Experian, у вас есть кое-какие объяснения — Crips on security

За последний месяц KrebsOnSecurity дважды получала сообщения от читателей, у которых есть счета в большом тройном кредитном бюро. Экспериан Взломаны и обновлены новым адресом электронной почты, который им не принадлежал. В обоих случаях читатели использовали менеджеры паролей, чтобы выбрать надежные и уникальные пароли для своих демо-счетов. Исследования показывают, что похитители личных данных могли захватывать учетные записи, просто регистрируя новые учетные записи в Experian, используя личную информацию жертвы и другой адрес электронной почты.

Джон Тернер Он инженер-программист из Солт-Лейк-Сити. Тернер сказал, что создал учетную запись в Experian в 2020 году, чтобы заморозить безопасность своего кредитного профиля, и что он использовал менеджер паролей для идентификации и хранения надежного уникального пароля для своей учетной записи Experian.

Тернер сказал, что в начале июня 2022 года он получил электронное письмо от Experian, в котором говорилось, что адрес электронной почты в его учетной записи изменился. Сброс пароля Experian был бесполезен в тот момент, потому что любые ссылки для сброса пароля будут отправлены на новый адрес электронной почты (мошенника).

Сотруднице службы поддержки Experian Turner позвонили после долгого ожидания, чтобы узнать его номер социального страхования (SSN) и дату рождения, а также PIN-код его учетной записи и ответы на его конфиденциальные вопросы. Но PIN-код и секретные вопросы уже были изменены всеми, кто перерегистрировался в Experian.

«Я смог успешно ответить на вопросы кредитного отчета, которые утвердили меня в их системе», — сказал Тернер. «В этот момент представитель прочитал мне текущие сохраненные контрольные вопросы и PIN-код, и я определенно не использовал их».

Тернер сказал, что смог восстановить контроль над своей учетной записью Experian, создав новую. Но теперь ему интересно, что он может сделать, чтобы предотвратить взлом другого аккаунта. Это потому, что Экспериан Не предлагайте никаких вариантов многофакторной аутентификации в учетных записях потребителей..

«Самое неприятное во всем этом заключается в том, что я получил несколько электронных писем «это ваша информация для входа», которые они приписали первоначальным злоумышленникам, которые вернулись и попытались использовать поток «забыл адрес электронной почты / имя пользователя», скорее всего, используя SSN и DOB, но они не получили их по электронной почте, как они ожидали», — сказал Тернер. «Поскольку Experian не поддерживает двухфакторную аутентификацию любого рода — и я не знаю, как они вообще попали в мою учетную запись, — с тех пор я чувствую себя довольно беспомощным».

Чтобы было ясно, Experian Делать Имеет бизнес-единицу Продает услуги одноразовых паролей для бизнеса. Но он не предоставляет это напрямую потребителям, которые зарегистрировались для управления своим кредитным профилем на веб-сайте Experian.

Артур Ричи Музыкант и соисполнительный директор Boston Landmarks Orchestra. Ричи сказал, что недавно узнал, что его учетная запись Experian была взломана после получения предупреждения от его (не Experian) службы кредитного мониторинга о том, что кто-то пытался открыть счет на его имя в JPMorgan Chase.

Риши сказал, что это предупреждение удивило его, потому что его кредитный профиль Experian в то время был заморожен, и Experian не уведомляла его о какой-либо активности на его счете. Риши сказал, что Чейз согласился отменить несанкционированный запрос на открытие счета и даже отменил свой запрос на получение кредита (каждое получение кредита может немного повредить вашему кредитному рейтингу).

READ  Испытания новой вакцины от Covid вселяют надежду на ревакцинацию раз в год | Корона вирус

Но ему так и не удалось заставить кого-либо из службы поддержки Experian ответить на звонок, несмотря на то, что он потратил, казалось, целую вечность, пытаясь продвинуться по телефонной системе компании. Именно тогда Риши решил посмотреть, сможет ли он создать для себя новую учетную запись в Experian.

«Я смог открыть новую учетную запись Experian с нуля, используя свой SSN, дату рождения и ответив на некоторые действительно простые вопросы, например, на какую машину я взял кредит или в каком городе я жил раньше», — сказал он.

По завершении записи Риши заметил, что его баланс завис.

Как и Тернер, Ричи теперь обеспокоен тем, что похитители личных данных снова захватят его учетную запись Experian, и что он ничего не может сделать, чтобы предотвратить такой сценарий. В настоящее время Риши решил платить Experian 25,99 долларов в месяц, чтобы внимательно следить за своей учетной записью на предмет любой подозрительной активности. Даже с платным сервисом Experian не было дополнительных вариантов многофакторной аутентификации, хотя он сказал, что Experian недавно отправил одноразовый код на его телефон через SMS, когда он вошел в систему.

«Теперь Experian иногда требует от меня MFA, если я использую новый браузер или использую VPN», — сказал Риши, но он не был уверен, что бесплатный сервис Experian будет работать по-другому.

«Я так злюсь, когда думаю обо всем этом, — сказал он. «У меня нет уверенности, что это больше не повторится».

В письменном заявлении Experian предположил, что то, что случилось с Риши и Тернером, не было обычным явлением, и что их методы проверки личности и безопасности выходят за рамки того, что видно пользователю.

«Мы считаем, что это отдельные случаи мошенничества с использованием украденной информации о потребителях», — говорится в заявлении Experian. «Особенно по вашему вопросу: после создания учетной записи Experian, если кто-то попытается создать вторую учетную запись Experian, наши системы сообщат об исходном электронном письме в файле».

«Мы выходим за рамки того, чтобы полагаться на личную информацию (PII) или способность потребителя отвечать на вопросы аутентификации, основанные на знаниях, чтобы получить доступ к нашим системам», — говорится в заявлении. «Мы не раскрываем дополнительные процессы по очевидным причинам безопасности, однако наши данные и аналитические возможности проверяют элементы идентификации в нескольких источниках данных и не видны потребителю. Это предназначено для создания более позитивного опыта для наших клиентов и предоставления дополнительных уровни защиты. Мы очень серьезно относимся к конфиденциальности и безопасности потребителей, и мы постоянно пересматриваем наши процессы безопасности, чтобы защитить от постоянных и развивающихся угроз, исходящих от мошенников».

READ  Berkshire Уоррена Баффета сообщила об убытках в размере 44 миллиардов долларов, поскольку инвестиции упали в цене.

Аналитика

KrebsOnSecurity стремился воспроизвести опыт Тернера и Риши, чтобы посмотреть, позволит ли Experian мне воссоздать мою учетную запись с моей личной информацией, но с другим адресом электронной почты. Эксперимент проводился с другого компьютера и интернет-адреса, отличного от того, с которого была создана первоначальная учетная запись много лет назад.

После предоставления моего SSN, даты рождения и ответов на несколько вопросов с несколькими вариантами ответов, ответы на которые почти полностью взяты из общедоступных записей, Experian немедленно изменила адрес электронной почты, связанный с моим кредитным профилем. Я сделал это без предварительного подтверждения того, что новый адрес электронной почты может отвечать на сообщения или что предыдущий адрес электронной почты согласился измениться.

Затем система Experian отправила автоматическое сообщение на исходный зарегистрированный адрес электронной почты, в котором говорилось, что адрес электронной почты учетной записи был изменен. Единственным выходом, предложенным Experian в предупреждении, было войти в систему или отправить электронное письмо на почтовый ящик Experian с ответом «Этот адрес электронной почты больше не отслеживается».

Затем Experian попросил меня выбрать новые секретные вопросы и ответы, а также новый PIN-код учетной записи — эффективные вопросы для удаления и восстановления PIN-кода для учетной записи. Как только я изменил свой PIN-код и контрольные вопросы, Experian услужливо напомнил мне, что у меня есть блокировка безопасности в отношении файла, и хочу ли я удалить или временно отменить блокировку безопасности?

Чем Experian отличается от практик Эквифакс И ТрансЮнионДва других крупных бюро потребительских кредитов? Когда KrebsOnSecurity попытался воссоздать существующую учетную запись TransUnion, используя мой номер социального страхования, TransUnion отклонила заявку, заявив, что у меня уже есть учетная запись, и предложила продолжить процесс восстановления потерянного пароля. Также кажется, что компания отправляет электронное письмо на зарегистрированный адрес, чтобы запросить подтверждение изменений учетной записи.

Аналогичным образом, попытка воссоздать существующую учетную запись Equifax с использованием личной информации, связанной с моей существующей учетной записью, побуждает системы Equifax сообщать, что у меня уже есть учетная запись, и использовать процесс сброса пароля (который включает в себя отправку электронного письма с подтверждением на указанный в файле адрес).

KrebsOnSecurity всегда призывал американских читателей размещать его где-нибудь. Заморозка их файлов в трех основных кредитных бюро. При заморозке потенциальные кредиторы не могут отозвать ваш кредитный файл, что снижает вероятность того, что кому-либо будут предоставлены новые кредитные линии на ваше имя. Я также посоветовал читателям Они установили свой флаг в трех главных офисахчтобы похитители личных данных не смогли создать для вас учетную запись и получить контроль над вашей личностью.

Опыт Ричи, Тернера и этого автора показывает, что методы Experian в настоящее время подрывают каждую из этих упреждающих мер безопасности. несмотря на это, Наличие активной учетной записи Experian может быть единственным способом узнать, не выдали ли мошенники вашу личность.. Потому что, по крайней мере, после этого вы должны получить электронное письмо от Experian, в котором говорится, что они передали вашу личность кому-то другому.

READ  Microsoft открывает четвертый дата-центр в Индии

В апреле 2021 года KrebsOnSecurity раскрыла, как похитители личных данных Использование слабой аутентификации на странице поиска PIN-кода Experian Разморозить файлы потребительского кредита. В этих случаях Experian не отправлял уведомление по электронной почте при получении PIN-кода блокировки и не требовал, чтобы PIN-код был отправлен на адрес электронной почты, уже связанный с учетной записью потребителя.

Через несколько дней после этой истории в апреле 2021 года Krebs on Security опубликовал новость о том, что Experian API раскрывал кредитные рейтинги большинства американцев.

Эмори Роанполитический советник Центр обмена информацией о правах на конфиденциальностьОн сказал, что неспособность Experian внедрить многофакторную аутентификацию для учетных записей потребителей в 2022 году неоправданна.

«Они усугубляют проблему, информируя процесс восстановления об информации, которая могла быть получена или не получена от сторонних брокеров данных или которая могла быть раскрыта в результате предыдущих утечек данных», — сказал Роуэн. «Experian является одним из крупнейших агентств по предоставлению информации о потребителях в стране, и ему доверяют как одному из немногих крупных игроков в кредитной системе, к которому американцы вынуждены присоединяться. Для них не предлагать какую-либо форму MFA (бесплатно) является загадочным и очень плохо отражается на Experian».

Николас Уиверищет Международный институт компьютерных наук в Калифорнийский университет, БерклиОн сказал, что у Experian нет реального стимула делать все правильно в потребительской части своего бизнеса. По его словам, это означает, что если клиенты Experian — банки и другие кредиторы — не решат голосовать ногами, потому что очень многим людям с замороженными кредитными делами приходится иметь дело с несанкционированными заявками на новый кредит.

«Реальные клиенты кредитной службы не осознают, насколько плохи условия Experian, и это не первый раз, когда Experian ужасно терпит неудачу», — сказал Уивер. «Experian является частью трех компаний, и я уверен, что это стоит их реальным клиентам денег, потому что, если у вас есть замораживание кредита, которое снимается, и кто-то одолжил его, это кредитор, который съедает эти расходы на мошенничество».

По его словам, в отличие от потребителей, у кредиторов есть выбор, в какой из трех компаний проводить проверку их кредитоспособности.

«Думаю, важно отметить, что у реальных клиентов есть выбор, и они должны переходить на TransUnion и Equifax», — добавил он.

Еще больше лучших песен от Experian:

2017: Experian может дать кому угодно ваш PIN-код, чтобы заморозить ваш кредит
2015: Нарушение теста затронуло 15 миллионов клиентов
2015: Нарушение судебного процесса связано с эпизодом кражи удостоверения личности NY-NJ
2015: В Experian утечка безопасности на фоне приобретений
2015: Experian атаковал службу массовых действий по краже личных данных
2014: Experian Lapse позволяет службе кражи личных данных получить доступ к 200 миллионам потребительских записей
2013: Экспериментальные потребительские данные проданы службе кражи личных данных

Добавить комментарий

Ваш адрес email не будет опубликован.