Experian Flaw刚刚公布了保护信用数据的PIN码
Oğuzhan Uğur'la P!NÇ: Jülide ATEŞ, Fırat ALBAYRAM ve Ceyda KASABALI, Röportaj Adam
目录:
信用冻结是防止新帐户欺诈的最佳方式,即犯罪分子以您的名义开设虚假帐户。但是,一个信用局的网站让我们很容易绕过那些本应保证信用报告安全的安全措施。
Experian的网站公开了个人身份识别号码 - 解冻信用冻结所需的个人识别号码 - 在用户用一揽子答案回答他们的安全问题后:以上都不是。
一年多以前,安全专家Brian Krebs报告了一个类似的缺陷。此时,人们必须正确回答用于识别它们的四个“基于知识的身份验证”问题。根据克雷布斯的说法,这种方法的问题在于,通过商业网站和犯罪网站可以在线获得成功猜测答案所需的个人信息。
但是星期四的几个小时 - 以及谁知道在此之前多久 - 你甚至不必猜测。
一位读者提醒我们注意这个问题,我们几个有信用冻结的人能够复制它。我们在Facebook和Twitter上询问了我们的粉丝,并听取了其他人也可以访问他们的个人识别码。
正常过程中的缺陷
为了获得这些数字,人们在Experian的PIN检索页面填写了表格,上面有一个人的姓名,地址,社会安全号码和出生日期 - 这些信息在去年的Equifax违规行为中受到了损害,并且可以随时出售在黑暗的网络上。表单需要一个电子邮件地址,该地址不一定必须是与该人的Experian帐户相关联的地址。在安全问题中回答“以上都不是” - 即使某些提供的答案是正确的 - 也可以访问该人的PIN码。
使用PIN码,任何人都可以解冻该人的信用冻结并以他们的名义申请信用。
消费者倡导者Mike Litt也能够利用这个缺陷检索他的PIN。 “这绝对没有任何借口,”公共利益倡导组织美国PIRG的竞选主任利特说。 “你怎么把钥匙留在迎宾垫顶上的门上?”
Experian发言人周四下午发表声明说:“虽然我们确信我们的身份验证是安全的,并且没有信用档案存在风险,但我们已采取额外措施使流程更加安全。我们会继续定期监控我们的系统,并在有必要时立即采取行动,以加强数据安全。“
错误消息启动
到星期四晚些时候,我们中的许多人开始收到我们的回复应该首先生成的错误消息。我们被指示向Experian邮寄我们的识别信息,例如我们的驾驶执照,水电费和社会安全卡的副本。
如果需要说,美国邮件不是传输此类信息的安全方式。但由于这些细节很可能已经成为犯罪分子,我们暂时不会这样做。
这又是一个提醒,我们需要继续监控我们的信用报告和欺诈账户的分数,即使我们有信用冻结 - 我们仍然应该这样做。
真正令人痛苦的是,安全冻结被认为是人们可以抵制欺诈的少数有效壁垒之一。这就是为什么安全专家多年来一直推荐它们,以及为什么国会终于在9月21日开始冻结和解冻。
这种基本保护可以轻易被挫败,这告诉我们,信用局仍然没有认真对待我们信息的安全性。
工作人员作家Bev O'Shea为本报告做出了贡献。