Sınıf Eylemi Experian’ı Hesap Güvenliği Üzerinden Hedefliyor – Krebs on Security


Üç büyük tüketici kredisi bürosuna toplu dava açıldı deneyim Şirketin kimlik hırsızlarının tüketici hesaplarını ele geçirmesini önlemek için çok az şey yaptığına dair raporlar üzerine. Yasal dosyalama, KrebsOnSecurity’nin Temmuz ayında yayınladığı ve kimlik hırsızlarının kurbanın kişisel bilgilerini ve farklı bir e-posta adresini kullanarak yeni hesaplara kaydolarak mevcut Experian hesapları üzerinde kontrolü ele geçirebildiğini tespit eden bir soruşturmadan bolca alıntı yapıyor.

28 Temmuz 2022’de Kaliforniya Merkez Bölge Mahkemesi’nde açılan dava, Experian’ın belgelenmiş uygulamasının, önce mevcut hesap sahibinin değişikliklere izin verdiğini doğrulamadan mevcut Experian hesaplarının yeniden kaydedilmesine izin verme uygulamasının,

Temmuz ayındaki Experian, Yapmanız Gereken Bazı Açıklamalarınız Var’da, Experian’daki kredi dosyalarında güvenlik donmaları yaşayan ve ayrıca yakın zamanda Experian’dan hesaplarındaki e-posta adresinin değiştirildiğine dair bildirim alan iki farklı okuyucudan haber aldık. Böylece şifreleri, hesap PIN’leri ve gizli soruları vardı. Her ikisi de hesapları için karmaşık, benzersiz parolalar seçip depolamak için parola yöneticilerini kullanmıştı.

Her ikisi de Experian hesaplarına yalnızca hesaplarını yeniden oluşturarak – adlarını, adreslerini, telefon numaralarını, sosyal güvenlik numaralarını, doğum tarihlerini paylaşarak ve neredeyse tamamen temel alınan dört çoktan seçmeli sorunun yanıtlarını başarıyla toplayarak veya tahmin ederek yeniden erişebildiler. halka açık kayıtlar (veya bulunması çok zor olmayan bilgiler).

İşte toplu dava davasında alıntılanan o hikayeden biraz:

KrebsOnSecurity, Experian’ın kişisel bilgilerimi, ancak farklı bir e-posta adresini kullanarak hesabımı yeniden oluşturmama izin verip vermeyeceğini görmek için Turner ve Rishi’nin deneyimini kopyalamaya çalıştı. Deney, yıllar önce orijinal hesabı oluşturandan farklı bir bilgisayar ve İnternet adresinden yapıldı.

Experian, Sosyal Güvenlik Numaramı (SSN), doğum tarihimi ve yanıtları neredeyse tamamen kamu kayıtlarından alınan birkaç çoktan seçmeli soruyu yanıtladıktan sonra, kredi dosyamla ilişkili e-posta adresini derhal değiştirdi. Bunu, yeni e-posta adresinin mesajlara yanıt verebileceğini veya önceki e-posta adresinin değişikliği onayladığını onaylamadan yaptı.

Experian’ın sistemi daha sonra kayıtlı orijinal e-posta adresine hesabın e-posta adresinin değiştirildiğini söyleyen otomatik bir mesaj gönderdi. Uyarıda Experian’ın sunduğu tek başvuru yolu, oturum açmak veya Experian gelen kutusuna “bu e-posta adresi artık izlenmiyor” mesajıyla yanıt veren bir e-posta göndermekti.

Bundan sonra, Experian benden yeni bir hesap PIN’inin yanı sıra yeni gizli sorular ve yanıtlar seçmemi istedi – hesabın önceden seçilmiş PIN’ini ve kurtarma sorularını etkili bir şekilde sildi. PIN’i ve güvenlik sorularını değiştirdikten sonra, Experian’ın sitesi bana yararlı bir şekilde dosyada bir güvenlik dondurmam olduğunu hatırlattı ve güvenlik dondurmasını kaldırmak veya geçici olarak kaldırmak ister miyim?

Açık olmak gerekirse, Experian’ın işletmelere tek seferlik şifre hizmetleri satan bir iş birimi var. Experian’ın sistemi ikinci kez kaydolduğumda bir cep telefonu numarası isterken, bu numara hiçbir zaman Experian’dan bir bildirim almadı. Ayrıca, hesabımda tüm oturum açma işlemleri için çok faktörlü kimlik doğrulamayı etkinleştirme seçeneği göremedim.

Hikayeme cevaben Experian, okuyuculardan gelen raporların münferit olaylar olduğunu ve şirketin kötü insanların sistemlerini kötüye kullanmasını önlemek için kamuya açıklayamayacağı her türlü şeyi yaptığını öne sürdü.

Experian’ın açıklamasında, “Bunların, çalınan tüketici bilgilerini kullanan münferit dolandırıcılık olayları olduğuna inanıyoruz” deniyor. “Sorunuza özel olarak, bir Experian hesabı oluşturulduğunda, biri ikinci bir Experian hesabı oluşturmaya çalışırsa, sistemlerimiz dosyadaki orijinal e-postayı bilgilendirecektir.”

Açıklama şöyle devam ediyor: “Kişisel olarak tanımlanabilir bilgilere (PII) veya bir tüketicinin sistemlerimize erişmek için bilgiye dayalı kimlik doğrulama sorularını yanıtlama becerisine güvenmenin ötesine geçiyoruz. “Açık güvenlik nedenleriyle ek süreçleri ifşa etmiyoruz; ancak, verilerimiz ve analitik yeteneklerimiz, birden çok veri kaynağındaki kimlik öğelerini doğrular ve tüketici tarafından görülmez. Bu, tüketicilerimiz için daha olumlu bir deneyim yaratmak ve ek koruma katmanları sağlamak için tasarlanmıştır. Tüketici gizliliğini ve güvenliğini ciddiye alıyoruz ve dolandırıcıların oluşturduğu sürekli ve gelişen tehditlere karşı korunmak için güvenlik süreçlerimizi sürekli olarak gözden geçiriyoruz.”

Kulağa harika geliyor, ancak bu hikaye yayınlandığından beri, her şeyi doğru yapan ve hala Experian hesapları ele geçirilen birkaç okuyucudan daha duydum, Experian’dan adresi değiştirdiklerini söyleyen bir e-posta uyarısı dışında gösterilecek çok az şey kaldı. hesap için dosya.

Bu toplu davanın bir şeyleri değiştireceğine inanmak isterdim, ama yapmıyorum. Muhtemelen, bu davadan elde edilecek tek şey – eğer doğrudan reddedilmezse – davacıların avukatlarına büyük bir ödeme ve Experian’ın iltifatlarıyla birkaç yıl boyunca “ücretsiz” kredi takibi.

Kredi büroları, tüketicileri, üçüncü şahıs şirketlere satılan ürün olan müşteriler olarak görmez. Genellikle bu veriler, verileri satın alan kuruluşun çıkarlarına göre satılır; burada tüketici kayıtları, “köpek sahibi”, “bekleyen ebeveyn” veya “diyabet hastası” gibi kategoriler halinde paketlenebilir.

Davacı ve Experian’ın destek personeli arasındaki bir sohbet, Experian hesabı için bilgisayar tarafından oluşturulan benzersiz bir parola kullanmasına rağmen, okuyucularımız tarafından açıklananla aynı hesap ele geçirme olayını yaşadığını gösteriyor.

Bununla birlikte, kredi verenlerin çoğu, herkesin kredi notunu, bir kişinin kredi veya iş başvurusunda bulunabileceği veya iptal edebileceği dalgalanmaları belirlemek için Equifax, Experian ve Trans Union dahil olmak üzere üç büyük tüketici kredisi raporlama bürosuna güveniyor.

Salı günü, Wall Street Journal Equifax’ın bu baharda milyonlarca tüketici için borç verenlere yanlış kredi puanları gönderdiğini söyleyen bir haber yayınladı.

Bu arada, kredi büroları rekor kazançların tadını çıkarmaya devam ediyor. Equifax ise 2021 yılının dördüncü çeyreğinde 1,3 milyarlık rekor bir gelir bildirdi. Bu gelirin çoğu, çeşitli müşterilere tüketici maaş geçmişleri hakkında bilgi satan Workforce Solutions işinden geldi.

Biden yönetiminin ülkede bir kamu kuruluşu oluşturmak istediği bildiriliyor. Tüketici Mali Koruma Bürosu (CFPB), kira ve kamu hizmeti ödemeleri gibi faktörleri borç verme kararlarına dahil edecek. Reuters’in bildirdiğine göre, böyle bir hareket kongre onayı gerektirecek, ancak CFPB yetkilileri bunun nasıl kurulabileceğini zaten tartışıyorlar.

Reuters, “Kredi raporlama şirketleri, zaten tüm tüketicilere adil ve uygun fiyatlı kredi sağlamak için çalıştıklarını söyleyerek harekete karşı çıkıyor” dedi. Özel derecelendirme firmalarını temsil eden Tüketici Verileri Endüstrisi Derneği (CDIA), yaptığı açıklamada, “Bir kamu kredi bürosu, hükümetin gücünü uygun olmayan bir şekilde genişleteceği ve hedeflerinin siyasi rüzgarlarla değişeceği için tüketiciler için kötü olur” dedi. ”

Bir kamu kredi bürosunun, Kongre’nin en cömert bileşenlerinden – hızlı değişimden nefret eden ve kredi bürolarına büyük ölçüde bağımlı olan bankacılık sektöründen – şiddetli bir direnişle karşılaşması muhtemeldir.

Ve şu anda iki partili Amerikan Veri Gizliliği ve Koruma Yasası üzerinde devam eden bu mücadelenin bir önizlemesi var. Tepe Kongre’de en çok lobi yapılan yasa tasarılarından biri olarak tanımlandı. Tasarının arkasındaki fikir, şirketlerin size aradığınız hizmeti sağlamak için ihtiyaç duyduklarından daha fazla bilgi toplayamamasıdır.

“Yıllarca süren müzakerelerin ardından milletvekilleri için bir atılımı temsil eden iki taraflı yasa tasarısı, şirketlerin çevrimiçi kullanıcılardan toplayabileceği veri türlerini ve bu verileri kullanma yollarını kısıtlayacaktır.” Tepe 3 Ağustos’ta bildirildi. “Hükümleri, perakendeciler, e-ticaret devleri, telekomlar, kredi kartı şirketleri ve teknoloji firmaları dahil olmak üzere tüketici merkezli her sektördeki, büyük miktarda kullanıcı verisi derleyen ve müşterileri çekmek için hedefli reklamlara dayanan şirketleri etkileyecek. ”

Göre Elektronik Sınır VakfıKar amacı gütmeyen bir dijital haklar grubu olan yasa tasarısı, çeşitli alanlarda tüketicileri korumada yetersiz kalıyor. Yeni başlayanlar için, birçok türde devlet mahremiyet yasasını geçersiz kılacaktır veya önleyecektir. EFF, tasarının aynı zamanda Federal İletişim Komisyonu (FCC) artık kablolu ve uydu TV için geçerli olan federal gizlilik yasalarını uygulamaktan ve tüketicilerin gizliliklerini ihlal eden şirketlere dava açmasına yine de izin verilmesi gerektiğini söyledi.

Experian aleyhindeki toplu dava şikayetinin bir kopyası burada (PDF) mevcuttur.



Source link