KrebsOnSecurity heeft de afgelopen maand twee keer gehoord van lezers die hun rekeningen bij een groot drievoudig kredietbureau hebben Experian Gehackt en bijgewerkt met een nieuw e-mailadres dat niet van hen was. In beide gevallen gebruikten lezers wachtwoordmanagers om sterke en unieke wachtwoorden voor hun demo-accounts te kiezen. Onderzoek wijst uit dat identiteitsdieven accounts konden kapen door zich simpelweg aan te melden voor nieuwe accounts bij Experian met behulp van de persoonlijke gegevens van het slachtoffer en een ander e-mailadres.
John Turner Hij is een software-engineer in Salt Lake City. Turner zei dat hij het account bij Experian in 2020 had aangemaakt om zijn kredietprofiel te bevriezen, en dat hij een wachtwoordbeheerder gebruikte om een sterk, uniek wachtwoord voor zijn Experian-account te identificeren en op te slaan.
Turner zei dat hij begin juni 2022 een e-mail van Experian ontving waarin stond dat het e-mailadres op zijn account was gewijzigd. Het opnieuw instellen van het wachtwoord van Experian was op dat moment nutteloos omdat eventuele links voor het opnieuw instellen van het wachtwoord naar het nieuwe (oplichters) e-mailadres zouden worden verzonden.
Een supportmedewerker van Experian Turner werd na lang wachten telefonisch bereikt en vroeg haar om zijn burgerservicenummer (SSN) en geboortedatum, evenals zijn pincode voor zijn account en antwoorden op zijn vertrouwelijke vragen. Maar de pincode en geheime vragen zijn al gewijzigd door iedereen die zich opnieuw heeft geregistreerd bij Experian.
“Ik was in staat om de vragen over het kredietrapport met succes te beantwoorden, die me op hun systeem hebben goedgekeurd”, zei Turner. “Op dat moment las de vertegenwoordiger me de huidige opgeslagen beveiligingsvragen en de pincode voor, en het waren zeker niet dingen die ik zou hebben gebruikt.”
Turner zei dat hij de controle over zijn Experian-account kon terugkrijgen door een nieuwe aan te maken. Maar nu vraagt hij zich af wat hij kan doen om te voorkomen dat een ander account wordt gehackt. Dit komt omdat Experian Bied geen enkele vorm van multi-factor authenticatie-opties op consumentenaccounts.
“Het meest frustrerende van deze hele zaak is dat ik later verschillende ‘dit is je inloggegevens’-e-mails kreeg die ze toeschreven aan de oorspronkelijke aanvallers die teruggingen en probeerden de stroom ‘e-mail/gebruikersnaam vergeten’ te gebruiken, hoogstwaarschijnlijk met behulp van SSN en DOB, maar het ging niet naar hun e-mail die ze verwachtten”, zei Turner. “Omdat Experian geen enkele vorm van tweefactorauthenticatie ondersteunt – en ik weet niet hoe ze in de eerste plaats op mijn account zijn gekomen – heb ik me sindsdien behoorlijk hulpeloos gevoeld.”
Voor alle duidelijkheid, Experian Doen Het heeft een business unit Verkoopt eenmalige wachtwoordservices aan bedrijven. Maar het biedt dit niet rechtstreeks aan consumenten die zich hebben aangemeld om hun kredietprofiel op de Experian-website te beheren.
Arthur Richie Muzikant en co-executive director van het Boston Landmarks Orchestra. Richie zei dat hij onlangs ontdekte dat zijn Experian-account was gekaapt nadat hij een waarschuwing had ontvangen van zijn (niet Experian) kredietbewakingsdienst dat iemand had geprobeerd een rekening op zijn naam te openen bij JPMorgan Chase.
Rishi zei dat de waarschuwing hem verraste omdat zijn Experian-kredietprofiel op dat moment was bevroren en Experian hem niet op de hoogte had gesteld van enige activiteit op zijn account. Rishi zei dat Chase ermee instemde om het ongeautoriseerde accountverzoek te annuleren en zelfs haar kredietaanvraag annuleerde (elke krediettrekking kan uw kredietscore een beetje schaden).
Maar hij was nooit in staat om iemand van de ondersteuningsdienst van Experian de telefoon te laten beantwoorden, ondanks het feit dat hij een eeuwigheid had doorgebracht met proberen door het telefoonsysteem van het bedrijf te komen. Toen besloot Rishi om te kijken of hij een nieuw account voor zichzelf kon aanmaken in Experian.
“Ik kon een nieuw Experian-account openen vanaf het begin, met behulp van mijn BSN, geboortedatum en het beantwoorden van een aantal heel basale vragen, zoals voor wat voor soort auto ik een lening kreeg of in welke stad ik vroeger woonde,” zei hij gevederd.
Bij het voltooien van de opname merkte Rishi dat zijn saldo was bevroren.
Net als Turner is Richie nu bezorgd dat identiteitsdieven zijn Experian-account opnieuw zullen kapen en dat hij niets kan doen om een dergelijk scenario te voorkomen. Momenteel heeft Rishi besloten om Experian $ 25,99 per maand te betalen om zijn account nauwlettend te controleren op verdachte activiteiten. Zelfs met de betaalde service van Experian waren er geen extra multi-factor authenticatie-opties, hoewel hij zei dat Experian onlangs een eenmalige code via sms naar zijn telefoon stuurde toen hij inlogde.
“Experian heeft nu soms MFA voor mij nodig als ik een nieuwe browser gebruik of mijn VPN gebruik”, zei Rishi, maar hij wist niet zeker of de gratis service van Experian anders zou werken.
“Ik word zo boos als ik aan dit alles denk”, zei hij. “Ik heb er geen vertrouwen in dat dit niet meer zal gebeuren.”
In een schriftelijke verklaring suggereerde Experian dat wat er met Rishi en Turner gebeurde geen gewone gebeurtenis was en dat hun identiteits- en beveiligingsverificatiepraktijken verder gaan dan wat zichtbaar is voor de gebruiker.
“Wij geloven dat dit individuele fraude-incidenten zijn waarbij gestolen consumenteninformatie wordt gebruikt”, zei Experian in een verklaring. “Speciaal voor uw vraag, zodra een Experian-account is aangemaakt en iemand probeert een tweede Experian-account aan te maken, zullen onze systemen de originele e-mail in het bestand rapporteren.”
“We gaan verder dan alleen te vertrouwen op persoonlijk identificeerbare informatie (PII) of het vermogen van een consument om op kennis gebaseerde authenticatievragen te beantwoorden om toegang te krijgen tot onze systemen”, vervolgt de verklaring. “We maken geen aanvullende processen bekend om voor de hand liggende veiligheidsredenen; onze gegevens- en analysemogelijkheden verifiëren echter identiteitselementen in meerdere gegevensbronnen en zijn niet zichtbaar voor de consument. Dit is ontworpen om een positievere ervaring voor onze klanten te creëren en om aanvullende We nemen de privacy en veiligheid van de consument zeer serieus, en we evalueren voortdurend onze beveiligingsprocessen om ons te beschermen tegen de aanhoudende en zich ontwikkelende bedreigingen van fraudeurs.”
Analytics
KrebsOnSecurity probeerde de ervaring van Turner en Rishi na te bootsen – om te zien of Experian me zou toestaan mijn account opnieuw aan te maken met mijn persoonlijke gegevens maar met een ander e-mailadres. Het experiment werd uitgevoerd vanaf een andere computer en internetadres dan degene die jaren geleden het oorspronkelijke account heeft aangemaakt.
Na het verstrekken van mijn BSN, geboortedatum en het beantwoorden van verschillende meerkeuzevragen waarvan de antwoorden bijna volledig afkomstig zijn uit openbare registers, wijzigde Experian onmiddellijk het e-mailadres dat aan mijn kredietprofiel is gekoppeld. Ik heb dit gedaan zonder eerst te bevestigen dat het nieuwe e-mailadres kan reageren op berichten, of dat het vorige e-mailadres akkoord gaat met wijziging.
Het Experian-systeem stuurde vervolgens een automatisch bericht naar het oorspronkelijk geregistreerde e-mailadres, waarin stond dat het e-mailadres van het account was gewijzigd. Het enige verhaal dat Experian in de waarschuwing bood, was om in te loggen of een Experian-mailbox te e-mailen met als antwoord “Dit e-mailadres wordt niet langer gecontroleerd”.
Vervolgens vroeg Experian me om nieuwe geheime vragen en antwoorden te selecteren, evenals een nieuwe accountpincode – effectieve vragen voor het wissen en herstellen van de pincode voor het account. Nadat ik mijn pincode en beveiligingsvragen had gewijzigd, herinnerde Experian me er behulpzaam aan dat ik een beveiligingsbevriezing van het bestand heb en wil ik de beveiligingsbevriezing verwijderen of tijdelijk opheffen?
Hoe Experian verschilt van de praktijken? Equifax En de TransUnionDe andere twee grote rapportagebureaus voor consumentenkrediet? Toen KrebsOnSecurity probeerde een bestaand TransUnion-account opnieuw aan te maken met mijn burgerservicenummer, wees TransUnion de aanvraag af met de mededeling dat ik al een account had en werd gevraagd om door te gaan met de verloren wachtwoordstroom. Het lijkt er ook op dat het bedrijf een e-mail naar het geregistreerde adres stuurt om validatie van de accountwijzigingen aan te vragen.
Evenzo, als ik probeer een bestaand Equifax-account opnieuw aan te maken met behulp van persoonlijke informatie die is gekoppeld aan mijn bestaande account, worden Equifax-systemen gevraagd om te melden dat ik al een account heb en om hun wachtwoordherstelproces te gebruiken (waarbij een verificatie-e-mail naar het geregistreerde adres wordt gestuurd).
KrebsOnSecurity heeft er bij Amerikaanse lezers altijd op aangedrongen om het ergens te plaatsen Beveiligingsbevriezing van hun bestanden bij de drie grote kredietbureaus. Met een bevriezing kunnen potentiële schuldeisers uw kredietdossier niet intrekken, waardoor het minder waarschijnlijk is dat iemand nieuwe kredietlijnen op uw naam krijgt. Ik adviseerde ook lezers Ze plantten hun vlag in de drie hoofdkantorenom te voorkomen dat identiteitsdieven een account voor u aanmaken en controle over uw identiteit krijgen.
De ervaringen van Richie, Turner en deze auteur geven aan dat de praktijken van Experian momenteel elk van deze proactieve beveiligingsmaatregelen ondermijnen. toch, Het hebben van een actief Experian-account is misschien de enige manier om erachter te komen of oplichters uw identiteit hebben aangenomen. Want daarna zou je in ieder geval een e-mail van Experian moeten krijgen waarin staat dat ze je identiteit aan iemand anders hebben gegeven.
In april 2021 onthulde KrebsOnSecurity hoe identiteitsdieven waren Gebruik maken van lakse authenticatie op de pagina voor het ophalen van pincodes van Experian Om de bevriezing van consumentenkredietdossiers op te heffen. In deze gevallen heeft Experian geen e-mailmelding verzonden toen de Freeze-pincode werd opgehaald en hoefde de pincode niet te worden verzonden naar een e-mailadres dat al aan het consumentenaccount was gekoppeld.
Een paar dagen na dat verhaal van april 2021 publiceerde Krebs on Security het nieuws dat Experian API onthulde kredietscores voor de meeste Amerikanen.
Emory Roanbeleidsadviseur van Clearinghouse voor privacyrechtenHij zei dat het ongerechtvaardigd is dat Experian in 2022 geen multifactor-authenticatie voor consumentenaccounts introduceert.
“Ze verergeren het probleem door het herstelproces te informeren over informatie die al dan niet is afgeleid van externe gegevensmakelaars, of die bij eerdere gegevensinbreuken aan het licht zou kunnen zijn gekomen”, zei Rowan. “Experian is een van de grootste consumentenrapportagebureaus in het land en wordt vertrouwd als een van de weinige grote spelers in het kredietsysteem waar Amerikanen zich bij moeten aansluiten. Voor hen is het niet aanbieden van een of andere vorm van MFA (gratis) een raadsel. en weerspiegelt zeer slecht op Experian.”
Nicholas Weverzoekt naar Internationaal Instituut voor Computerwetenschappen in Universiteit van California, BerkeleyHij zei dat Experian geen echte prikkel heeft om dingen goed te doen aan de consumentenkant van zijn bedrijf. Dat betekent, zei hij, tenzij klanten van Experian – banken en andere kredietverstrekkers – ervoor kiezen om met hun voeten te stemmen omdat zoveel mensen met bevroren kredietdossiers te maken hebben met ongeautoriseerde aanvragen voor nieuw krediet.
“Echte klanten van de kredietdienst realiseren zich niet hoe slecht de toestand van Experian is, en dit is niet de eerste keer dat Experian vreselijk faalt,” zei Weaver. “Experian maakt deel uit van een trio-bedrijf, en ik weet zeker dat dit hun echte klanten geld kost, want als je een tegoedbevriezing hebt die wordt opgeheven en iemand het uitleent, is het de geldschieter die die fraudekosten opeet.”
In tegenstelling tot consumenten, zei hij, hebben kredietverstrekkers de keuze in welke van de drie bedrijven ze hun kredietcontroles willen uitvoeren.
“Ik denk dat het belangrijk is om op te merken dat echte klanten een keuze hebben en dat ze moeten overstappen op TransUnion en Equifax”, voegde hij eraan toe.
Meer beste nummers van Experian:
2017: Experian kan iedereen uw pincode geven om uw tegoed te bevriezen
2015: Testinbreuk treft 15 miljoen klanten
2015: Inbreuk op proces gekoppeld aan NY-NJ ID-diefstal episode
2015: In Experian, de veiligheidsdrain te midden van acquisities
2015: Experian hit met massale actiedienst op identiteitsdiefstal
2014: Experian Lapse geeft identiteitsdiefstalservice toegang tot 200 miljoen consumentenrecords
2013: Experimentele consumentengegevens verkocht aan identiteitsdiefstaldienst
“Bierliefhebber. Toegewijde popcultuurgeleerde. Koffieninja. Boze zombiefan. Organisator.”
More Stories
Het aandeel Super Micro Computer (SMCI) daalde met 23%, waardoor AI Darling Nvidia werd getroffen
Procter & Gamble (PG) Winst derde kwartaal 2024
Netflix: winst stijgt na campagne voor het delen van wachtwoorden