Experian, имаш какво да обясниш – Crips относно сигурността

KrebsOnSecurity се свърза два пъти през последния месец с читатели, които имат акаунти в голямо тройно кредитно бюро Experian Хакнат и актуализиран с нов имейл адрес, който не е техен. И в двата случая читателите са използвали мениджъри на пароли, за да изберат силни и уникални пароли за своите демо акаунти. Изследванията показват, че крадците на самоличност са успели да откраднат акаунти просто като са се регистрирали за нови акаунти в Experian, използвайки личната информация на жертвата и различен имейл адрес.

Джон Търнър Той е софтуерен инженер със седалище в Солт Лейк Сити. Търнър каза, че е създал акаунта в Experian през 2020 г., за да замрази кредитния си профил със сигурност и че е използвал мениджър на пароли, за да идентифицира и съхрани силна, уникална парола за своя акаунт в Experian.

Търнър каза, че в началото на юни 2022 г. е получил имейл от Experian, в който се посочва, че имейл адресът на неговия акаунт е променен. Повторното задаване на парола на Experian беше безполезно в този момент, защото всички връзки за повторно задаване на парола ще бъдат изпратени на новия имейл адрес (на измамника).

Лице за поддръжка на Experian Turner беше потърсено по телефона след дълго чакане, като я помоли за неговия социалноосигурителен номер (SSN) и дата на раждане, както и ПИН кода на акаунта му и отговори на неговите поверителни въпроси. Но ПИН кодът и секретните въпроси вече са променени от всеки, който се е пререгистрирал в Experian.

„Успях успешно да отговоря на въпросите на кредитния отчет, което ме одобри в тяхната система“, каза Търнър. „В този момент представителят ми прочете текущите съхранени въпроси за сигурност и ПИН кода и те определено не бяха неща, които бих използвал.“

Търнър каза, че е успял да възвърне контрола върху акаунта си в Experian, като създаде нов. Сега обаче се чуди какво може да направи, за да предотврати хакване на друг акаунт. Това е така, защото Experian Не предлагайте никакви опции за многофакторно удостоверяване на потребителски акаунти.

„Най-разочароващата част от цялото това нещо е, че по-късно получих няколко имейла „това е вашата информация за вход“, които те приписаха на първоначалните нападатели, които се върнаха и се опитаха да използват потока „забравен имейл/потребителско име“, най-вероятно използвайки SSN и DOB, но не е отишло на техния имейл, който са очаквали“, каза Търнър. „Тъй като Experian не поддържа каквато и да е двуфакторна автентификация – и не знам как са влезли в моя акаунт на първо място – оттогава се чувствам доста безпомощен.“

За да бъде ясно, Experian Направи Разполага със стопанска единица Продава услуги за еднократна парола на фирми. Но не предоставя това директно на потребителите, които са се регистрирали да управляват своя кредитен профил на уебсайта на Experian.

Артър Ричи Музикант и съизпълнителен директор на Boston Landmarks Orchestra. Ричи каза, че наскоро е разбрал, че акаунтът му в Experian е бил отвлечен, след като е получил сигнал от неговата (а не от услугата за кредитен мониторинг на Experian), че някой се е опитал да отвори сметка на негово име в JPMorgan Chase.

Риши каза, че предупреждението го е изненадало, тъй като неговият кредитен профил в Experian е бил замразен по това време и Experian не го е уведомил за никаква дейност в акаунта му. Риши каза, че Чейс се е съгласила да отмени неоторизираната заявка за акаунт и дори е отменила запитването си за кредит (всяко изтегляне на кредит може да навреди малко на кредитния ви рейтинг).

Но той така и не успя да накара никого от поддръжката на Experian да отговори на телефона, въпреки че прекара нещо, което изглеждаше като цяла вечност, опитвайки се да премине през базираната на телефона система на компанията. Тогава Риши реши да види дали може да създаде нов акаунт за себе си в Experian.

„Успях да отворя нов акаунт в Experian, като започнах от нулата, използвайки моя SSN, дата на раждане и отговаряйки на някои наистина основни въпроси, като например за какъв вид кола получих заем или в кой град съм живял,“ каза Риши..

След като завърши записа, Риши забеляза, че балансът му е замръзнал.

Подобно на Търнър, Ричи сега се притеснява, че крадците на самоличност ще откраднат акаунта му в Experian отново и че не може да направи нищо, за да предотврати подобен сценарий. В момента Риши е решил да плаща на Experian $25,99 на месец, за да следи отблизо сметката си за подозрителна дейност. Дори с платената услуга на Experian нямаше допълнителни опции за многофакторно удостоверяване, въпреки че той каза, че Experian изпрати еднократен код на телефона му чрез SMS наскоро, когато той влезе.

„Experian сега понякога изисква MFA за мен сега, ако използвам нов браузър или изпълнявам своя VPN“, каза Риши, но не беше сигурен дали безплатната услуга на Experian ще работи по различен начин.

„Толкова се ядосвам, когато мисля за всичко това“, каза той. „Нямам увереност, че това няма да се повтори.

В писмено изявление Experian предполага, че това, което се е случило с Риши и Търнър, не е обикновено събитие и че техните практики за проверка на самоличността и сигурността надхвърлят това, което е видимо за потребителя.

„Вярваме, че това са отделни инциденти с измама, използващи открадната потребителска информация“, каза Experian в изявление. „Специално за вашия въпрос, след като бъде създаден акаунт в Experian, ако някой се опита да създаде втори акаунт в Experian, нашите системи ще докладват оригиналния имейл във файла.“

„Ние надхвърляме разчитането на лична информация (PII) или способността на потребителя да отговаря на въпроси за удостоверяване, базирани на знания, за да получи достъп до нашите системи“, продължава изявлението. „Ние не разкриваме допълнителни процеси поради очевидни причини за сигурност; въпреки това нашите данни и възможности за анализ проверяват елементите за самоличност в множество източници на данни и не са видими за потребителя. Това е предназначено да създаде по-положително изживяване за нашите клиенти и да предостави допълнителни Ние се отнасяме много сериозно към поверителността и сигурността на потребителите и непрекъснато преразглеждаме нашите процеси за сигурност, за да се предпазим от постоянните и развиващи се заплахи, породени от измамници.“

Анализ

KrebsOnSecurity се опита да възпроизведе опита на Търнър и Риши – за да види дали Experian ще ми позволи да пресъздам акаунта си с моята лична информация, но с различен имейл адрес. Експериментът е проведен от компютър и интернет адрес, различен от този, който е създал оригиналния акаунт преди години.

След като предоставих моя SSN, дата на раждане и отговорих на няколко въпроса с няколко отговора, чиито отговори са извлечени почти изцяло от публични регистри, Experian незабавно промени имейл адреса, свързан с моя кредитен профил. Направих това, без първо да потвърдя, че новият имейл адрес може да отговаря на съобщения или че предишният имейл адрес се съгласи да промени.

След това системата Experian изпрати автоматизирано съобщение до първоначалния регистриран имейл адрес, в което се посочва, че имейл адресът на акаунта е променен. Единственото средство, предложено от Experian в предупреждението, беше да влезете или да изпратите имейл до пощенска кутия на Experian, като отговорите с „Този ​​имейл адрес вече не се наблюдава“.

След това Experian ме помоли да избера нови тайни въпроси и отговори, както и нов ПИН код за акаунта – ефективно изтриване на ПИН код и въпроси за възстановяване на акаунта. След като променя ПИН кода и въпросите си за сигурност, Experian услужливо ми напомни, че имам замразяване за сигурност на файла и искам ли да премахна или временно да премахна замразяването за сигурност?

Как Experian се различава от практиките Equifax И на TransUnionДругите две големи бюра за отчитане на потребителски кредити? Когато KrebsOnSecurity се опита да създаде отново съществуващ акаунт в TransUnion, използвайки моя социалноосигурителен номер, TransUnion отхвърли приложението, заявявайки, че вече имам акаунт и ме подкани да продължа с потока за загубена парола. Изглежда също, че компанията изпраща имейл до регистрирания адрес, за да поиска валидиране на промените в акаунта.

По същия начин опитът за повторно създаване на съществуващ акаунт в Equifax с помощта на лична информация, свързана с моя съществуващ акаунт, подканва системите на Equifax да докладват, че вече имам акаунт, и да използват техния процес за повторно задаване на парола (което включва изпращане на имейл за потвърждение до адреса във файла).

KrebsOnSecurity винаги е призовавал читателите в САЩ да го поставят някъде Защитно замразяване на техните досиета в трите основни кредитни бюра. Със замразяването потенциалните кредитори не могат да изтеглят вашето кредитно досие, което прави по-малко вероятно някой да получи нови кредитни линии на ваше име. Посъветвах и читателите Те забиха своето знаме в трите главни офисаза да попречите на крадците на самоличност да създадат акаунт за вас и да поемат контрола върху вашата самоличност.

Опитът на Ричи, Търнър и този автор показва, че практиките на Experian в момента подкопават всяка от тези проактивни мерки за сигурност. въпреки това, Наличието на активен акаунт в Experian може да е единственият начин да разберете дали измамници са приели вашата самоличност. Защото поне след това трябва да получите имейл от Experian, че са дали самоличността ви на някой друг.

През април 2021 г. KrebsOnSecurity разкри какви са крадците на самоличност Използване на слабо удостоверяване на страницата за извличане на PIN на Experian За размразяване на потребителски кредитни файлове. В тези случаи Experian не успя да изпрати никакво имейл известие, когато ПИН кодът за замразяване беше извлечен и не изисква ПИН кодът да бъде изпратен на имейл адрес, който вече е свързан с потребителския акаунт.

Няколко дни след тази история от април 2021 г. Krebs on Security публикува новината, че Experian API разкриваше кредитни резултати за повечето американци.

Емори Роанполитически съветник на Клирингова къща за права на поверителностExperian каза, че невъвеждането на многофакторно удостоверяване за потребителски акаунти не е оправдано през 2022 г.

„Те усложняват проблема, като информират процеса на възстановяване за информация, която може или не може да е била изведена от брокери на данни на трети страни, или която може да е била разкрита при предишни пробиви на данни“, каза Роуан. „Experian е една от най-големите агенции за докладване на потребители в страната и се смята за един от малкото големи играчи в кредитната система, към която американците са принудени да се присъединят. За тях непредлагането на някаква форма на MFA (безплатно) е загадъчно и се отразява много зле на Experian.“

Никълъс Уивъртърси Международен институт по компютърни науки в Калифорнийски университет, БърклиТой каза, че Experian няма истински стимул да прави нещата както трябва от потребителската страна на своя бизнес. Това означава, каза той, освен ако клиентите на Experian – банки и други кредитори – не изберат да гласуват с краката си, защото толкова много хора със замразени кредитни досиета трябва да се справят с неоторизирани молби за нов кредит.

„Истинските клиенти на кредитната услуга не осъзнават колко лошо е състоянието на Experian и това не е първият път, когато Experian се проваля ужасно“, каза Уивър. „Experian е част от три компания и съм сигурен, че това струва пари на действителните им клиенти, защото ако имате замразен кредит, който бъде отменен и някой го е заел, заемодателят е този, който изяжда разходите за измама.“

За разлика от потребителите, каза той, кредиторите имат избор коя от трите компании да се справят с кредитните им проверки.

„Мисля, че е важно да се отбележи, че реалните клиенти имат избор и трябва да преминат към TransUnion и Equifax“, добави той.

Още най-велики песни от Experian:

2017: Experian може да даде на всеки вашия ПИН, за да замрази кредита ви
2015: Пробивът в теста засяга 15 милиона клиенти
2015: Нарушение на процеса, свързано с епизод на кражба на лична карта в Ню Йорк
2015: В Experian изтичането на сигурността на фона на придобиванията
2015: Experian удари с услуга за масови действия срещу кражба на самоличност
2014: Experian Lapse позволява на услугата за кражба на самоличност достъп до 200 милиона потребителски записи
2013: Експериментални потребителски данни, продадени на услугата за кражба на самоличност