23 Aralık 2022’de KrebsOnSecurity, üç büyük tüketici kredisi raporlama bürosunu uyardı Experian kimlik hırsızları, güvenliğini nasıl atlatacaklarını ve herhangi bir tüketicinin tam kredi raporuna nasıl erişeceklerini – bir kişinin adı, adresi, doğum tarihi ve Sosyal Güvenlik numarasından başka hiçbir şeyle donanmış olarak bulmuşlardı. Experian aksaklığı düzeltti, ancak olay hakkında bir ay boyunca sessiz kaldı. Ancak bu hafta Experian, güvenlik arızasının 9 Kasım 2022 ile 26 Aralık 2022 arasında yaklaşık yedi hafta sürdüğünü kabul etti.
Experian zayıflığıyla ilgili ipucu geldi Jenya KushnirUkrayna’da yaşayan bir güvenlik araştırmacısı, kimlik hırsızları tarafından kullanılan yöntemi internette zaman geçirdikten sonra keşfettiğini söyledi. Telgraf siber suçlara adanmış sohbet kanalları.
Normalde, Experian’ın web sitesi, kredi raporunu talep eden kişinin kimliğini doğrulamanın bir yolu olarak, kişinin mali geçmişi hakkında bir dizi çoktan seçmeli soru soracaktır. Ancak Kushnir, dolandırıcıların, yalnızca Experian’ın kimlik doğrulama sürecinde belirli bir noktada tarayıcı URL çubuğunda görüntülenen adresi düzenleyerek, bu soruları atlayabileceklerini ve Experian’ı herhangi birinin kredi raporuna erişmesi için kandırabileceklerini öğrendiklerini söyledi.
Experian’da Kushnir’in kendi kimliğimle ilgili talimatlarını test ettiğimde, Experian’ın web sitesinde kimliğimi doğrulamak için yeterli bilgi bulunmadığını söylemesine rağmen raporumu görebildiğini fark ettim. Bunu Experian’da test eden güvenlik araştırmacısı bir arkadaş, Experian’ın çoktan seçmeli dört veya beş güvenlik sorusunu atlayıp doğrudan Experian’daki tam kredi raporuna gidebileceğini de keşfetti.
Experian, 23 Aralık raporumu aldığımı dört gün sonra 27 Aralık’ta, Kushnir’in yönteminin Experian’ın web sitesinde çalışmayı durdurmasından bir gün sonra (istismar, Experian’ın web sitesine yılda bir kez büyük büroların her birinden kredi raporunuzun ücretsiz kopyası).
Experian, bu hikaye hakkında resmi yorum taleplerine asla yanıt vermedi. Ancak bu haftanın başlarında, Experian’dan, bildirdiğimiz zayıflığın 9 Kasım 2022 ile 26 Aralık 2022 arasında devam ettiğini belirten, aksi takdirde yardımcı olmayan bir mektup aldım (yukarıdaki resme bakın).
Experian, “Bu süre zarfında, bir güvenlik özelliğinin çalışmamış olabileceği münferit bir teknik sorun yaşadık” dedi.
Experian’ın bana bu bildiriyi yasal olarak mecbur olduğu için mi gönderdiği yoksa yazılı bir yanıtı hak ettiğimi düşünüp bir taşla iki kuş vurabileceklerini mi düşündükleri tam olarak belli değil. Ancak bir güvenlik arızasının potansiyel etkisi hakkında beni bilgilendirmelerinin tam bir ay sürmesi oldukça çılgınca. ben bildirildi onlara hakkında.
Ayrıca Experian’ın mevcut kredi raporumun bir kopyasını kafa karıştırıcı bir şekilde ifade edilen ve benden başka birinin kredi raporuma herhangi bir şekilde erişim izni verilmiş olabileceğinden şüpheleniyormuş gibi okuyan bu mektupla birlikte içermemesi de biraz çılgınca. tarama veya yetkilendirme.
Ne de olsa, görünüşe göre bu mektuba yol açan kredi dosyam için talepte bulunmasaydım (ki vardı), bu, hırsızların zaten raporumu almış olduğu anlamına gelirdi. Kendi kredi dosyam için onlarla aynı görünürlüğe sahip olmam gerekmez mi?
Bunun yerine, acıklı bir şekilde yetersiz olan mektupları, bir kez daha telefonda bir Experian temsilcisini sonsuza kadar beklemeye veya kredi raporumu izlemek için bir yıllık ücretsiz Experian’a kaydolmaya yükümlü kılıyor.
Şu anki haliyle, Experian’ın web sitesine kredi raporumun bir kopyasını öksürmek için Kushnir’in açıklarını kullanmam tek zamandı. Daha da kötüsü, o kredi raporundaki bilgilerin çoğu benim değil. Bu yüzden sabırsızlıkla beklediğim bir şey var.
Burada bir umut ışığı varsa, sanırım ben Experian olsaydım Brian Krebs’e kredi dosyasını da göstermek istemezdim. Çünkü bu şirketin gerçekte kim olduğum hakkında hiçbir fikri olmadığı açık. Ve sanırım garip, biraz hüzünlü bir şekilde, bu beni mutlu ediyor.
Kredi büroları tarafından mağduriyetinizi en aza indirmek ve genel olarak değerinizi en aza indirmek için neler yapabileceğinize ilişkin düşünceler için, en son Experian hikayesinin bu bölümüne bakın.