Geçen ay iki kez KrebsOnSecurity, üç büyük kredi bürosunda hesapları olan okuyuculardan haber aldı deneyim saldırıya uğradı ve kendilerine ait olmayan yeni bir e-posta adresiyle güncellendi. Her iki durumda da okuyucular, Experian hesapları için güçlü, benzersiz parolalar seçmek için parola yöneticilerini kullandılar. Araştırmalar, kimlik hırsızlarının kurbanın kişisel bilgilerini ve farklı bir e-posta adresini kullanarak Experian’da yeni hesaplara kaydolarak hesapları ele geçirebildiğini gösteriyor.
John Turner Salt Lake City’de yerleşik bir yazılım mühendisidir. Turner, 2020’de Experian’da kredi dosyasına bir güvenlik dondurması koymak için hesabı oluşturduğunu ve Experian hesabı için güçlü, benzersiz bir şifre seçip saklamak için bir şifre yöneticisi kullandığını söyledi.
Turner, Haziran 2022’nin başlarında Experian’dan hesabındaki e-posta adresinin değiştirildiğini belirten bir e-posta aldığını söyledi. Experian’ın parola sıfırlama işlemi o noktada işe yaramazdı çünkü herhangi bir parola sıfırlama bağlantısı yeni (sahtekarın) e-posta adresine gönderilecekti.
Turner’ın uzun bir bekleme süresinin ardından telefonla ulaştığı bir Experian destek görevlisi, Sosyal Güvenlik Numarasını (SSN) ve doğum tarihini, ayrıca hesap PIN’ini ve gizli sorularını yanıtladı. Ancak PIN ve gizli sorular, Experian’a kendisi olarak yeniden kaydolan kişi tarafından zaten değiştirilmişti.
Turner, “Kredi raporu sorularını başarılı bir şekilde yanıtlayabildim, bu da beni sistemlerinde doğruladı” dedi. “Bu noktada, temsilci bana mevcut saklanan güvenlik sorularını ve PIN’i okudu ve bunlar kesinlikle benim kullanacağım şeyler değildi.”
Turner, yeni bir hesap oluşturarak Experian hesabının kontrolünü yeniden kazanabileceğini söyledi. Ama şimdi başka bir hesap tehlikeye girmesini önlemek için başka ne yapabileceğini merak ediyor.
“Bu işin en sinir bozucu kısmı, daha sonra orijinal saldırganların geri gelip, muhtemelen SSN ve DOB’umu kullanarak ‘e-postayı/kullanıcı adını unuttum’ akışını kullanmaya çalıştıklarına atfedilen birden fazla ‘giriş bilgileriniz’ e-postası almamdı. , ancak bekledikleri e-postalarına gitmedi, ”dedi Turner. “Experian’ın hiçbir şekilde iki faktörlü kimlik doğrulamayı desteklemediği ve ilk etapta hesabıma nasıl erişebildiklerini bilmediğim düşünülürse, o zamandan beri kendimi çok çaresiz hissettim.”
arthur rishi müzisyen ve Boston Landmarks Orchestra’nın ortak yönetici direktörüdür. Rishi, yakın zamanda kredi izleme hizmetinden (Experian’ın değil) birinin JPMorgan Chase’de kendi adına bir hesap açmaya çalıştığına dair bir uyarı aldıktan sonra Experian hesabının ele geçirildiğini keşfettiğini söyledi.
Rishi, Experian’daki kredi dosyasının o sırada dondurulması nedeniyle uyarının kendisini şaşırttığını ve Experian’ın hesabındaki herhangi bir etkinlik hakkında kendisine bildirimde bulunmadığını söyledi. Rishi, Chase’in yetkisiz hesap başvurusunu iptal etmeyi kabul ettiğini ve hatta kredi sorgulamasını iptal ettiğini söyledi (her kredi çekimi kredi puanınızı biraz düşürebilir).
Ancak, şirketin telefon tabanlı sisteminde ilerlemek için sonsuz gibi görünen bir süreyi harcamasına rağmen, Experian’ın desteğinden telefona cevap verecek birini asla alamadı. İşte o zaman Rishi, Experian’da kendisi için yeni bir hesap oluşturup oluşturamayacağını görmeye karar verdi.
“Experian’da sıfırdan başlayarak, SSN’mi, doğum tarihimi kullanarak ve ne tür bir araba için kredi aldınız veya hangi şehirde yaşıyordunuz gibi bazı gerçekten temel soruları yanıtlayarak yeni bir hesap açabildim. içinde,’ dedi Rishi.
Kayıt işlemini tamamladıktan sonra, Rishi kredisinin donmadığını fark etti.
Turner gibi, Rishi de artık kimlik hırsızlarının Experian hesabını bir kez daha ele geçireceğinden ve böyle bir senaryoyu önlemek için yapabileceği hiçbir şey olmadığından endişeleniyor. Şimdilik, Rishi, hesabını şüpheli etkinlik açısından daha yakından izlemek için Experian’a ayda 25.99 dolar ödemeye karar verdi. Ücretli Experian hizmetini kullanırken bile, ek çok faktörlü kimlik doğrulama seçeneği mevcut değildi, ancak Experian’ın son zamanlarda oturum açtığında telefonuna SMS yoluyla bir kerelik bir kod gönderdiğini söyledi.
Rishi, “Yeni bir tarayıcı kullanırsam veya VPN’imi açarsam Experian şimdi bazen benim için MFA gerektiriyor,” dedi, ancak Experian’ın ücretsiz hizmetinin farklı şekilde çalışıp çalışmayacağından emin değil.
“Bütün bunları düşününce çok sinirleniyorum” dedi. “Bunun bir daha olmayacağına dair inancım yok.”
Experian yaptığı yazılı açıklamada, Rishi ve Turner’ın başına gelenlerin normal bir olay olmadığını ve güvenlik ve kimlik doğrulama uygulamalarının kullanıcı tarafından görünenin ötesine geçtiğini öne sürdü.
Experian’ın açıklamasında, “Bunların, çalınan tüketici bilgilerini kullanan münferit dolandırıcılık olayları olduğuna inanıyoruz” deniyor. “Sorunuza özel olarak, bir Experian hesabı oluşturulduğunda, biri ikinci bir Experian hesabı oluşturmaya çalışırsa, sistemlerimiz dosyadaki orijinal e-postayı bilgilendirecektir.”
Açıklama şöyle devam ediyor: “Kişisel olarak tanımlanabilir bilgilere (PII) veya bir tüketicinin sistemlerimize erişmek için bilgiye dayalı kimlik doğrulama sorularını yanıtlama becerisine güvenmenin ötesine geçiyoruz. “Açık güvenlik nedenleriyle ek süreçleri ifşa etmiyoruz; ancak, verilerimiz ve analitik yeteneklerimiz, birden çok veri kaynağındaki kimlik öğelerini doğrular ve tüketici tarafından görülmez. Bu, tüketicilerimiz için daha olumlu bir deneyim yaratmak ve ek koruma katmanları sağlamak için tasarlanmıştır. Tüketici gizliliğini ve güvenliğini ciddiye alıyoruz ve dolandırıcıların oluşturduğu sürekli ve gelişen tehditlere karşı korunmak için güvenlik süreçlerimizi sürekli olarak gözden geçiriyoruz.”
ANALİZ
KrebsOnSecurity, Experian’ın kişisel bilgilerimi, ancak farklı bir e-posta adresini kullanarak hesabımı yeniden oluşturmama izin verip vermeyeceğini görmek için Turner ve Rishi’nin deneyimini kopyalamaya çalıştı. Deney, yıllar önce orijinal hesabı oluşturandan farklı bir bilgisayar ve İnternet adresinden yapıldı.
Experian, Sosyal Güvenlik Numaramı (SSN), doğum tarihimi ve yanıtları neredeyse tamamen kamu kayıtlarından alınan birkaç çoktan seçmeli soruyu yanıtladıktan sonra, kredi dosyamla ilişkili e-posta adresini derhal değiştirdi. Bunu, yeni e-posta adresinin mesajlara yanıt verebileceğini veya önceki e-posta adresinin değişikliği onayladığını onaylamadan yaptı.
Experian’ın sistemi daha sonra kayıtlı orijinal e-posta adresine hesabın e-posta adresinin değiştirildiğini söyleyen otomatik bir mesaj gönderdi. Uyarıda Experian’ın sunduğu tek başvuru yolu, oturum açmak veya Experian gelen kutusuna “bu e-posta adresi artık izlenmiyor” mesajıyla yanıt veren bir e-posta göndermekti.
Bundan sonra, Experian benden yeni bir hesap PIN’inin yanı sıra yeni gizli sorular ve yanıtlar seçmemi istedi – hesabın önceden seçilmiş PIN’ini ve kurtarma sorularını etkili bir şekilde sildi. PIN’i ve güvenlik sorularını değiştirdikten sonra, Experian’ın sitesi bana yararlı bir şekilde dosyada bir güvenlik dondurmam olduğunu hatırlattı ve güvenlik dondurmasını kaldırmak veya geçici olarak kaldırmak ister miyim?
Açık olmak gerekirse, Experian yapmak bir iş birimine sahip olmak işletmelere tek kullanımlık şifre hizmetleri satıyor. Experian’ın sistemi ikinci kez kaydolduğumda bir cep telefonu numarası isterken, bu numara hiçbir zaman Experian’dan bir bildirim almadı. Ayrıca, hesabımda tüm oturum açma işlemleri için çok faktörlü kimlik doğrulamayı etkinleştirme seçeneği göremedim.
Experian’ın uygulamalardan farkı nedir? ekifaks ve TransBirlik, diğer iki büyük tüketici kredisi raporlama bürosu? KrebsOnSecurity, Sosyal Güvenlik numaramı kullanarak TransUnion’da mevcut bir hesabı yeniden oluşturmaya çalıştığında, TransUnion başvuruyu reddetti, zaten bir hesabım olduğunu ve kayıp şifre akışına devam etmemi istedi. Şirket ayrıca, hesap değişikliklerini doğrulamak için dosyadaki adrese bir e-posta gönderiyor gibi görünüyor.
Benzer şekilde, mevcut hesabıma bağlı kişisel bilgileri kullanarak Equifax’ta mevcut bir hesabı yeniden oluşturmaya çalışmak, Equifax’ın sistemlerinden zaten bir hesabım olduğunu bildirmelerini ve şifre sıfırlama işlemlerini kullanmalarını ister (dosyadaki adrese bir doğrulama e-postası göndermeyi içerir) .
KrebsOnSecurity, uzun zamandır Amerika Birleşik Devletleri’ndeki okuyucuları üç büyük kredi bürosuyla olan dosyalarında bir güvenlik dondurması. Yerinde bir donma ile, potansiyel alacaklılar kredi dosyanızı çekemezler, bu da herhangi birine sizin adınıza yeni kredi limitleri verilmesi olasılığını çok düşük kılar. Okuyuculara da tavsiyede bulundum. bayraklarını üç büyük büroya diktilerkimlik hırsızlarının sizin için bir hesap oluşturmasını ve kimliğiniz üzerinde kontrol sahibi olmasını önlemek için.
Rishi, Turner ve bu yazarın deneyimleri, Experian’ın uygulamalarının şu anda bu proaktif güvenlik önlemlerinin her ikisini de baltaladığını öne sürüyor. Olsa bile, Experian’da aktif bir hesaba sahip olmak, sahtekarların kimliğinizi üstlendiğini öğrenmenin tek yolu olabilir.. Çünkü en azından o zaman Experian’dan kimliğinizi başka birine verdiklerini söyleyen bir e-posta almalısınız.
Nisan 2021’de KrebsOnSecurity, kimlik hırsızlarının nasıl olduğunu ortaya çıkardı. Experian’ın PIN alma sayfasında gevşek kimlik doğrulamasından yararlanma tüketici kredisi dosyalarını çözmek için. Bu durumlarda, Experian, dondurulan bir PIN alındığında e-posta yoluyla herhangi bir bildirim göndermedi ve PIN’in zaten tüketicinin hesabıyla ilişkilendirilmiş bir e-posta adresine gönderilmesini gerektirmedi.
Nisan 2021 hikayesinden birkaç gün sonra KrebsOnSecurity şu haberi verdi: bir Experian API, çoğu Amerikalının kredi puanlarını ifşa ediyordu.
Emory Roaniçin politika danışmanı Gizlilik Hakları Takas OdasıExperian’ın 2022’de tüketici hesapları için çok faktörlü kimlik doğrulaması sunmamasının affedilemez olduğunu söyledi.
Roan, “Kurtarma sürecini üçüncü taraf veri komisyoncularından elde edilebilecek veya çıkarılabilecek bilgilerle ya da önceki veri ihlallerinde açığa çıkmış olabilecek bilgilerle kapatarak sorunu daha da karmaşık hale getiriyorlar” dedi. “Experian, ülkedeki en büyük Tüketici Raporlama Ajanslarından biridir ve Amerikalıların bir parçası olmak zorunda olduğu bir kredi sisteminin birkaç temel oyuncusundan biri olarak güvenilmektedir. Tüketicilere bir tür (ücretsiz) MFA sunmamaları şaşırtıcı ve Experian’ı son derece kötü yansıtıyor.”
Nicholas Dokumacıiçin bir araştırmacı Uluslararası Bilgisayar Bilimleri Enstitüsü de Kaliforniya Üniversitesi, Berkeley, Experian’ın işinin tüketici tarafında işleri doğru yapmak için gerçek bir teşviki olmadığını söyledi. Yani, Experian’ın müşterileri – bankalar ve diğer borç verenler – donmuş kredi dosyalarına sahip çok sayıda insan yeni kredi için yetkisiz başvurularla uğraşmak zorunda kaldığı için ayaklarıyla oy vermeyi seçmedikçe, dedi.
Weaver, “Kredi hizmetinin gerçek müşterileri, Experian’ın ne kadar kötü olduğunun farkında değiller ve bu, Experian’ın ilk kez korkunç bir şekilde işleri batırması değil,” dedi. “Experian bir üçlemenin parçası ve eminim bu onların gerçek müşterilerinin parasına mal oluyor, çünkü kaldırılan bir kredi dondurmanız varsa ve buna karşı birileri borç veriyorsa, bu dolandırıcılık maliyetini borç verenler yiyor.”
Ve tüketicilerden farklı olarak, borç verenlerin kredi kontrollerini üçlüden hangisinin idare edeceği konusunda bir seçeneğe sahip olduklarını söyledi.
“Gerçek müşterilerinin bir seçeneği olduğunu ve TransUnion ve Equifax’a geçmeleri gerektiğini belirtmenin önemli olduğunu düşünüyorum” diye ekledi.
Experian’dan diğer en iyi hitler:
2017: Experian Sitesi Herkese Kredi Dondurma PIN’inizi Verebilir
2015: Experian İhlali 15 Milyon Müşteriyi Etkiledi
2015: NY-NJ Kimlik Hırsızlığı Yüzüğüne Bağlı Experian İhlali
2015: Experian’da, Satın Almalar Arasında Güvenlikte Yıpranma
2015: Kimlik Hırsızlığı Hizmetine Karşı Sınıf Eylemiyle Experian Hit
2014: Experian Lapse Kimlik Hırsızlığı Hizmetine 200 Milyon Tüketici Kaydı Erişimine İzin Verdi
2013: Experian, Tüketici Verilerini Kimlik Hırsızlığı Hizmetine Sattı
Güncelleme, 10:32: Hikaye, Experian’ın bazen kullanıcılardan dosyadaki numaraya SMS yoluyla gönderilen tek seferlik bir kod girmelerini istemesine rağmen, bunu tüm oturum açmalarda etkinleştirecek herhangi bir seçeneğin görünmediğini açıklığa kavuşturmak için güncellendi.