başlayarak yeni bir Experian hesabı açabildim.” tüylü dedi.

Kaydı tamamladıktan sonra, Rishi dengesinin donduğunu fark etti.

Turner gibi Richie de artık kimlik hırsızlarının Experian hesabını tekrar ele geçireceğinden ve böyle bir senaryoyu önlemek için yapabileceği hiçbir şey olmadığından endişeleniyor. Şu anda, Rishi, hesabını herhangi bir şüpheli etkinlik için yakından izlemek için Experian’a ayda 25.99 $ ödemeye karar verdi. Experian’ın ücretli hizmetinde bile, ek çok faktörlü kimlik doğrulama seçeneği yoktu, ancak Experian’ın son zamanlarda oturum açtığında telefonuna SMS yoluyla bir kerelik bir kod gönderdiğini söyledi.

“Yeni bir tarayıcı kullanıyorsam veya VPN’imi çalıştırıyorsam Experian şimdi benim için bazen MFA gerektiriyor,” dedi Rishi, ancak Experian’ın ücretsiz hizmetinin farklı şekilde çalışıp çalışmayacağından emin değildi.

“Bütün bunları düşününce çok sinirleniyorum” dedi. “Bunun bir daha olmayacağına dair hiçbir güvenim yok.”

Experian yaptığı yazılı açıklamada, Rishi ve Turner’ın başına gelenlerin sıradan bir olay olmadığını, kimlik ve güvenlik doğrulama uygulamalarının kullanıcı tarafından görünenin ötesine geçtiğini öne sürdü.

Experian yaptığı açıklamada, “Bunların çalıntı tüketici bilgilerini kullanan bireysel dolandırıcılık olayları olduğuna inanıyoruz.” Dedi. “Sorunuza özel, bir Experian hesabı oluşturulduktan sonra, biri ikinci bir Experian hesabı oluşturmaya çalışırsa, sistemlerimiz dosyadaki orijinal e-postayı bildirir.”

“Sistemlerimize erişmek için kişisel olarak tanımlanabilir bilgilere (PII) veya bir tüketicinin bilgiye dayalı kimlik doğrulama sorularını yanıtlama becerisine güvenmenin ötesine geçiyoruz” ifadesi devam ediyor. “Açık güvenlik nedenleriyle ek süreçleri ifşa etmiyoruz; ancak veri ve analiz yeteneklerimiz, birden fazla veri kaynağındaki kimlik öğelerini doğrular ve tüketici tarafından görülmez. Bu, müşterilerimiz için daha olumlu bir deneyim yaratmak ve ek hizmetler sağlamak için tasarlanmıştır. Tüketici gizliliğini ve güvenliğini çok ciddiye alıyoruz ve dolandırıcıların oluşturduğu kalıcı ve gelişen tehditlere karşı koruma sağlamak için güvenlik süreçlerimizi sürekli gözden geçiriyoruz.”

Analitik

KrebsOnSecurity, Experian’ın hesabımı kişisel bilgilerimle ancak farklı bir e-posta adresiyle yeniden oluşturmama izin verip vermeyeceğini görmek için Turner ve Rishi’nin deneyimlerini kopyalamaya çalıştı. Deney, yıllar önce orijinal hesabı oluşturandan farklı bir bilgisayar ve İnternet adresinden yapıldı.

Experian, SSN’mi, doğum tarihimi ve yanıtları neredeyse tamamen kamu kayıtlarından alınan birkaç çoktan seçmeli soruyu yanıtladıktan sonra, kredi profilimle ilişkili e-posta adresini hemen değiştirdi. Bunu, yeni e-posta adresinin mesajlara yanıt verebileceğini veya önceki e-posta adresinin değişmeyi kabul ettiğini onaylamadan yaptım.

Experian sistemi daha sonra orijinal kayıtlı e-posta adresine hesabın e-posta adresinin değiştirildiğini belirten otomatik bir mesaj gönderdi. Experian’ın uyarıda sunduğu tek başvuru yolu, oturum açmak veya “Bu e-posta adresi artık izlenmiyor” yanıtını veren bir Experian posta kutusuna e-posta göndermekti.

Ardından, Experian benden yeni gizli sorular ve yanıtların yanı sıra yeni bir hesap PIN kodu – hesap için etkin PIN silme ve kurtarma soruları seçmemi istedi. PIN’imi ve güvenlik sorularımı değiştirdiğimde, Experian yararlı bir şekilde dosyada bir güvenlik dondurmam olduğunu ve güvenlik dondurmasını kaldırmak mı yoksa geçici olarak kaldırmak mı istediğimi hatırlattı?

Experian’ın uygulamalardan farkı nedir? ekifaks Ve TransBirlikDiğer iki büyük tüketici kredisi raporlama bürosu mu? KrebsOnSecurity, Sosyal Güvenlik numaramı kullanarak mevcut bir TransUnion hesabını yeniden oluşturmaya çalıştığında, TransUnion, zaten bir hesabım olduğunu belirterek başvuruyu reddetti ve kayıp şifre akışına devam etmemi istedi. Ayrıca şirketin kayıtlı adrese hesap değişikliklerinin doğrulanmasını istemek için bir e-posta gönderdiği görülüyor.

Benzer şekilde, mevcut hesabımla ilişkili kişisel bilgileri kullanarak mevcut bir Equifax hesabını yeniden oluşturmaya çalışmak, Equifax sistemlerinden zaten bir hesabım olduğunu bildirmelerini ve parola sıfırlama işlemlerini (dosyadaki adrese bir doğrulama e-postası göndermeyi içerir) kullanmalarını ister.

KrebsOnSecurity, ABD okuyucularını her zaman bir yere koymaya çağırdı Üç büyük kredi bürosundaki dosyalarının güvenlikle dondurulması. Yerinde bir dondurma ile, potansiyel alacaklılar kredi dosyanızı geri çekemezler, bu da herhangi birine sizin adınıza yeni kredi limitleri verilmesi olasılığını azaltır. Ben de okuyuculara tavsiyede bulundum Bayraklarını üç ana ofise diktilerkimlik hırsızlarının sizin için bir hesap oluşturmasını ve kimliğinizin kontrolünü ele geçirmesini önlemek için.

Richie, Turner ve bu yazarın deneyimleri, Experian’ın uygulamalarının şu anda bu proaktif güvenlik önlemlerinin her birini baltaladığını gösteriyor. olsa bile, Aktif bir Experian hesabına sahip olmak, dolandırıcıların kimliğinizi üstlenip üstlenmediğini öğrenmenin tek yolu olabilir.. Çünkü en azından bundan sonra Experian’dan kimliğinizi başkasına verdiklerine dair bir e-posta almalısınız.

Nisan 2021’de KrebsOnSecurity, kimlik hırsızlarının nasıl olduğunu ortaya çıkardı. Experian’ın PIN alma sayfasında gevşek kimlik doğrulamasından yararlanma Tüketici kredisi dosyalarını çözmek için. Bu durumlarda Experian, PIN’i Dondurma alındığında herhangi bir e-posta bildirimi gönderemedi ve PIN’in zaten tüketici hesabıyla ilişkilendirilmiş bir e-posta adresine gönderilmesini gerektirmedi.

Nisan 2021 hikayesinden birkaç gün sonra, Krebs on Security şu haberi yayınladı: Experian API, çoğu Amerikalı için kredi puanlarını açıklıyordu.

Emory Roanpolitika danışmanı Gizlilik Hakları Takas OdasıExperian, 2022’de tüketici hesapları için çok faktörlü kimlik doğrulaması getirmemenin haklı olmadığını söyledi.

Rowan, “Üçüncü taraf veri komisyoncularından çıkarılmış olabilecek veya olmayabilecek veya önceki veri ihlallerinde açığa çıkmış olabilecek bilgiler hakkında kurtarma sürecini bilgilendirerek sorunu daha da karmaşık hale getiriyorlar” dedi. “Experian, ülkedeki en büyük tüketici raporlama ajanslarından biri ve kredi sisteminde Amerikalıların katılmak zorunda kaldığı birkaç büyük oyuncudan biri olarak güvenilir. Onlar için bir tür MFA (ücretsiz) sunmamak Gizemli bir şey. ve Experian’a çok kötü yansıyor.”

Nicholas Dokumacıiçin bakıyor Uluslararası Bilgisayar Bilimleri Enstitüsü içinde Kaliforniya Üniversitesi, BerkeleyExperian’ın işinin tüketici tarafında doğru şeyler yapmak için gerçek bir teşviki olmadığını söyledi. Bunun anlamı, Experian müşterileri – bankalar ve diğer borç verenler – donmuş kredi dosyalarına sahip pek çok kişi yetkisiz yeni kredi talepleriyle uğraşmak zorunda kaldığı için ayaklarıyla oy vermeyi seçmedikçe, dedi.

Weaver, “Kredi hizmetinin gerçek müşterileri, Experian’ın durumunun ne kadar kötü olduğunun farkında değiller ve bu, Experian’ın ilk kez korkunç bir şekilde başarısız olması değil,” dedi. “Experian bir üçlü şirketin parçası ve eminim bu onların gerçek müşterilerinin parasına mal oluyor, çünkü kaldırılan bir kredi dondurmanız varsa ve birisi onu ödünç verdiyse, bu dolandırıcılık maliyetini borç verenler yiyor.”

Tüketicilerin aksine, borç verenlerin kredi kontrollerini üç şirketten hangisinin idare edeceği konusunda bir seçeneğe sahip olduklarını söyledi.

“Gerçek müşterilerin bir seçeneği olduğunu ve TransUnion ve Equifax’a geçmeleri gerektiğini not etmenin önemli olduğunu düşünüyorum” diye ekledi.

Experian tarafından daha fazla En Büyük Şarkı:

2017: Experian, kredinizi dondurmak için herkese PIN kodunuzu verebilir
2015: Test İhlali 15 Milyon Müşteriyi Etkiledi
2015: NY-NJ kimlik hırsızlığı bölümüyle bağlantılı deneme ihlali
2015: Experian’da, satın almalar arasında güvenlik kaybı
2015: Experian, kimlik hırsızlığı konusunda toplu eylem hizmetiyle vurdu
2014: Experian Lapse, kimlik hırsızlığı hizmetinin 200 milyon tüketici kaydına erişmesine izin veriyor
2013: Kimlik hırsızlığı hizmetine satılan deneysel tüketici verileri