2022 yazında KrebsOnSecurity, hesapları üç büyük tüketici kredisi raporlama bürosunda bulunan birkaç okuyucunun içinde bulunduğu kötü durumu belgeledi. Experian kimlik hırsızlarının hesapları farklı bir e-posta adresi kullanarak yeniden kaydettirmesinin ardından ele geçirildi. On altı ay sonra Experian’ın bu büyük güvenlik eksikliğini gidermediği açıkça görülüyor. Bunu biliyorum çünkü Experian’daki hesabım yakın zamanda ele geçirildi ve erişimi geri alabilmemin tek yolu hesabı yeniden oluşturmaktı.
Experian’da SSN’mi ve doğum günümü girmem, kimliğimin yetki vermediğim bir e-posta adresine bağlı olduğunu gösterdi.
Geçenlerde, yıllıkcreditreport.com aracılığıyla Experian’dan kredi dosyamın bir kopyasını sipariş ettim, ancak Experian her zamanki gibi kimliğimi doğrulayamadıklarını söyleyerek bunu sağlamayı reddetti. Doğrudan Experian.com’da hesabıma giriş yapma girişimlerim de başarısız oldu; site kullanıcı adımı ve/veya şifremi tanımadığını söyledi.
Experian hesabı kullanıcı adıma ilişkin bir talepte, tam Sosyal Güvenlik numaram ve doğum tarihim gerekiyordu; bunun ardından web sitesi, hiçbir zaman yetkilendirmediğim ve tanımadığım bir e-posta adresinin bazı kısımlarını görüntüledi (tam adres Experian tarafından düzeltildi).
Experian’ın hâlâ herkesin aynı kişisel bilgileri ancak farklı bir e-posta adresini kullanarak kredi dosyası hesabını yeniden oluşturmasına izin verdiğinden hemen şüphelendim; bu, geçen yılki Experian, Yapmanız Gereken Bazı Açıklamalarınız Var adlı hikayede ele alınan büyük bir kimlik doğrulama hatasıydı. Böylece bir kez daha Experian’a kendim olarak yeniden kaydolmayı denedim.
Ana sayfada Sosyal Güvenlik numarası ve cep telefonu numarası vermem gerektiği ve yakında kendimi doğrulamak için tıklamam gereken bir bağlantı alacağım yazıyordu. Site, sağladığınız telefon numarasının kimliğinizi doğrulamaya yardımcı olmak için kullanılacağını iddia ediyor. Ancak görünen o ki sürecin bu aşamasında Amerika Birleşik Devletleri’ndeki herhangi bir telefon numarasını verebilirsiniz ve Experian’ın web sitesi buna karşı çıkmayacak. Ne olursa olsun, kullanıcılar “Başka bir şekilde devam et” seçeneğini seçerek bu adımı atlayabilirler.
Experian daha sonra tam adınızı, adresinizi, doğum tarihinizi, Sosyal Güvenlik numaranızı, e-posta adresinizi ve seçtiğiniz şifreyi ister. Bundan sonra, yanıtları genellikle kamuya açık kayıtlara dayanan üç ila beş arası çoktan seçmeli güvenlik sorusunu başarıyla yanıtlamanızı istiyorlar. Bu hafta hesabımı yeniden oluşturduğumda, gerçek bilgilerime ilişkin tek soru, daha önce yaşadığımız sokak adresleriyle ilgiliydi; bu bilgiler yalnızca bir Google araması kadar uzaktaydı.
Çoktan seçmeli soruları gözden geçirdiğinizi varsayarsak, 4 basamaklı bir PIN oluşturmanız ve önceden seçilmiş birkaç sorudan birine yanıt vermeniz istenir. Bundan sonra, yeni hesabınız oluşturulur ve kredi dosyanızın tamamını görüntülemenize, dondurmanıza veya dondurmanızı çözmenize olanak tanıyan Experian kontrol paneline yönlendirilirsiniz.
Bu noktada Experian, hesaba bağlı eski e-posta adresine kullanıcı profilinin bazı yönlerinin değiştiğini belirten bir mesaj gönderecek. Ancak bu mesaj doğrulama isteyen bir talep değil: Bu yalnızca Experian’dan gelen, hesabın kullanıcı verilerinin değiştiğine dair bir bildirimdir ve orijinal kullanıcıya burada, Experian.com’da oturum açmak için bir bağlantıya tıklamak dışında hiçbir başvuru yolu teklif edilmez.
Experian hesabınız yoksa bir tane oluşturmak iyi bir fikirdir. Çünkü en azından birisi Experian’daki kredi dosyanızı ele geçirdiğinde bu e-postalardan birini alacaksınız.
Ve elbette bu bildirimlerden birini alan kullanıcı, Experian hesabına ait kimlik bilgilerinin artık çalışmadığını görecektir. PIN veya hesap kurtarma soruları da değiştirilmedi çünkü bunlar da değiştirildi. Bu noktada tek seçeneğiniz Experian’daki hesabınızı yeniden oluşturmak ve onu kimlik hırsızlarından geri çalmaktır!
Bunun aksine, diğer iki büyük tüketici kredisi raporlama bürosunun herhangi birinde mevcut bir hesabı yeniden oluşturmaya çalışırsanız — Equifax veya TransSendika — herhangi bir değişiklik yapılmadan önce sizden kayıtlı e-posta adresine veya telefon numarasına gönderilen kodu girmenizi isteyeceklerdir.
Yorum almak için ulaşılan Experian, kredi dosyama yetkisiz olarak eklenen e-posta adresinin tamamını paylaşmayı reddetti.
Experian sözcüsü, “Tüketicilerin kimliklerinin ve bilgilerinin korunmasını sağlamak için pasif ve aktif önlemleri içeren ve sürekli gelişen çok katmanlı bir güvenlik yaklaşımını hayata geçirdik” dedi. Scott Anderson e-postayla gönderilen bir açıklamada söyledi. “Bu, bilgiye dayalı soru ve cevapları, cihaz bulundurma ve sahiplik doğrulama süreçlerini içerir.”
Anderson, tüm tüketicilerin, hesaplarına her giriş yaptıklarında talep edilen çok faktörlü kimlik doğrulama yöntemini etkinleştirme seçeneğine sahip olduğunu söyledi. Ancak birisi hesabınızı yeni bir telefon numarası ve e-posta adresiyle yeniden oluşturabiliyorsa, çok faktörlü kimlik doğrulamanın ne faydası var?
Bu hafta başında Mastodon’da Experian hakkındaki söylentilerimi fark eden birkaç okuyucu, bulgularımı doğrulama talebime yanıt verdi. Mastodon kullanıcısı @Jackerbee, biyoteknoloji endüstrisinde çalışan Michican’dan bir okuyucudur. @Jackerbee, Experian tarafından telefon numarasını ve SSN’sinin son dört hanesini vermesi istendiğinde “bilgilerimi manuel olarak girme” seçeneğini seçtiğini söyledi.
“İkinci telefon numaramı ve yeni e-posta adresimi girdim” diye açıkladı. “Orijinal hesap gelen kutuma, ‘kaydolduktan’ sonra bilgilerimin güncellendiğini söyleyen tek bir e-posta aldım. Hiçbir noktada orijinal e-posta adresinden doğrulama yapılmasına gerek yoktur. Ayrıca orijinal telefon numarasından herhangi bir metin uyarısı almadım. Özellikle ilginç ve korkunç olan kısım, oturum açtığımda yeni telefon numarasıyla 2FA yapmasıdır.”
Mastodon kullanıcısı PeteMayo, Experian hesabını bu hafta iki kez, ikincisinde ise rastgele bir sabit hat numarası sağlayarak yeniden oluşturduklarını söyledi.
@PeteMayo şöyle yazdı: “Tek fark: ‘Tekrar hoş geldin Pete!’ diye ilan etmeden ve tam erişim vermeden önce bana kişisel geçmişim hakkında BEŞ soru sordu (son kez sadece üç soru sordu). “Experian şifremi kaydederken kendimi aptal gibi hissediyorum; her seferinde yeni bir hesap açsak iyi olur.”
Hesabımı ele geçiren kişi aynı zamanda donmuş kredimi de çözmediği için şanslıydım. Ya da yaptılarsa işleri bitince kibarca tekrar dondurdular. Ancak Experian kimlik doğrulama sürecinde bazı önemli değişiklikler yapmadığı sürece Experian hesabımın bir kez daha ele geçirileceğini kesinlikle düşünüyorum.
Bu temel kimlik doğrulama zayıflıklarının, bu konuda zaten korkunç bir geçmişe sahip olan Experian’da bu kadar uzun süre devam etmesine izin verilmesi akıllara durgunluk veriyor.
Aralık 2022’de KrebsOnSecurity, Experian’ı kimlik hırsızlarının güvenlik ve erişimi atlatmanın son derece basit bir yolunu bulduğu konusunda uyardı. herhangi tüketicinin tam kredi raporu – kişinin adı, adresi, doğum tarihi ve Sosyal Güvenlik numarasından başka hiçbir şeyle donatılmamış. Experian, sorunu düzeltti ve sorunun 9 Kasım 2022 ile 26 Aralık 2022 arasında yaklaşık yedi hafta boyunca devam ettiğini kabul etti.
Nisan 2021’de KrebsOnSecurity, kimlik hırsızlarının tüketici kredisi dosyalarını çözmek için Experian’ın PIN alma sayfasında gevşek kimlik doğrulamadan nasıl yararlandığını ortaya çıkardı. Bu durumlarda Experian, dondurulmuş PIN alındığında e-posta yoluyla herhangi bir bildirim göndermedi ve PIN’in halihazırda tüketicinin hesabıyla ilişkilendirilmiş bir e-posta adresine gönderilmesini gerektirmedi.
Nisan 2021’deki bu hikayeden birkaç gün sonra KrebsOnSecurity, bir Experian API’sinin çoğu Amerikalının kredi puanlarını açığa çıkardığı haberini verdi.
Experian’ın diğer en büyük hitleri:
2022: Grup Eylemi Hesap Güvenliği Üzerinden Experian’ı Hedefliyor
2017: Experian Sitesi Herkese Kredi Dondurma PIN’inizi Verebilir
2015: Experian İhlali 15 Milyon Müşteriyi Etkiliyor
2015: Experian İhlali NY-NJ Kimlik Hırsızlığı Yüzüğüne Bağlı
2015: Experian’da, Satın Almalar Nedeniyle Güvenlik Kaybı
2015: Experian Kimlik Hırsızlığı Hizmeti Üzerinden Toplu Dava Açtı
2014: Experian Lapse, Kimlik Hırsızlığı Hizmetinin 200 Milyon Tüketici Kaydına Erişimine İzin Verdi
2013: Experian Tüketici Verilerini Kimlik Hırsızlığı Hizmetine Sattı