Kimlik hırsızları, yalnızca sosyal güvenlik numaranızı ve bazı temel bilgileri kullanarak Experian’daki tüm kredi raporlarına erişmenin bir yönteminin farkındaydı.
Kimlik hırsızlığı kanallarını sık sık ziyaret eden bir Telegram kullanıcısından gelen bir ipucunun ardından Brian Krebs, adınızı, adresinizi, sosyal güvenlik numaranızı (SSN) ve doğum gününüzü bilen herkesin Experian’daki tüm kredi raporunuzu görüntüleyebileceğini test etti ve onayladı.
Güvenlik sorularını atlamak
Erişim elde etme yöntemi, herhangi bir bilgisayar korsanlığı yeteneği gerektirmiyordu. Bu, kötü niyetli herkesin güvenlik sorularını atlamasına izin veren URL’nin bir bölümünü değiştirmek gibi basit bir meseleydi.
İlk bilgileri girdikten sonra yıllıkkredireport.com ve Experian raporunu isteyen bir ziyaretçi Experian.com’a yönlendirilecek ve ardından kimliğini doğrulamak için birkaç rastgele soru sorulacaktır. Bu noktada, herhangi biri URL’nin “” yazan kısmını değiştirebilir./karga/” ile “/acr/rapor”ve hiçbir soruya cevap vermek zorunda kalmadan doğrudan tam kredi raporuna götürüleceklerdi.
Yanlış bilgi
İlginç bir şekilde, Brian Krebs bunu kendi kredi raporuyla test ederken şunları buldu:
“Rapor o kadar çok hata içeriyor ki, düzeltmek benim açımdan büyük bir çaba gerektirecek.”
Ne yazık ki, bu raporları düzenli olarak kontrol etmenizi önermemizin nedenlerinden biri de budur. Yasaya göre, kredi raporunuzun üç büyük bürodan ücretsiz bir kopyasını alma hakkınız vardır: Equifax, Experian ve TransUnion. Ayrıca Innovis adında kontrol etmeniz gereken dördüncü bir büro var. Raporlarınızı yıllık olarak gözden geçirin ve herhangi bir şüpheli etkinlik ve yanlış bilgi olup olmadığına bakın.
Sizinle ilgili birçok karar, burada buldukları bilgilere dayanmaktadır. Kredi mi alacaksın, ev mi alacaksın, hatta iş mi alacaksın? Bu nedenle, en azından sizinle ilgili hangi bilgilere sahip olduklarının farkında olmalısınız. Lütfen bunun, kimlik belgelerinizin kopyalarını posta yoluyla göndermenizi veya bir web sitesine yüklemenizi gerektirebileceğini unutmayın.
ilk defa değil
Experian, bilgilerinizi güvende tutma yöntemlerinin tüm makul beklentilerin altında olduğunu ilk kez göstermiyor. Sadece altı ay önce Brian Krebs, kimlik hırsızlarının hesapları nasıl ele geçirebildiklerini de bildirdi. Bunu, kurbanın kişisel bilgilerini kullanarak ancak farklı bir e-posta adresiyle Experian’da yeni hesaplara kaydolarak yaptılar.
Veri ihlalleri olur, ancak bu, bu tür kişisel bilgilerin korunması söz konusu olduğunda kredi bürolarının daha yüksek bir standartta tutulmaması gerektiği anlamına gelmez.
şimdi düzeltildi
Bu kredi raporlarına erişim yöntemi artık işe yaramasa da, ne kadar süredir işe yaradığı ve ne sıklıkta kullanıldığı belirsiz. Ayrıca, “güvenlik sorularının” kredi puanınızı istismar etmek isteyen kararlı bir kimlik hırsızının önünde önemli bir engel olmadığına da uzun uzadıya işaret edildi. Cevapların çoğu kamuya açık kayıtlarda veya sosyal medyada bulunabilir.
Radarın altında
Tüm bunları okuduktan sonra, Experian’ın veya belki başka bir kredi bürosunun sizin hakkınızda hiçbir bilgiye sahip olmamasını istemediğinize karar vermiş olabilirsiniz. Ne yazık ki, bu olmayacak.
Yapabileceğiniz bir şey, kredi dosyalarınızı üç büyük raporlama bürosunda dondurmaktır. Temel olarak, bu, dosyanızı önceden olumlu bir şekilde çözmediğiniz veya çözmediğiniz sürece, olası alacaklıların kredi dosyanızı görüntülemesini veya çekmesini engeller. Bu aynı zamanda herhangi bir kimlik hırsızının sizin adınıza kredi almasını etkili bir şekilde durduracaktır, çünkü alacaklı dosyanızı kontrol edemediğinde kredi almaları pek olası değildir.
Ve 2018’den bu yana, her ABD eyaletinde sizin ve bakmakla yükümlü olduğunuz kişilerin kredi dosyanızı dondurmak ve çözmek ücretsizdir. Ve mutlu bir yan etki olarak, bir alacaklının neden olduğu her kredi sorgulaması potansiyel olarak kredi puanınızı düşürebileceğinden, kredi puanınızı da korur.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.