Experian Flaw Just Revealed PIN Bảo vệ dữ liệu tín dụng

Tín dụng bị đóng băng là cách tốt nhất để ngăn chặn gian lận tài khoản mới, nơi bọn tội phạm mở tài khoản không có thật trong tên của bạn. Nhưng một trang web của một phòng tín dụng đã làm cho nó dễ dàng bị phá vỡ để bảo vệ an toàn cho các báo cáo tín dụng của bạn.

Trang web của Experian đã hiển thị số nhận dạng cá nhân - mã PIN cần thiết để giải mã tín dụng bị đóng băng - sau khi người dùng trả lời câu hỏi bảo mật của họ bằng câu trả lời về chăn: Không có điều nào ở trên.

Hơn một năm trước, chuyên gia bảo mật Brian Krebs đã báo cáo một lỗ hổng tương tự. Tại thời điểm đó, mọi người phải trả lời chính xác bốn câu hỏi "xác thực dựa trên tri thức" được sử dụng để nhận dạng chúng. Vấn đề với phương pháp này, theo Krebs, là thông tin cá nhân cần thiết để đoán thành công câu trả lời có sẵn trực tuyến thông qua các trang web thương mại cũng như hình sự.

Nhưng trong vài giờ thứ Năm - và cho ai biết được bao lâu trước đó - bạn thậm chí không phải đoán.

Một người đọc đã cảnh báo chúng tôi về vấn đề này, và một số người trong chúng tôi đã bị đóng băng tín dụng có thể tái tạo nó. Chúng tôi đã hỏi những người theo dõi trên Facebook và Twitter và được nghe từ những người khác cũng có quyền truy cập vào mã PIN của họ.

Lỗ hổng trong quá trình bình thường

Để lấy số, mọi người điền vào biểu mẫu trên trang truy xuất mã PIN của Experian với tên, địa chỉ, số an sinh xã hội và ngày sinh của người đó - chính xác loại thông tin đã bị xâm phạm trong vi phạm Equifax năm ngoái và sẵn có để bán trên web tối. Biểu mẫu yêu cầu địa chỉ email, không nhất thiết phải là địa chỉ được liên kết với tài khoản Experian của người đó. Trả lời “không có câu nào ở trên” đối với các câu hỏi bảo mật - ngay cả khi một số câu trả lời có ý nghĩa chính xác - đã cấp quyền truy cập vào mã PIN của người đó.

Với mã PIN, bất kỳ ai cũng có thể làm tan băng tín dụng của người đó và đăng ký tín dụng bằng tên của họ.

Người ủng hộ người tiêu dùng Mike Litt cũng có thể lấy mã PIN của mình bằng cách sử dụng lỗ hổng. “Hoàn toàn không có lý do gì cho việc này,” Litt, giám đốc chiến dịch cho PIRG Hoa Kỳ, một tổ chức tuyên truyền lợi ích công cộng cho biết. "Làm thế nào để bạn chỉ cần để lại chìa khóa để cánh cửa trên đầu trang của mat chào đón?"

Một phát ngôn viên Experian đã đưa ra tuyên bố chiều thứ năm cho biết: “Mặc dù chúng tôi tin rằng xác thực của chúng tôi là an toàn và không có tệp tín dụng nào có nguy cơ, chúng tôi đã thực hiện các bước bổ sung để làm cho quy trình an toàn hơn. Chúng tôi tiếp tục theo dõi thường xuyên hệ thống của mình, thực hiện hành động ngay lập tức khi được bảo đảm để tăng cường bảo mật dữ liệu ”.

Thông báo lỗi khởi động

Vào cuối ngày thứ Năm, nhiều người trong chúng ta đã bắt đầu nhận được thông báo lỗi rằng câu trả lời của chúng tôi lẽ ra phải được tạo ra ngay từ đầu. Chúng tôi được hướng dẫn gửi thư cho Experian thông tin nhận dạng của chúng tôi, chẳng hạn như bản sao bằng lái xe, hóa đơn tiện ích và thẻ An sinh Xã hội của chúng tôi.

Thư của Hoa Kỳ, trong trường hợp điều này cần phải nói, không phải là cách an toàn để truyền tải thông tin đó. Nhưng vì những chi tiết này có khả năng xảy ra trong tay tội phạm, nên chúng tôi sẽ rời khỏi đó ngay bây giờ.

Đây là một lời nhắc nhở khác rằng chúng tôi cần phải theo dõi các báo cáo tín dụng và điểm số của chúng tôi cho các tài khoản gian lận, ngay cả khi chúng tôi có tín dụng bị đóng băng tại chỗ - như chúng tôi vẫn cần.

Điều thực sự gây đau khổ là việc đóng băng bảo mật được coi là một trong số ít những người có khả năng chống lại sự lừa đảo. Đó là lý do tại sao các chuyên gia an ninh đã đề nghị họ trong nhiều năm, và tại sao Quốc hội cuối cùng đã bị đóng băng và làm tắc nghẽn miễn phí bắt đầu từ ngày 21 tháng 9.

Sự dễ dàng mà sự bảo vệ cần thiết này có thể bị cản trở cho chúng ta biết rằng các văn phòng tín dụng vẫn không đảm bảo an toàn cho thông tin của chúng tôi một cách nghiêm túc.

Nhân viên Bev O’Shea đã đóng góp cho báo cáo này.