Experian, Anda memiliki beberapa penjelasan yang harus dilakukan – Crips on security

KrebsOnSecurity telah mendengar dua kali dalam sebulan terakhir dari pembaca yang memiliki akun mereka di biro kredit tiga kali lipat besar berpengalaman Diretas dan diperbarui dengan alamat email baru yang bukan milik mereka. Dalam kedua kasus tersebut, pembaca menggunakan pengelola kata sandi untuk memilih kata sandi yang kuat dan unik untuk akun demo mereka. Penelitian menunjukkan bahwa pencuri identitas dapat membajak akun hanya dengan mendaftar akun baru di Experian menggunakan informasi pribadi korban dan alamat email yang berbeda.

John Turner Dia adalah seorang insinyur perangkat lunak yang berbasis di Salt Lake City. Turner mengatakan dia membuat akun di Experian pada tahun 2020 untuk membekukan keamanan pada profil kreditnya, dan bahwa dia menggunakan pengelola kata sandi untuk mengidentifikasi dan menyimpan kata sandi yang kuat dan unik untuk akun Experian-nya.

Turner mengatakan bahwa pada awal Juni 2022 dia menerima email dari Experian yang menyatakan bahwa alamat email di akunnya telah berubah. Penyetelan ulang kata sandi Experian tidak berguna pada saat itu karena tautan pengaturan ulang kata sandi apa pun akan dikirim ke alamat email baru (penipu).

Seorang pendukung Experian Turner dihubungi melalui telepon setelah menunggu lama menanyakan Nomor Jaminan Sosial (SSN) dan tanggal lahirnya, serta PIN akunnya dan jawaban atas pertanyaan rahasianya. Tetapi PIN dan Pertanyaan Rahasia sudah diubah oleh siapa saja yang telah mendaftar ulang Experian.

“Saya berhasil menjawab pertanyaan laporan kredit, yang menyetujui saya di sistem mereka,” kata Turner. “Pada saat itu, perwakilan membacakan saya pertanyaan keamanan yang tersimpan saat ini dan PIN, dan itu jelas bukan hal yang akan saya gunakan.”

Turner mengatakan dia bisa mendapatkan kembali kendali atas akun Experian-nya dengan membuat yang baru. Tapi sekarang dia bertanya-tanya apa yang bisa dia lakukan untuk mencegah akun lain diretas. Ini karena Experian Jangan menawarkan segala jenis opsi otentikasi multi-faktor pada akun konsumen.

“Bagian yang paling membuat frustrasi tentang semua ini adalah bahwa saya mendapat beberapa email ‘ini adalah info login Anda’ kemudian yang mereka kaitkan dengan penyerang asli yang kembali dan mencoba menggunakan aliran ‘lupa email/nama pengguna’, kemungkinan besar menggunakan SSN dan DOB , tetapi tidak masuk ke email mereka seperti yang mereka harapkan,” kata Turner. “Karena Experian tidak mendukung otentikasi dua faktor dalam bentuk apa pun – dan saya tidak tahu bagaimana mereka masuk ke akun saya sejak awal – saya merasa sangat tidak berdaya sejak itu.”

Untuk lebih jelasnya, Experian Mengerjakan Memiliki unit bisnis Menjual layanan kata sandi satu kali untuk bisnis. Namun tidak memberikan hal tersebut secara langsung kepada konsumen yang telah mendaftar untuk mengelola profil kreditnya di website Experian.

Arthur Richie Musisi dan co-executive director dari Boston Landmarks Orchestra. Richie mengatakan dia baru-baru ini mengetahui bahwa akun Experian-nya telah dibajak setelah menerima peringatan dari layanan pemantauan kreditnya (bukan Experian) bahwa seseorang telah mencoba membuka akun atas namanya di JPMorgan Chase.

Rishi mengatakan peringatan itu mengejutkannya karena profil kredit Experian-nya dibekukan pada saat itu, dan Experian tidak memberi tahu dia tentang aktivitas apa pun di akunnya. Rishi mengatakan Chase setuju untuk membatalkan permintaan akun yang tidak sah dan bahkan membatalkan permintaan kreditnya (setiap penarikan kredit dapat sedikit merusak nilai kredit Anda).

Tapi dia tidak pernah bisa mendapatkan siapa pun dari dukungan Experian untuk menjawab telepon, meskipun menghabiskan apa yang tampak seperti selamanya mencoba untuk maju melalui sistem berbasis telepon perusahaan. Saat itulah Rishi memutuskan untuk melihat apakah dia bisa membuat akun baru untuk dirinya sendiri di Experian.

“Saya bisa membuka akun Experian baru mulai dari awal, menggunakan SSN saya, tanggal lahir, dan menjawab beberapa pertanyaan yang sangat mendasar, seperti mobil jenis apa yang saya pinjam, atau kota tempat saya dulu tinggal,” katanya berbulu.

Setelah menyelesaikan rekaman, Rishi menyadari bahwa keseimbangannya membeku.

Seperti Turner, Richie sekarang khawatir bahwa pencuri identitas akan membajak akun Experiannya lagi, dan tidak ada yang bisa dia lakukan untuk mencegah skenario seperti itu. Saat ini, Rishi telah memutuskan untuk membayar Experian $25,99 per bulan untuk memantau akunnya dengan cermat untuk setiap aktivitas yang mencurigakan. Bahkan dengan layanan berbayar Experian, tidak ada opsi otentikasi multi-faktor tambahan, meskipun dia mengatakan Experian mengirim kode satu kali ke teleponnya melalui SMS baru-baru ini ketika dia masuk.

“Experian sekarang terkadang membutuhkan MFA untuk saya sekarang jika saya menggunakan browser baru atau menjalankan VPN saya,” kata Rishi, tetapi dia tidak yakin apakah layanan gratis Experian akan bekerja secara berbeda.

“Saya sangat marah ketika memikirkan semua ini,” katanya. “Saya tidak memiliki keyakinan bahwa ini tidak akan terjadi lagi.”

Dalam sebuah pernyataan tertulis, Experian menyarankan bahwa apa yang terjadi pada Rishi dan Turner bukanlah kejadian biasa, dan bahwa praktik verifikasi identitas dan keamanan mereka melampaui apa yang terlihat oleh pengguna.

“Kami percaya ini adalah insiden penipuan individu menggunakan informasi konsumen yang dicuri,” kata Experian dalam sebuah pernyataan. “Khusus untuk pertanyaan Anda, setelah akun Experian dibuat, jika seseorang mencoba membuat akun Experian kedua, sistem kami akan melaporkan email asli dalam file.”

“Kami melampaui mengandalkan informasi pengenal pribadi (PII) atau kemampuan konsumen untuk menjawab pertanyaan otentikasi berbasis pengetahuan untuk mendapatkan akses ke sistem kami,” lanjut pernyataan itu. “Kami tidak mengungkapkan proses tambahan untuk alasan keamanan yang jelas; namun, kemampuan data dan analitik kami memverifikasi elemen identitas di berbagai sumber data dan tidak terlihat oleh konsumen. Ini dirancang untuk menciptakan pengalaman yang lebih positif bagi pelanggan kami dan memberikan tambahan lapisan perlindungan. Kami menangani privasi dan keamanan konsumen dengan sangat serius, dan kami terus-menerus meninjau proses keamanan kami untuk melindungi dari ancaman terus-menerus dan berkembang yang ditimbulkan oleh penipu.”

Analitik

KrebsOnSecurity berusaha meniru pengalaman Turner dan Rishi – untuk melihat apakah Experian mengizinkan saya membuat ulang akun saya dengan informasi pribadi saya tetapi dengan alamat email yang berbeda. Eksperimen dilakukan dari komputer dan alamat Internet yang berbeda dari yang membuat akun asli bertahun-tahun yang lalu.

Setelah memberikan SSN saya, tanggal lahir, dan menjawab beberapa pertanyaan pilihan ganda yang jawabannya diambil hampir seluruhnya dari catatan publik, Experian segera mengubah alamat email yang terkait dengan profil kredit saya. Saya melakukan ini tanpa terlebih dahulu mengonfirmasi bahwa alamat email baru dapat menanggapi pesan, atau bahwa alamat email sebelumnya setuju untuk diubah.

Sistem Experian kemudian mengirim pesan otomatis ke alamat email asli yang terdaftar, yang menyatakan bahwa alamat email akun telah diubah. Satu-satunya jalan yang ditawarkan Experian dalam peringatan tersebut adalah masuk atau mengirim email ke kotak surat Experian yang membalas dengan “Alamat email ini tidak lagi dipantau”.

Kemudian, Experian meminta saya untuk memilih pertanyaan dan jawaban rahasia baru, serta PIN akun baru – pertanyaan penghapusan dan pemulihan PIN yang efektif untuk akun tersebut. Setelah saya mengubah PIN dan pertanyaan keamanan, Experian membantu mengingatkan saya bahwa saya memiliki pembekuan keamanan pada file, dan apakah saya ingin menghapus atau mencabut sementara pembekuan keamanan?

Bagaimana Experian berbeda dari praktik Ekuifaks Dan TransUnionDua biro pelaporan kredit konsumen besar lainnya? Ketika KrebsOnSecurity mencoba membuat ulang akun TransUnion yang ada menggunakan nomor Jaminan Sosial saya, TransUnion menolak aplikasi tersebut, menyatakan bahwa saya sudah memiliki akun dan diminta untuk melanjutkan alur sandi yang hilang. Tampaknya perusahaan juga mengirim email ke alamat terdaftar untuk meminta validasi perubahan akun.

Demikian juga, mencoba membuat ulang akun Equifax yang ada menggunakan informasi pribadi yang terkait dengan akun saya yang ada meminta sistem Equifax untuk melaporkan bahwa saya sudah memiliki akun, dan menggunakan proses pengaturan ulang kata sandi mereka (yang melibatkan pengiriman email verifikasi ke alamat yang ada di file).

KrebsOnSecurity selalu mendesak pembaca AS untuk meletakkannya di suatu tempat Pembekuan keamanan file mereka dengan tiga biro kredit utama. Dengan pembekuan, calon kreditur tidak dapat menarik file kredit Anda, sehingga kecil kemungkinannya ada orang yang akan diberikan jalur kredit baru atas nama Anda. Saya juga menyarankan pembaca Mereka memasang bendera di tiga kantor utamauntuk mencegah pencuri identitas membuat akun untuk Anda dan mengambil kendali atas identitas Anda.

Pengalaman Richie, Turner, dan penulis ini menunjukkan bahwa praktik Experian saat ini merusak setiap langkah keamanan proaktif ini. walaupun demikian, Memiliki akun Experian yang aktif mungkin merupakan satu-satunya cara untuk mengetahui apakah scammer telah mengambil identitas Anda. Karena setidaknya setelah itu Anda harus mendapatkan email dari Experian yang mengatakan bahwa mereka memberikan identitas Anda kepada orang lain.

Pada April 2021, KrebsOnSecurity mengungkapkan bagaimana pencuri identitas itu Memanfaatkan otentikasi lemah pada halaman pengambilan PIN Experian Untuk mencairkan file kredit konsumen. Dalam kasus ini, Experian gagal mengirim pemberitahuan email apa pun saat PIN Freeze diambil, dan tidak mengharuskan PIN dikirim ke alamat email yang sudah dikaitkan dengan akun konsumen.

Beberapa hari setelah cerita April 2021 itu, Krebs on Security menerbitkan berita bahwa Experian API mengungkapkan skor kredit untuk kebanyakan orang Amerika.

Emory Roanpenasihat kebijakan untuk Clearinghouse Hak PrivasiDia mengatakan bahwa kegagalan Experian untuk memperkenalkan otentikasi multifaktor untuk akun konsumen tidak dapat dibenarkan pada tahun 2022.

“Mereka memperumit masalah dengan memberi pengarahan kepada proses pemulihan tentang informasi yang mungkin atau mungkin tidak disimpulkan dari perantara data pihak ketiga, atau yang mungkin terungkap dalam pelanggaran data sebelumnya,” kata Rowan. “Experian adalah salah satu agen pelaporan konsumen terbesar di negara ini, dan dipercaya sebagai salah satu dari sedikit pemain utama dalam sistem kredit yang memaksa orang Amerika untuk bergabung. Bagi mereka, tidak menawarkan beberapa bentuk MFA (gratis) adalah hal yang membingungkan. dan mencerminkan sangat buruk pada Experian.”

Nicholas Weaversedang mencari Institut Ilmu Komputer Internasional di Universitas California, BerkeleyDia mengatakan Experian tidak memiliki insentif nyata untuk melakukan hal-hal yang benar di sisi konsumen dari bisnisnya. Itu berarti, katanya, kecuali pelanggan Experian – bank dan pemberi pinjaman lainnya – memilih untuk memilih dengan kaki mereka sendiri karena begitu banyak orang dengan file kredit beku harus berurusan dengan aplikasi yang tidak sah untuk kredit baru.

“Pelanggan sebenarnya dari layanan kredit tidak menyadari betapa buruknya kondisi Experian, dan ini bukan pertama kalinya Experian mengalami kegagalan yang mengerikan,” kata Weaver. “Experian adalah bagian dari perusahaan trio, dan saya yakin ini membebani uang pelanggan mereka yang sebenarnya, karena jika Anda memiliki pembekuan kredit yang dicabut dan seseorang meminjamkannya, pemberi pinjamanlah yang memakan biaya penipuan itu.”

Berbeda dengan konsumen, kata dia, pemberi pinjaman memiliki pilihan di antara ketiga perusahaan tersebut untuk menangani pemeriksaan kreditnya.

“Saya pikir penting untuk dicatat bahwa pelanggan nyata memiliki pilihan, dan mereka harus beralih ke TransUnion dan Equifax,” tambahnya.

Lebih Banyak Lagu Terbaik Dari Experian:

2017: Experian dapat memberikan PIN Anda kepada siapa pun untuk membekukan kredit Anda
2015: Pelanggaran Uji Mempengaruhi 15 Juta Pelanggan
2015: Pelanggaran percobaan terkait dengan episode pencurian ID NY-NJ
2015: Di Experian, keamanan terkuras di tengah akuisisi
2015: Experian dipukul dengan layanan aksi massal pada pencurian identitas
2014: Experian Lapse memungkinkan layanan pencurian identitas mengakses 200 juta catatan konsumen
2013: Data konsumen eksperimental dijual ke layanan pencurian identitas