Novembro 14, 2024

O Ribatejo | jornal regional online

Informações sobre Portugal. Selecione os assuntos que deseja saber mais sobre a Folha d Ouro Verde

Experian, você tem alguma explicação a fazer – Crips sobre segurança

Experian, você tem alguma explicação a fazer – Crips sobre segurança

KrebsOnSecurity ouviu duas vezes no mês passado de leitores que têm suas contas em uma grande agência de crédito triplo Experian Hackeado e atualizado com um novo endereço de e-mail que não era deles. Em ambos os casos, os leitores usaram gerenciadores de senhas para escolher senhas fortes e exclusivas para suas contas demo. Pesquisas indicam que ladrões de identidade foram capazes de seqüestrar contas simplesmente inscrevendo-se em novas contas na Experian usando as informações pessoais da vítima e um endereço de e-mail diferente.

John Turner Ele é engenheiro de software baseado em Salt Lake City. Turner disse que criou a conta na Experian em 2020 para congelar a segurança de seu perfil de crédito e que usou um gerenciador de senhas para identificar e armazenar uma senha forte e exclusiva para sua conta da Experian.

Turner disse que no início de junho de 2022 recebeu um e-mail da Experian informando que o endereço de e-mail em sua conta havia mudado. A redefinição de senha da Experian era inútil naquele momento porque qualquer link de redefinição de senha seria enviado para o novo endereço de e-mail (do golpista).

Uma pessoa de suporte da Experian Turner foi contatada por telefone após uma longa espera pedindo seu número de seguro social (SSN) e data de nascimento, bem como o PIN de sua conta e respostas às suas perguntas confidenciais. Mas o PIN e as Perguntas Secretas já foram alterados por qualquer pessoa que tenha se registrado novamente na Experian.

“Consegui responder com sucesso às perguntas do relatório de crédito, que me aprovaram em seu sistema”, disse Turner. “Naquele ponto, o representante me leu as perguntas de segurança armazenadas e o PIN, e definitivamente não eram coisas que eu teria usado”.

Turner disse que conseguiu recuperar o controle de sua conta Experian criando uma nova. Mas agora ele está se perguntando o que pode fazer para evitar que outra conta seja hackeada. Isso porque Experian Não ofereça nenhum tipo de opção de autenticação multifator em contas de consumidores.

“A parte mais frustrante de tudo isso é que recebi vários e-mails ‘esta é sua informação de login’ mais tarde, que eles atribuíram aos invasores originais que voltaram e tentaram usar o fluxo ‘esqueci e-mail/nome de usuário’, provavelmente usando SSN e DOB, mas não foi para o e-mail que eles esperavam”, disse Turner. “Como o Experian não suporta autenticação de dois fatores de qualquer tipo – e eu não sei como eles entraram na minha conta – eu me senti muito impotente desde então.”

Para ser claro, Experian Fazer Possui uma unidade de negócios Vende serviços de senha de uso único para empresas. Mas não fornece isso diretamente aos consumidores que se inscreveram para gerenciar seu perfil de crédito no site da Experian.

Arthur Richie Músico e co-diretor executivo da Boston Landmarks Orchestra. Rishi disse que descobriu recentemente que sua conta da Experian havia sido invadida após receber um alerta de um serviço de monitoramento de crédito (não da Experian) de que alguém havia tentado abrir uma conta em seu nome no JPMorgan Chase.

Rishi disse que o alerta o surpreendeu porque seu perfil de crédito da Experian estava congelado na época e a Experian não o notificou de nenhuma atividade em sua conta. Rishi disse que Chase concordou em cancelar a solicitação de conta não autorizada e até cancelou sua consulta de crédito (cada retirada de crédito pode prejudicar um pouco sua pontuação de crédito).

Mas ele nunca conseguiu que ninguém do suporte da Experian atendesse o telefone, apesar de passar o que pareceu uma eternidade tentando avançar pelo sistema telefônico da empresa. Foi quando Rishi decidiu ver se poderia criar uma nova conta para si mesmo na Experian.

“Consegui abrir uma nova conta Experian começando do zero, usando meu SSN, data de nascimento e respondendo a algumas perguntas realmente básicas, como o tipo de carro para o qual peguei um empréstimo ou em que cidade morava”. ele disse.

Ao completar a gravação, Rishi notou que seu equilíbrio estava congelado.

Assim como Turner, Richie agora está preocupado que ladrões de identidade invadam sua conta Experian novamente, e que não há nada que ele possa fazer para evitar tal cenário. Atualmente, Rishi decidiu pagar à Experian $ 25,99 por mês para monitorar de perto sua conta em busca de qualquer atividade suspeita. Mesmo com o serviço pago da Experian, não havia opções adicionais de autenticação multifator, embora ele tenha dito que a Experian enviou um código único para seu telefone via SMS recentemente quando fez login.

“A Experian agora às vezes exige MFA para mim agora se estou usando um novo navegador ou executando minha VPN”, disse Rishi, mas não tinha certeza se o serviço gratuito da Experian funcionaria de maneira diferente.

“Fico com tanta raiva quando penso em tudo isso”, disse ele. “Não tenho confiança de que isso não vai acontecer novamente.”

Em uma declaração por escrito, a Experian sugeriu que o que aconteceu com Rishi e Turner não foi uma ocorrência comum e que suas práticas de verificação de identidade e segurança vão além do que é visível para o usuário.

“Acreditamos que estes são incidentes de fraude individual usando informações roubadas do consumidor”, disse a Experian em comunicado. “Especialmente para sua pergunta, uma vez que uma conta Experian é criada, se alguém tentar criar uma segunda conta Experian, nossos sistemas reportarão o e-mail original no arquivo.”

“Nós vamos além de confiar em informações de identificação pessoal (PII) ou na capacidade do consumidor de responder a perguntas de autenticação baseadas em conhecimento para obter acesso aos nossos sistemas”, continua a declaração. “Não divulgamos processos adicionais por motivos óbvios de segurança; no entanto, nossos recursos de dados e análises verificam elementos de identidade em várias fontes de dados e não são visíveis para o consumidor. Isso foi projetado para criar uma experiência mais positiva para nossos clientes e fornecer informações adicionais Nós levamos a privacidade e a segurança do consumidor muito a sério e estamos constantemente revisando nossos processos de segurança para nos proteger contra as ameaças persistentes e em evolução representadas pelos fraudadores.”

Análise

KrebsOnSecurity procurou replicar a experiência de Turner e Rishi – para ver se a Experian me permitiria recriar minha conta com minhas informações pessoais, mas com um endereço de e-mail diferente. O experimento foi conduzido a partir de um computador e endereço de Internet diferente daquele que criou a conta original anos atrás.

Depois de fornecer meu SSN, data de nascimento e responder a várias perguntas de múltipla escolha cujas respostas são extraídas quase inteiramente de registros públicos, a Experian alterou imediatamente o endereço de e-mail associado ao meu perfil de crédito. Fiz isso sem primeiro confirmar que o novo endereço de e-mail pode responder às mensagens ou que o endereço de e-mail anterior concordou em ser alterado.

O sistema Experian então enviou uma mensagem automática para o endereço de e-mail registrado original, informando que o endereço de e-mail da conta havia sido alterado. O único recurso oferecido pela Experian no alerta era fazer login ou enviar um e-mail para uma caixa de correio da Experian respondendo com “Este endereço de e-mail não está mais sendo monitorado”.

Em seguida, a Experian me pediu para selecionar novas perguntas e respostas secretas, bem como um novo PIN de conta – questões de eliminação e recuperação de PIN efetivas para a conta. Depois de alterar o PIN e as perguntas de segurança, a Experian me lembrou que tenho um congelamento de segurança no arquivo e quero remover ou suspender temporariamente o congelamento de segurança?

Como a Experian difere das práticas Equifax E a TransUnionAs outras duas grandes agências de relatórios de crédito ao consumidor? Quando o KrebsOnSecurity tentou recriar uma conta TransUnion existente usando meu número de seguro social, a TransUnion rejeitou o pedido, afirmando que eu já tinha uma conta e solicitado a prosseguir com o fluxo de senha perdida. Parece também que a empresa está enviando um e-mail para o endereço cadastrado para solicitar a validação das alterações de conta.

Da mesma forma, tentar recriar uma conta Equifax existente usando informações pessoais associadas à minha conta existente solicita que os sistemas Equifax informem que já tenho uma conta e usem o processo de redefinição de senha (que envolve o envio de um e-mail de verificação para o endereço registrado).

KrebsOnSecurity sempre pediu aos leitores dos EUA para colocá-lo em algum lugar Congelamento de segurança de seus arquivos com as três principais agências de crédito. Com um congelamento em vigor, os credores em potencial não podem retirar seu arquivo de crédito, tornando menos provável que alguém receba novas linhas de crédito em seu nome. Aconselhei também os leitores Eles plantaram sua bandeira nos três escritórios principaispara evitar que ladrões de identidade criem uma conta para você e assumam o controle de sua identidade.

As experiências de Richie, Turner e deste autor indicam que as práticas da Experian estão prejudicando cada uma dessas medidas de segurança proativas. mesmo assim, Ter uma conta Experian ativa pode ser a única maneira de descobrir se os golpistas assumiram sua identidade. Porque pelo menos depois disso você deve receber um e-mail da Experian dizendo que eles deram sua identidade para outra pessoa.

Em abril de 2021, KrebsOnSecurity revelou como os ladrões de identidade eram Explorando a autenticação frouxa na página de recuperação de PIN da Experian Para descongelar arquivos de crédito ao consumidor. Nesses casos, a Experian falhou ao enviar qualquer notificação por e-mail quando o PIN de congelamento foi recuperado e não exigiu que o PIN fosse enviado para um endereço de e-mail já associado à conta do consumidor.

Alguns dias depois dessa história de abril de 2021, Krebs on Security publicou a notícia de que Experian API estava revelando pontuação de crédito para a maioria dos americanos.

Emory Roanconsultor de políticas para Câmara de compensação de direitos de privacidadeA Experian disse que a não introdução da autenticação multifator para contas de consumidores não se justifica em 2022.

“Eles agravam o problema informando o processo de recuperação sobre informações que podem ou não ter sido inferidas de corretores de dados de terceiros, ou que poderiam ter sido expostas em violações de dados anteriores”, disse Rowan. “A Experian é uma das maiores agências de relatórios de consumo do país, e é confiável como um dos poucos grandes players do sistema de crédito que os americanos são forçados a aderir. Para eles, não oferecer algum tipo de MFA (gratuito) é um mistério. e reflete muito mal na Experian.”

Nicholas Weaverestá procurando Instituto Internacional de Ciência da Computação dentro Universidade da California, BerkeleyEle disse que a Experian não tem nenhum incentivo real para fazer as coisas certas do lado do consumidor de seus negócios. Isso significa, disse ele, a menos que os clientes da Experian – bancos e outros credores – optem por votar com os pés, porque muitas pessoas com arquivos de crédito congelados precisam lidar com solicitações não autorizadas de novos créditos.

“Os clientes reais do serviço de crédito não percebem o quão ruim é a condição da Experian, e esta não é a primeira vez que a Experian falhou terrivelmente”, disse Weaver. “A Experian faz parte de uma empresa trio, e tenho certeza de que isso está custando dinheiro aos clientes reais, porque se você tem um congelamento de crédito que é suspenso e alguém o emprestou, é o credor que come esse custo da fraude”.

Ao contrário dos consumidores, disse ele, os credores podem escolher qual das três empresas lida com suas verificações de crédito.

“Acho importante observar que os clientes reais têm uma escolha e devem mudar para TransUnion e Equifax”, acrescentou.

Mais grandes músicas de Experian:

2017: A Experian pode fornecer seu PIN a qualquer pessoa para congelar seu crédito
2015: Violação de teste afeta 15 milhões de clientes
2015: Violação de julgamento ligada ao episódio de roubo de identidade NY-NJ
2015: Na Experian, o dreno de segurança em meio a aquisições
2015: Experian acerta com serviço de ação em massa por roubo de identidade
2014: Experian Lapse permite que serviço de roubo de identidade acesse 200 milhões de registros de consumidores
2013: Dados experimentais do consumidor vendidos para serviço de roubo de identidade