Kimlik hırsızları, web sitesinde göze çarpan bir güvenlik zayıflığından yararlanıyor. Experian, üç büyük tüketici kredisi raporlama bürosundan biri. Normalde Experian, kredi raporlarının bir kopyasını isteyenlerin mali geçmişleriyle ilgili çoktan seçmeli birkaç soruyu başarılı bir şekilde yanıtlamasını ister. Ancak 2022’nin sonuna kadar Experian’ın web sitesi, herkesin bu soruları atlamasına ve doğrudan tüketici raporuna gitmesine izin verdi. Tek gereken kişinin adı, adresi, doğum günü ve Sosyal Güvenlik numarasıydı.
Experian’ın web sitesindeki güvenlik açığı, bir tanesi yearcreditreport.com aracılığıyla kredi dosyalarını görmek için başvurduktan sonra kullanılabilir hale geldi.
Aralık ayında KrebsOnSecurity, Jenya KushnirUkrayna’da yaşayan bir güvenlik araştırmacısı, kimlik hırsızları tarafından kullanılan yöntemi internette zaman geçirdikten sonra keşfettiğini söyledi. Telgraf güvenliği ihlal edilmiş kimliklerin paraya çevrilmesine adanmış sohbet kanalları.
“Buna bir son vermek ve bizim için daha da zorlaştırmak için yardım etmeye çalışmak istiyorum. [ID thieves] erişmek için, beri [Experian is] bok yapmıyor ve sıradan insanlar mücadele ediyor,” diye yazdı Kushnir, KrebsOnSecurity’ye ulaşma motivasyonlarını açıklayan bir e-postada. “Bir şekilde küçük bir değişiklik yapabilir ve bunu iyileştirmeye yardımcı olabilirsem, kendi içimde gerçekten önemli olan ve başkalarına yardımcı olan bir şey yaptığımı hissedebilirim.”
Kushnir, dolandırıcıların, yalnızca Experian’ın kimlik doğrulama sürecinde belirli bir noktada tarayıcı URL çubuğunda görüntülenen adresi düzenleyerek, Experian’ı herhangi birinin kredi raporuna erişmesi için kandırabileceklerini öğrendiklerini söyledi.
Kushnir’in talimatlarını takiben, kredi raporumun bir kopyasını Experian aracılığıyla istedim. yıllıkkredireport.com – tüm Amerikalılara yılda bir kez, üç büyük raporlama bürosunun her birinden kredi raporlarının ücretsiz bir kopyasını sağlaması gereken bir web sitesi.
Annualcreditreport.com adınızı, adresinizi, SSN’nizi ve doğum gününüzü sorarak başlar. Bunu sağladıktan ve Annualcreditreport.com’a raporumu Experian’dan istediğimi söyledikten sonra, kimlik doğrulama sürecini tamamlamam için Experian.com’a yönlendirildim.
Normalde bu noktada, Experian’ın web sitesi “Aşağıdaki adreslerden hangisinde yaşadınız?” gibi dört veya beş çoklu tahmin sorusu sunardı.
Kushnir, sorular sayfası yüklendiğinde, URL’nin “/acr/oow/” olan son bölümünü “/acr/report” olarak değiştirmenizin yeterli olduğunu ve sitenin tüketicinin tam kredi raporunu görüntüleyeceğini söyledi.
Ancak, yıllıkkredireport.com aracılığıyla Experian’dan raporumu almaya çalıştığımda, Experian’ın web sitesi kimliğimi doğrulamak için yeterli bilgiye sahip olmadığını söyledi. Bana dört çoklu tahmin sorusunu bile göstermedi. Experian, bu noktada ücretsiz bir kredi raporu için üç seçeneğim olduğunu söyledi: Kimlik belgeleriyle birlikte bir istek gönderin, Experian için bir telefon numarasını arayın veya web sitesi aracılığıyla kimlik kanıtını yükleyin.
Ancak bu, Kushnir’in talimat verdiği şekilde Experian URL’sini değiştirdikten sonra Experian’ın bana tam kredi raporumu göstermesini engellemedi — hata sayfasının sonundaki URL’yi “/acr/OcwError”dan basitçe “/acr/report”a değiştirdim.
Experian’ın web sitesi daha sonra hemen tüm kredi dosyamı gösterdi.
Experian benim gerçekte ben olduğumu söyleyemediğini söylese de, yine de raporumu öksürdü. Ve çok şükür oldu. Rapor o kadar çok hata içeriyor ki, düzeltmek benim açımdan büyük bir çaba gerektirecek.
Artık Experian’ın web siteleri aracılığıyla kendi dosyamı görüntülememe ASLA neden izin vermediğini biliyorum. Örneğin, Experian kredi dosyamda dört telefon numarası vardı: Bunlardan sadece biri benimdi ve o uzun zamandır benim değil.
Experian’ın beceriksizliği beni o kadar şaşırtmıştı ki, yakın bir arkadaşıma ve güvenilir bir güvenlik kaynağına Experian’daki kimlik dosyasındaki yöntemi denemesini istedim. Elbette, Experian’ın soru sorduğu kısma geldiğinde, adres çubuğundaki URL’nin son kısmını “/report” olarak değiştirerek soruları atladı ve hemen tam kredi raporunu gösterdi. Raporu da hatalarla doluydu.
KrebsOnSecurity, Kushnir’in bulgularını 23 Aralık 2022’de Experian ile paylaştı. 27 Aralık 2022’de Experian’ın halkla ilişkiler ekibi, 23 Aralık bildirimimi aldığımı onayladı, ancak şirket şu ana kadar çok sayıda yorum veya açıklama talebini görmezden geldi.
Experian raporumun alındığını onayladığında, “istismar” Kushnir, Telegram’daki kimlik hırsızlarından yama yapıldığını ve artık çalışmadığını öğrendiğini söyledi. Ancak Experian’ın web sitesinin herhangi birinin kredi raporuna erişmeyi ne kadar süredir bu kadar kolaylaştırdığı belirsizliğini koruyor.
KrebsOnSecurity tarafından paylaşılan bilgilere cevaben, Senatör Ron Wyden (D-Ore.), Experian’da bir başka siber güvenlik açığını duyunca hayal kırıklığına uğradığını – ama hiç şaşırmadığını – söyledi.
Wyden yaptığı yazılı açıklamada, “Kredi büroları yetersiz bir şekilde düzenlenmiş, kanunların üzerindeymiş gibi hareket ediyor ve Kongre’nin gözetimine burun kıvırmış gibi davranıyor” dedi. “Daha geçen yıl, siz şirketin başka bir siber güvenlik açığını ortaya çıkardıktan sonra, Experian ofisimden gelen tekrarlanan brifing taleplerini görmezden geldi.”
Senatör Wyden’in yukarıdaki alıntısı, Temmuz 2022’de burada yayınlanan ve kimlik hırsızlarının Experian.com’daki tüketici hesaplarını, Experian’a bir kez daha kaydolarak ele geçirdikleri ve hedefin statik, kişisel bilgilerini (isim, DoB/SSN, adres) ancak farklı bir e-posta adresi.
Bu hikayeden sonra KrebsOnSecurity ile iletişime geçen birden fazla kurbanla yapılan görüşmelerden, Experian’ın kendi müşteri destek temsilcilerinin aslında Experian hesapları kilitlenen tüketicilere kişisel bilgilerini ve yeni bir e-posta adresini kullanarak hesaplarını yeniden oluşturmalarını söylediği ortaya çıktı. Bu, Experian’ın, kimlik hırsızlarının kendilerini ilk etapta kilitlemek için kullandıkları yöntemin bu yöntem olduğunu az önce açıklayan kişiler için bile tavsiyesiydi.
Açıkça görülüyor ki Experian, sorunu kabul edip temel nedenlere (geç kimlik doğrulama ve iğrenç hesap kurtarma uygulamaları) değinmek yerine bu şekilde yanıt vermeyi daha kolay buldu. Experian.com hesaplarının ele geçirildiğine dair raporların 2022’nin sonlarına kadar devam ettiğini de belirtmekte fayda var. Bu başarısızlık, o zamandan beri Experian’a karşı bir toplu dava açılmasına yol açtı.
Senatör Wyden şunları söyledi: Federal Ticaret Komisyonu (FTC) ve Tüketici Mali Koruma Bürosu (CFPB) Amerikalıları kredi bürolarının batırmalarından korumak için çok daha fazlasını yapmalı.
Wyden, “Yetkileri olduğuna inanmıyorlarsa, FTC’ye Experian gibi şirketler için zorlu zorunlu siber güvenlik standartları belirleme gücü veren Kendi İşine Bak Yasası gibi yasaları onaylamalılar,” dedi.
Ne yazık ki, bunların hiçbiri müstehcen miktarlarda son derece hassas tüketici bilgilerinin tamamen ihmalkar bir koruyucusu olduğunu gösteren Experian için korkunç derecede şok edici davranışlar değil.
Nisan 2021’de KrebsOnSecurity, kimlik hırsızlarının tüketici kredisi dosyalarını çözmek için Experian’ın PIN alma sayfasında gevşek kimlik doğrulamasından nasıl yararlandığını ortaya çıkardı. Bu durumlarda Experian, dondurma PIN’i alındığında e-posta yoluyla herhangi bir bildirim gönderemedi. PIN’in zaten tüketicinin hesabıyla ilişkilendirilmiş bir e-posta adresine gönderilmesini de gerektirmez..
Bu Nisan 2021 öyküsünden birkaç gün sonra KrebsOnSecurity, bir Experian API’sinin çoğu Amerikalının kredi puanını ifşa ettiği haberini verdi.
Her çeyrekte 2,6 milyar dolar kazanan Experian gibi kişisel ve finansal bilgilerimizi toplayıp satan şirketleri gerçekten devre dışı bırakamayacak olmamız yeterince kötü. Ancak bu tekelci şirketler ihmalkar ve pervasız davranışlarda bulunduğunda, bazı anlamlı sorumluluklar olmalıdır. üç aylık karlarını besleyen aynı tüketici verileriyle. Ya da güvenlik ve gizlilik kısayollarının maliyet tasarrufu gibi nedenlerle kasıtlı olduğu tespit edildiğinde.
Ve Equifax’ın Çin’den devlet destekli bilgisayar korsanlarının 2017’de yaklaşık 150 milyon Amerikalı hakkında veri çalmasına izin vermesine yanıt olarak birleştirilmiş toplu dava anlaşmasında gördüğümüz gibi, aynı şirketlerden toplu davalar ve daha gülünç “ücretsiz kredi izleme” hizmetleri sorunu yaratan onu kesmeyecek.
NE YAPABİLİRSİN?
Tüketici kredisi dosyalarını izleme ve herhangi bir yanlışlığa itiraz etme konusunda oldukça gayretli olan tüketiciler için bile çoğu zaman işleri asil bir şekilde bozan kredi bürolarına karşı bozguncu bir tavır benimsemek kolaydır.
Ancak, kimlik hırsızlarının mali geleceğinizi mahvetme riskini önemli ölçüde azaltacak, herkesin atabileceği bazı somut adımlar vardır. Ve mutlu bir şekilde, bu adımların çoğu, kredi bürolarının parasına mal olma veya en azından hakkınızda topladıkları verilerin zaman içinde daha az değerli hale gelmesine neden olma yan yararına sahiptir.
İlk adım farkındalıktır. Bu şirketlerin arkanızdan sizin hakkınızda neler söylediğini öğrenin. Adil olsun ya da olmasın, bu bürolar tarafından toplu olarak belirlenen kredi puanınızın o krediyi, daireyi veya işi alıp almadığınızı etkileyebileceğini unutmayın. Bu bağlamda, kimlik hırsızlığıyla ilgisi olmayan küçük, kasıtsız hatalar bile yolun sonundaki tüketiciler için çok büyük sonuçlar doğurabilir.
Her büronun her yıl kredi raporunuzun ücretsiz bir kopyasını sağlaması gerekir. Sizinkini almanın en kolay yolu yıllıkkredireport.com’dur.
Bazı tüketiciler, bu sitenin hiçbir zaman kendileri için çalışmadığını ve her büronun bir rapor sunmak için yeterli bilgiye sahip olmadığı konusunda ısrar edeceğini bildiriyor. Kesinlikle bu kamptayım. Neyse ki, zaten bir ilişkim olan bir finans kurumu, kredi dosyanızı onlar aracılığıyla görüntüleme olanağı sunuyor. Bu cephedeki kilometreniz değişebilir ve sonunda kimlik belgelerinizin kopyalarını posta veya web sitesi aracılığıyla göndermek zorunda kalabilirsiniz.
Raporunuzu aldığınızda, size ait olmayan herhangi bir şey olup olmadığına bakın ve ardından belgelendirin ve ilgili kredi bürosuna bir itirazda bulunun. Ve raporunuzu inceledikten sonra, her dört ayda bir tekrarlanacak ve size kredi dosyanızın bir başka ücretsiz kopyasını alma zamanının geldiğini hatırlatacak bir takvim hatırlatıcısı ayarlayın.
Henüz yapmadıysanız, 2023’ü Experian da dahil olmak üzere üç büyük raporlama bürosundaki kredi dosyalarınızı donduracağınız yıl yapmayı düşünün. Equifax ve TransUnion. ABD’nin 50 eyaletinin tamamındaki kişiler artık kredi dosyalarına bir güvenlik dondurması uygulayabilirler. Bunu partneriniz ve/veya bakmakla yükümlü olduğunuz kişiler için yapmakta da özgürsünüz.
Kredinizin dondurulması, sizinle halihazırda mali bir ilişkisi olmayan hiç kimsenin kredi dosyanızı görüntüleyemeyeceği anlamına gelir; bu da, potansiyel alacaklıların, kimlik hırsızlarına sizin adınıza yeni kredi limitleri verme ihtimalini azaltır. Kredi dosyanızın dondurulması aynı zamanda Experian ve kardeşlerinin artık kredi geçmişinizi başkalarına satamayacağı anlamına gelir.
Ne zaman yeni bir kredi ya da yeni bir iş başvurusunda bulunmak ya da bir kamu hizmeti ya da iletişim sağlayıcısında bir hesap açmak isterseniz, kredi dosyanızdaki donmuş durumu hızlı bir şekilde çözebilir ve belirli bir süre sonra otomatik olarak tekrar donmasını ayarlayabilirsiniz.
Lütfen bir kredi dondurmayı (“güvenlik dondurması” olarak da bilinir), dondurma talebinde bulunduğunuzda büroların muhtemelen sizi yönlendireceği alternatifle karıştırmayın: “Kredi kilidi” hizmetleri.
Bürolar, bu kredi kilitleme hizmetlerini, tüketicilerin bir mobil uygulamadaki bir düğmeye basarak kredi dosyası kullanılabilirliğini kolayca değiştirmelerinin bir yolu olarak sunar, ancak büroların bilgilerinizi başkalarına satmaya devam etmesini engellemek için çok az şey yaparlar.
Benim tavsiyem: Kilit servislerini görmezden gelin ve kredi dosyalarınızı şimdiden dondurun.
Son bir not. Buradaki sık okuyucular, Experian’ın web sitesinin tüketici doğrulama sürecinin bir parçası olarak soramadığı sözde “bilgiye dayalı kimlik doğrulama” veya KBA sorularını eleştirdiğimi fark etmiş olacaklardır.
KrebsOnSecurity, sorular ve yanıtlar büyük ölçüde kamuya açık ve organize kimlik hırsızlığı gruplarının kolayca erişebileceği tüketici kayıtlarından alındığı için KBA’ya uzun süredir zayıf kimlik doğrulaması olarak saldırıyor.
Bununla birlikte, bu KBA sorularının Experian kredi raporumla benim aramda duran TEK şey olduğu düşünülürse, belki de en azından bu soruların gerçekten sorulmasını sağlamak için özen göstermeleri gerekiyor gibi görünüyor.