Experian Flaw Только что выявленные PIN-коды Защита кредитных данных
TransUnion NMHC OPTECH 2020
Оглавление:
Кредитные зависания - лучший способ предотвратить новое мошенничество с учетной записью, где преступники открывают фиктивные аккаунты на ваше имя. Но на одном месте бюро кредитных бюро было легко избежать обхода безопасности, которая должна была защищать ваши кредитные отчеты.
Сайт Experian разоблачил персональные идентификационные номера - PIN-коды, необходимые для оттаивания кредитов, - после того, как пользователи ответили на их вопросы безопасности с помощью полного ответа: Ничего из вышеперечисленного.
Более года назад эксперт по вопросам безопасности Брайан Кребс сообщил об аналогичной ошибке. В этот момент людям приходилось правильно отвечать на четыре «проверки подлинности на основе знаний», которые использовались для их идентификации. Проблема с этим методом, по словам Кребса, заключается в том, что личная информация, необходимая для успешного угадывания ответов, легко доступна онлайн через коммерческие, а также криминальные сайты.
Но в течение нескольких часов в четверг - и для тех, кто знает, сколько еще задолго до этого - вам даже не нужно было догадываться.
Читатель предупредил нас об этом, и некоторые из нас, у кого были кредитные зависания, смогли воспроизвести его. Мы спросили наших подписчиков на Facebook и Twitter и слышали от других, которые также получили доступ к своим PIN-кодам.
Недостаток в нормальном процессе
Чтобы получить номера, люди заполнили форму на странице поиска PIN-кода Experian с указанием имени, адреса, номера социального страхования и даты рождения - именно такого рода информация, которая была скомпрометирована в результате нарушения Equifax в прошлом году, и которая легко доступна для продажи на темной паутине. Форма потребовала адрес электронной почты, который необязательно должен был быть связан с учетной записью Experian человека. Отвечая на «вопросы, связанные с безопасностью», «ни один из вышеперечисленных», даже если некоторые из предложенных ответов были правильными, он предоставил доступ к PIN-коду этого человека.
С помощью PIN-кода любой может оттаивать замораживание кредита этого лица и подавать заявку на получение кредита от своего имени.
Потребительский адвокат Майк Литт также смог получить свой ПИН с использованием недостатка. «Для этого нет никаких оправданий», - говорит Литт, директор кампании в США PIRG, общественной организации по защите интересов общественности. «Как вы просто оставляете ключи к двери поверх приветствующего коврика?»
Представитель «Experian» выступил с заявлением в четверг, в котором говорилось: «Хотя мы уверены, что наша аутентификация безопасна, и никакие кредитные файлы не подвержены риску, мы предприняли дополнительные шаги, чтобы сделать процесс более безопасным. Мы продолжаем регулярно следить за нашими системами, принимая немедленные меры, когда это необходимо для обеспечения безопасности данных ».
Сообщения об ошибках
К концу четверга многие из нас начали получать сообщения об ошибках, которые должны были дать наши ответы в первую очередь. Нам было направлено письмо Experian на нашу идентифицирующую информацию, такую как копии наших водительских прав, счетов за коммунальные услуги и карты социального страхования.
Почтовая почта в США, если это нужно сказать, не является безопасным способом передачи такой информации. Но поскольку эти данные, скорее всего, уже в руках преступников, на этот раз мы оставим это.
Это еще одно напоминание о том, что нам нужно постоянно следить за кредитными отчетами и счетами за мошеннические счета, даже если у нас есть кредит замерзания на месте - как мы и должны.
Что действительно огорчает, так это то, что замораживание безопасности должно быть одним из немногих эффективных фальшбоков, которые люди могут противостоять мошенничеству. Вот почему эксперты по безопасности рекомендовали их в течение многих лет, и почему Конгресс, наконец, сделал замораживание и оттаивание, начиная с 21 сентября.
Легкость, с которой эта существенная защита может быть сорвана, говорит нам о том, что кредитные бюро по-прежнему недостаточно серьезно относятся к безопасности нашей информации.
Сотрудник писателя Бев О'Ши внес свой вклад в этот отчет.