Experian, hai qualche spiegazione da fare – Crips sulla sicurezza

KrebsOnSecurity ha ascoltato due volte nell’ultimo mese i lettori che hanno i loro conti in un grande ufficio di triplo credito Esperiano Hackerato e aggiornato con un nuovo indirizzo email che non era il loro. In entrambi i casi, i lettori hanno utilizzato i gestori di password per scegliere password complesse e univoche per i propri account demo. La ricerca indica che i ladri di identità sono stati in grado di dirottare account semplicemente registrando nuovi account su Experian utilizzando le informazioni personali della vittima e un indirizzo e-mail diverso.

John Turner È un ingegnere del software con sede a Salt Lake City. Turner ha affermato di aver creato l’account presso Experian nel 2020 per bloccare la sicurezza del suo profilo di credito e di aver utilizzato un gestore di password per identificare e archiviare una password forte e unica per il suo account Experian.

Turner ha detto che all’inizio di giugno 2022 ha ricevuto un’e-mail da Experian in cui si affermava che l’indirizzo e-mail sul suo account era cambiato. La reimpostazione della password di Experian era inutile a quel punto perché tutti i collegamenti per la reimpostazione della password sarebbero stati inviati al nuovo indirizzo e-mail (del truffatore).

Una persona di supporto di Experian Turner è stata raggiunta telefonicamente dopo una lunga attesa chiedendole il suo numero di previdenza sociale (SSN) e la data di nascita, nonché il PIN del suo account e le risposte alle sue domande riservate. Ma il PIN e le Domande Segrete sono già stati modificati da chiunque si sia registrato nuovamente con Experian.

“Sono stato in grado di rispondere con successo alle domande sul rapporto di credito, che mi hanno approvato sul loro sistema”, ha detto Turner. “A quel punto, il rappresentante mi ha letto le attuali domande di sicurezza archiviate e il PIN, e sicuramente non erano cose che avrei usato”.

Turner ha detto di essere stato in grado di riprendere il controllo del suo account Experian creandone uno nuovo. Ma ora si chiede cosa può fare per impedire che un altro account venga violato. Questo perché Experian Non offrire alcun tipo di opzione di autenticazione a più fattori sugli account dei consumatori.

“La parte più frustrante di tutta questa faccenda è che ho ricevuto diverse e-mail “queste sono le tue informazioni di accesso” in seguito che sono state attribuite agli aggressori originali che sono tornati indietro e hanno cercato di utilizzare il flusso “email/nome utente dimenticati”, molto probabilmente utilizzando SSN e DOB , ma non è andato alla loro e-mail che si aspettavano”, ha detto Turner. “Poiché Experian non supporta l’autenticazione a due fattori di alcun tipo – e in primo luogo non so come siano entrati nel mio account – da allora mi sono sentito piuttosto impotente”.

Per essere chiari, Experian Fare Ha una business unit Vende servizi di password monouso alle aziende. Ma non lo fornisce direttamente ai consumatori che si sono registrati per gestire il proprio profilo di credito sul sito web di Experian.

Arthur Richie Musicista e co-direttore esecutivo della Boston Landmarks Orchestra. Richie ha affermato di aver scoperto di recente che il suo account Experian era stato dirottato dopo aver ricevuto un avviso dal suo servizio di monitoraggio del credito (non di Experian) che qualcuno aveva tentato di aprire un account a suo nome presso JPMorgan Chase.

Rishi ha detto che l’avviso lo ha sorpreso perché il suo profilo di credito Experian era stato bloccato in quel momento e Experian non gli ha notificato alcuna attività sul suo account. Rishi ha detto che Chase ha accettato di annullare la richiesta di account non autorizzato e ha persino annullato la sua richiesta di credito (ogni prelievo di credito può danneggiare un po’ il tuo punteggio di credito).

Ma non è mai stato in grado di convincere nessuno del supporto Experian a rispondere al telefono, nonostante abbia trascorso quella che sembrava un’eternità cercando di avanzare attraverso il sistema telefonico dell’azienda. Fu allora che Rishi decise di vedere se poteva creare un nuovo account per se stesso in Experian.

“Sono stato in grado di aprire un nuovo account Experian partendo da zero, utilizzando il mio SSN, la data di nascita e rispondendo ad alcune domande davvero basilari, come per quale tipo di auto ho avuto un prestito o in quale città vivevo”, disse, piumato.

Dopo aver completato la registrazione, Rishi ha notato che il suo equilibrio era congelato.

Come Turner, Richie ora è preoccupato che i ladri di identità possano nuovamente dirottare il suo account Experian e che non c’è nulla che possa fare per prevenire uno scenario del genere. Attualmente, Rishi ha deciso di pagare a Experian $ 25,99 al mese per monitorare da vicino il suo account per qualsiasi attività sospetta. Anche con il servizio a pagamento di Experian, non c’erano ulteriori opzioni di autenticazione a più fattori, anche se ha affermato che Experian ha inviato un codice monouso al suo telefono tramite SMS di recente quando ha effettuato l’accesso.

“Experian ora a volte richiede l’autenticazione a più fattori per me ora se sto usando un nuovo browser o eseguendo la mia VPN”, ha detto Rishi, ma non era sicuro se il servizio gratuito di Experian avrebbe funzionato in modo diverso.

“Mi arrabbio così tanto quando penso a tutto questo”, ha detto. “Non ho fiducia che questo non accadrà di nuovo”.

In una dichiarazione scritta, Experian ha suggerito che ciò che è successo a Rishi e Turner non era un evento normale e che le loro pratiche di verifica dell’identità e della sicurezza vanno oltre ciò che è visibile all’utente.

“Riteniamo che si tratti di singoli episodi di frode che utilizzano informazioni sui consumatori rubate”, ha affermato Experian in una nota. “Specialmente per la tua domanda, una volta creato un account Experian, se qualcuno tenta di creare un secondo account Experian, i nostri sistemi segnaleranno l’e-mail originale nel file.”

“Andiamo oltre il fare affidamento sulle informazioni di identificazione personale (PII) o sulla capacità di un consumatore di rispondere a domande di autenticazione basate sulla conoscenza per ottenere l’accesso ai nostri sistemi”, continua la dichiarazione. “Non divulghiamo processi aggiuntivi per ovvi motivi di sicurezza; tuttavia, le nostre capacità di dati e analisi verificano gli elementi di identità su più origini dati e non sono visibili al consumatore. Questo è progettato per creare un’esperienza più positiva per i nostri clienti e per fornire ulteriori livelli di protezione Prendiamo molto sul serio la privacy e la sicurezza dei consumatori e rivediamo costantemente i nostri processi di sicurezza per proteggerci dalle minacce persistenti e in evoluzione poste dai truffatori”.

Analitica

KrebsOnSecurity ha cercato di replicare l’esperienza di Turner e Rishi, per vedere se Experian mi avrebbe consentito di ricreare il mio account con le mie informazioni personali ma con un indirizzo e-mail diverso. L’esperimento è stato condotto da un computer e un indirizzo Internet diversi da quello che ha creato l’account originale anni fa.

Dopo aver fornito il mio SSN, la data di nascita e aver risposto a diverse domande a scelta multipla le cui risposte sono tratte quasi interamente da registri pubblici, Experian ha immediatamente cambiato l’indirizzo email associato al mio profilo creditizio. L’ho fatto senza prima confermare che il nuovo indirizzo email può rispondere ai messaggi o che l’indirizzo email precedente ha accettato di cambiare.

Il sistema Experian ha quindi inviato un messaggio automatico all’indirizzo e-mail registrato originale, affermando che l’indirizzo e-mail dell’account era stato modificato. L’unica risorsa offerta da Experian nell’avviso era di accedere o inviare un’e-mail a una casella di posta Experian che rispondeva con “Questo indirizzo e-mail non è più monitorato”.

Quindi, Experian mi ha chiesto di selezionare nuove domande e risposte segrete, nonché un nuovo PIN per l’account, domande efficaci per la cancellazione e il recupero del PIN per l’account. Dopo aver modificato il PIN e le domande di sicurezza, Experian mi ha utilmente ricordato che ho un blocco di sicurezza sul file e voglio rimuovere o revocare temporaneamente il blocco di sicurezza?

Come Experian differisce dalle pratiche Equifax E il TransUnioneGli altri due grandi uffici di segnalazione del credito al consumo? Quando KrebsOnSecurity ha tentato di ricreare un account TransUnion esistente utilizzando il mio numero di previdenza sociale, TransUnion ha rifiutato la domanda, affermando che avevo già un account e mi ha chiesto di procedere con il flusso della password persa. Sembra inoltre che la società invii un’e-mail all’indirizzo registrato per richiedere la convalida delle modifiche dell’account.

Allo stesso modo, il tentativo di ricreare un account Equifax esistente utilizzando le informazioni personali associate al mio account esistente richiede ai sistemi Equifax di segnalare che ho già un account e di utilizzare il loro processo di reimpostazione della password (che comporta l’invio di un’e-mail di verifica all’indirizzo in archivio).

KrebsOnSecurity ha sempre esortato i lettori statunitensi a metterlo da qualche parte Blocco di sicurezza dei loro file con le tre principali agenzie di credito. Con un blocco in atto, i potenziali creditori non possono ritirare il tuo file di credito, rendendo meno probabile che a qualcuno vengano concesse nuove linee di credito a tuo nome. Ho anche consigliato ai lettori Hanno piantato la loro bandiera nei tre uffici principaliper impedire ai ladri di identità di creare un account per te e di assumere il controllo della tua identità.

Le esperienze di Richie, Turner e di questo autore indicano che le pratiche di Experian stanno attualmente minando ciascuna di queste misure di sicurezza proattive. comunque, Avere un account Experian attivo potrebbe essere l’unico modo per scoprire se i truffatori hanno assunto la tua identità. Perché almeno dopo dovresti ricevere un’e-mail da Experian dicendo che hanno dato la tua identità a qualcun altro.

Nell’aprile 2021, KrebsOnSecurity ha rivelato come fossero i ladri di identità Sfruttare l’autenticazione lassista nella pagina di recupero del PIN di Experian Per sbloccare i file di credito al consumo. In questi casi, Experian non ha inviato alcuna notifica e-mail al recupero del PIN di blocco e non ha richiesto l’invio del PIN a un indirizzo e-mail già associato all’account del consumatore.

Pochi giorni dopo quella storia di aprile 2021, Krebs on Security ha pubblicato la notizia che L’API Experian stava rivelando i punteggi di credito per la maggior parte degli americani.

Emory Roanconsulente politico a Centro di smistamento dei diritti sulla privacyHa affermato che l’incapacità di Experian di introdurre l’autenticazione a più fattori per gli account dei consumatori è ingiustificata nel 2022.

“Aggravano il problema informando il processo di recupero su informazioni che potrebbero essere state dedotte o meno da broker di dati di terze parti o che potrebbero essere state esposte in precedenti violazioni dei dati”, ha affermato Rowan. “Experian è una delle più grandi agenzie di segnalazione dei consumatori del paese ed è considerata uno dei pochi grandi attori nel sistema creditizio a cui gli americani sono costretti ad aderire. Per loro, non offrire una qualche forma di MFA (gratuito) è un mistero e riflette molto male su Experian.”

Nicholas Weaversta cercando Istituto Internazionale di Informatica in Università della California, BerkeleyHa detto che Experian non ha alcun reale incentivo a fare le cose nel modo giusto dal lato dei consumatori della sua attività. Ciò significa, ha detto, a meno che i clienti Experian – banche e altri istituti di credito – non scelgano di votare con i piedi perché così tante persone con file di credito congelati devono occuparsi di richieste non autorizzate di nuovo credito.

“I veri clienti del servizio di credito non si rendono conto di quanto siano pessime le condizioni di Experian, e questa non è la prima volta che Experian fallisce orribilmente”, ha detto Weaver. “Experian fa parte di una società a tre, e sono sicuro che questo stia costando ai loro clienti effettivi, perché se hai un blocco del credito che viene revocato e qualcuno lo presta, è il prestatore che mangia quel costo di frode”.

A differenza dei consumatori, ha affermato, gli istituti di credito possono scegliere in quale delle tre società gestire i propri controlli del credito.

“Penso che sia importante notare che i clienti reali hanno una scelta e dovrebbero passare a TransUnion ed Equifax”, ha aggiunto.

Altre migliori canzoni di Experian:

2017: Experian può fornire a chiunque il tuo PIN per bloccare il tuo credito
2015: La violazione del test colpisce 15 milioni di clienti
2015: Violazione del processo collegata all’episodio di furto di identità NY-NJ
2015: In Experian, la sicurezza si esaurisce tra le acquisizioni
2015: Experian ha colpito con il servizio di azione di massa sul furto di identità
2014: Experian Lapse consente al servizio di furto di identità di accedere a 200 milioni di record di consumatori
2013: Dati sperimentali sui consumatori venduti al servizio di furto di identità