لینک کوتاه مطلب : https://hsgar.com/?p=5219

Experian، شما توضیحی برای انجام دادن دارید – کربس در مورد امنیت

دو بار در ماه گذشته KrebsOnSecurity از خوانندگانی شنیده است که حساب های خود را در دفتر اعتباری بزرگ سه داشته اند. تجربه گر هک شده و با یک آدرس ایمیل جدید که مال آنها نبود به روز شد. در هر دو مورد، خوانندگان از مدیریت رمز عبور برای انتخاب رمزهای عبور قوی و منحصر به فرد برای حساب‌های Experian خود استفاده کردند. تحقیقات نشان می‌دهد که سارقان هویت به سادگی با ثبت نام برای حساب‌های جدید در Experian با استفاده از اطلاعات شخصی قربانی و یک آدرس ایمیل متفاوت، توانستند حساب‌ها را ربودند.

جان ترنر یک مهندس نرم افزار مستقر در سالت لیک سیتی است. ترنر گفت که او این حساب را در Experian در سال 2020 ایجاد کرده است تا روی فایل اعتباری خود مسدود شود و از یک مدیر رمز عبور برای انتخاب و ذخیره رمز عبور قوی و منحصر به فرد برای حساب Experian خود استفاده کرده است.

ترنر گفت که در اوایل ژوئن 2022 ایمیلی از Experian دریافت کرد که در آن آدرس ایمیل در حسابش تغییر کرده بود. فرآیند بازنشانی رمز عبور Experian در آن مرحله بی‌فایده بود زیرا هر پیوند بازنشانی رمز عبور به آدرس ایمیل جدید (فریبنده) ارسال می‌شد.

یک فرد پشتیبانی Experian، Turner، پس از مدت‌ها توقف، شماره امنیت اجتماعی (SSN) و تاریخ تولد و همچنین پین حساب و پاسخ به سؤالات محرمانه‌اش را از طریق تلفن تماس گرفت. اما پین و سؤالات محرمانه قبلاً توسط هر کسی که مجدداً به عنوان او در Experian ثبت نام کرده بود تغییر داده شده بود.

ترنر گفت: «من توانستم به سؤالات گزارش اعتباری با موفقیت پاسخ دهم، که من را در سیستم آنها تأیید کرد. “در آن مرحله، نماینده سوالات امنیتی ذخیره شده فعلی و پین را برای من خواند و قطعاً آنها چیزهایی نبودند که من از آنها استفاده می کردم.”

ترنر گفت که توانسته با ایجاد یک حساب کاربری جدید، کنترل حساب Experian خود را دوباره به دست بیاورد. اما اکنون او به این فکر می کند که چه کارهای دیگری می تواند انجام دهد تا از به خطر افتادن حساب دیگری جلوگیری کند. این به این دلیل است که Experian هیچ نوع گزینه احراز هویت چند عاملی را در حساب های مصرف کننده ارائه نمی دهد.

ناامیدکننده‌ترین بخش این موضوع این است که من بعداً چندین ایمیل دریافت کردم «این‌جا اطلاعات ورود شماست» که به مهاجمان اصلی نسبت دادم که برگشته‌اند و تلاش می‌کنند از جریان «ایمیل/نام کاربری فراموش شده» استفاده کنند، احتمالاً با استفاده از SSN و DOB من. ترنر گفت. با توجه به اینکه Experian از هیچ نوع احراز هویت دو مرحله‌ای پشتیبانی نمی‌کند – و اینکه من نمی‌دانم در وهله اول چگونه توانستند به حساب من دسترسی پیدا کنند – از آن زمان تاکنون احساس ناتوانی زیادی کرده‌ام.

برای روشن شدن، Experian میکند یک واحد تجاری داشته باشید که خدمات رمز عبور یک بار مصرف را به مشاغل می فروشد. اما این را مستقیماً به مصرف‌کنندگانی که برای مدیریت پرونده اعتباری خود در وب‌سایت Experian ثبت‌نام می‌کنند، ارائه نمی‌کند.

آرتور ریشی نوازنده و مدیر اجرایی ارکستر بوستون لندمارکس است. ریشی گفت که اخیراً پس از دریافت هشداری از سرویس نظارت بر اعتبار خود (نه اکسپریان) متوجه شده است که حساب اکسپریان او دزدیده شده است مبنی بر اینکه شخصی سعی کرده است حسابی به نام او در JPMorgan Chase باز کند.

ریشی گفت که این هشدار او را غافلگیر کرد زیرا پرونده اعتباری او در Experian در آن زمان مسدود شده بود و Experian در مورد هیچ فعالیتی در حساب خود به او اطلاع نداد. ریشی گفت چیس با لغو درخواست حساب غیرمجاز موافقت کرد و حتی درخواست اعتبار خود را لغو کرد (هر کشش اعتباری می تواند امتیاز اعتباری شما را کمی کاهش دهد).

اما او هرگز نتوانست کسی را از پشتیبانی Experian بخواهد تا به تلفن پاسخ دهد، علیرغم گذراندن چیزی که به نظر می رسد ابدیت در تلاش برای پیشرفت از طریق سیستم مبتنی بر تلفن این شرکت باشد. این زمانی بود که ریشی تصمیم گرفت ببیند آیا می تواند یک حساب کاربری جدید برای خود در Experian ایجاد کند یا خیر.

“من توانستم از ابتدا یک حساب کاربری جدید در Experian باز کنم، با استفاده از SSN، تاریخ تولد و پاسخ دادن به برخی سوالات واقعاً اساسی، مانند چه نوع ماشینی وام گرفتید، یا در چه شهری زندگی می کردید. ریشی گفت.

پس از تکمیل ثبت نام، ریشی متوجه شد که اعتبار او مسدود شده است.

مانند ترنر، ریشی اکنون نگران است که سارقان هویت یک بار دیگر حساب Experian او را هک کنند و هیچ کاری نمی تواند برای جلوگیری از چنین سناریویی انجام دهد. در حال حاضر، ریشی تصمیم گرفته است به Experian 25.99 دلار در ماه پرداخت کند تا حساب خود را از نظر فعالیت های مشکوک نظارت دقیق تری داشته باشد. حتی با استفاده از سرویس پولی Experian، هیچ گزینه اضافی برای احراز هویت چند عاملی در دسترس نبود، اگرچه او گفت که Experian اخیراً زمانی که وارد سیستم شده است، یک کد یک بار مصرف از طریق پیامک به تلفن او ارسال کرده است.

ریشی گفت: «اگر من از مرورگر جدیدی استفاده می‌کنم یا VPN را روشن می‌کنم، گاهی اوقات Experian برای من نیاز به MFA دارد، اما او مطمئن نیست که آیا سرویس رایگان Experian متفاوت عمل می‌کرد.

او گفت: «وقتی به همه اینها فکر می کنم خیلی عصبانی می شوم. من مطمئن نیستم که این دیگر تکرار نخواهد شد.»

در یک بیانیه کتبی، Experian پیشنهاد کرد که اتفاقی که برای ریشی و ترنر افتاد یک اتفاق عادی نبوده و اقدامات امنیتی و تأیید هویت آن فراتر از آن چیزی است که برای کاربر قابل مشاهده است.

در بیانیه Experian آمده است: «ما معتقدیم که اینها حوادث مجزای کلاهبرداری با استفاده از اطلاعات مصرف‌کننده دزدیده شده است. “مخصوص سوال شما، هنگامی که یک حساب Experian ایجاد می شود، اگر فردی تلاش کند یک حساب Experian دوم ایجاد کند، سیستم های ما ایمیل اصلی موجود در پرونده را مطلع خواهند کرد.”

بیانیه ادامه می‌دهد: «ما فراتر از اتکا به اطلاعات شناسایی شخصی (PII) یا توانایی مصرف‌کننده برای پاسخ به سؤالات احراز هویت مبتنی بر دانش برای دسترسی به سیستم‌هایمان هستیم». «ما به دلایل امنیتی واضح فرآیندهای اضافی را فاش نمی کنیم. با این حال، داده‌ها و قابلیت‌های تحلیلی ما عناصر هویتی را در چندین منبع داده تأیید می‌کند و برای مصرف‌کننده قابل مشاهده نیست. این برای ایجاد تجربه مثبت تر برای مصرف کنندگان ما و ارائه لایه های حفاظتی اضافی طراحی شده است. ما حریم خصوصی و امنیت مصرف کننده را جدی می گیریم و به طور مستمر فرآیندهای امنیتی خود را بررسی می کنیم تا از تهدیدات دائمی و در حال تحول ناشی از کلاهبرداران محافظت کنیم.

تحلیل و بررسی

KrebsOnSecurity به دنبال تکرار تجربه ترنر و ریشی بود – تا ببیند آیا Experian به من اجازه می دهد تا با استفاده از اطلاعات شخصی ام اما یک آدرس ایمیل متفاوت، حساب خود را دوباره ایجاد کنم. این آزمایش از یک رایانه و آدرس اینترنتی متفاوت از آدرسی که سال ها پیش حساب اصلی را ایجاد کرده بود، انجام شد.

پس از ارائه شماره تأمین اجتماعی (SSN)، تاریخ تولد، و پاسخ به چندین سؤال چند گزینه ای که پاسخ آنها تقریباً به طور کامل از سوابق عمومی گرفته شده است، Experian به سرعت آدرس ایمیل مرتبط با پرونده اعتباری من را تغییر داد. این کار را بدون تأیید اینکه آدرس ایمیل جدید می‌تواند به پیام‌ها پاسخ دهد یا اینکه آدرس ایمیل قبلی این تغییر را تأیید کرده است، انجام داد.

سپس سیستم Experian یک پیام خودکار به آدرس ایمیل اصلی موجود در پرونده ارسال کرد و گفت که آدرس ایمیل حساب تغییر کرده است. تنها چاره ای که Experian در این هشدار ارائه کرد ورود به سیستم یا ارسال ایمیل به صندوق ورودی Experian بود که با این پیام پاسخ می دهد: “این آدرس ایمیل دیگر نظارت نمی شود.”

پس از آن، Experian از من خواست تا پرسش‌ها و پاسخ‌های مخفی جدید و همچنین یک پین حساب جدید را انتخاب کنم – به طور موثر پین انتخابی قبلی حساب و سؤالات بازیابی را پاک می‌کند. هنگامی که پین ​​و سؤالات امنیتی را تغییر دادم، سایت Experian به طور مفید به من یادآوری کرد که من یک فایل فریز امنیتی دارم، و آیا می‌خواهم انسداد امنیتی را حذف کنم یا موقتاً لغو کنم؟

اکسپرین چه تفاوتی با شیوه های آن دارد Equifax و TransUnion، دو دفتر گزارش اعتبار مصرف کننده بزرگ دیگر؟ هنگامی که KrebsOnSecurity سعی کرد با استفاده از شماره تامین اجتماعی من یک حساب کاربری موجود در TransUnion را دوباره ایجاد کند، TransUnion درخواست را رد کرد و اشاره کرد که من قبلاً یک حساب داشتم و از من خواست تا از طریق جریان رمز عبور گم شده آن اقدام کنم. همچنین به نظر می‌رسد که این شرکت ایمیلی به آدرس موجود در پرونده ارسال می‌کند تا تغییرات حساب را تأیید کند.

به همین ترتیب، تلاش برای ایجاد مجدد یک حساب موجود در Equifax با استفاده از اطلاعات شخصی مرتبط با حساب موجود من، از سیستم‌های Equifax می‌خواهد تا گزارش دهند که من قبلاً یک حساب دارم و از فرآیند بازنشانی رمز عبور خود (که شامل ارسال ایمیل تأیید به آدرس موجود در پرونده است) استفاده می‌کند. .

KrebsOnSecurity مدت‌هاست که از خوانندگان در ایالات متحده خواسته است تا پرونده‌های خود را با سه دفتر اعتباری اصلی مسدود کنند. با انجماد، اعتباردهندگان بالقوه نمی توانند پرونده اعتباری شما را جمع آوری کنند، که باعث می شود به کسی خط اعتباری جدیدی به نام شما اعطا نشود. من همچنین به خوانندگان توصیه کرده‌ام که پرچم خود را در سه دفتر اصلی نصب کنند تا از ایجاد حساب کاربری توسط سارقان هویت و به عهده گرفتن کنترل هویت شما جلوگیری شود.

تجارب Rishi، Turner و این نویسنده نشان می‌دهد که اقدامات Experian در حال حاضر هر دوی این اقدامات امنیتی فعال را تضعیف می‌کند. با این حال، داشتن یک حساب کاربری فعال در Experian ممکن است تنها راهی باشد که می توانید متوجه شوید که چه زمانی کلاهبرداران هویت شما را فرض کرده اند. زیرا حداقل در این صورت باید ایمیلی از Experian دریافت کنید که می گوید هویت شما را به شخص دیگری داده است.

در آوریل 2021، KrebsOnSecurity فاش کرد که چگونه سارقان هویت از احراز هویت ضعیف در صفحه بازیابی پین Experian برای باز کردن فایل‌های اعتبار مصرف‌کننده سوء استفاده می‌کنند. در این موارد، Experian در هنگام بازیابی پین ثابت، هیچ اخطاری را از طریق ایمیل ارسال نکرد، و همچنین نیازی به ارسال پین به آدرس ایمیلی که قبلاً با حساب مصرف کننده مرتبط است، نبود.

چند روز پس از آن داستان آوریل 2021، KrebsOnSecurity این خبر را منتشر کرد که یک API Experian امتیازات اعتباری اکثر آمریکایی ها را افشا می کند.

امری روان، مشاور سیاست گذاری برای دفتر تسویه حقوق حریم خصوصی، گفت که Experian ارائه نکردن احراز هویت چند عاملی برای حساب های مصرف کننده در سال 2022 غیرقابل توجیه است.

Roan گفت: «آنها با در نظر گرفتن فرآیند بازیابی با اطلاعاتی که احتمالاً در دسترس یا قابل استنباط از واسطه‌های داده شخص ثالث است، یا می‌توانستند در نقض‌های قبلی داده‌ها افشا شده باشند، مشکل را ترکیب می‌کنند». Experian یکی از بزرگترین آژانس های گزارش مصرف کننده در کشور است که به عنوان یکی از معدود بازیگران ضروری در سیستم اعتباری که آمریکایی ها مجبور به عضویت در آن هستند مورد اعتماد است. برای اینکه آنها نوعی از MFA (رایگان) را به مصرف کنندگان ارائه ندهند، گیج کننده است و منعکس کننده بسیار ضعیفی در Experian است.

نیکلاس ویور، محققی برای موسسه بین المللی علوم کامپیوتر در دانشگاه کالیفرنیا، برکلی، گفت Experian هیچ انگیزه واقعی برای انجام درست کارها در سمت مصرف کننده تجارت خود ندارد. به گفته او، مگر اینکه مشتریان Experian – بانک ها و سایر وام دهندگان – با پای خود رای دهند، زیرا افراد زیادی با پرونده های اعتباری منجمد شده مجبورند با درخواست های غیرمجاز برای اعتبار جدید مقابله کنند.

ویور گفت: «مشتریان واقعی خدمات اعتباری متوجه نمی‌شوند که Experian چقدر بدتر است، و این اولین باری نیست که Experian به طرز وحشتناکی خراب می‌شود. “Experian بخشی از یک سه‌گانه است، و من مطمئن هستم که این برای مشتریان واقعی آنها هزینه دارد، زیرا اگر شما یک توقف اعتباری دارید که برداشته می‌شود و کسی در مقابل آن وام می‌دهد، این وام‌دهنده است که هزینه تقلب را می‌خورد.”

او گفت و برخلاف مصرف کنندگان، وام دهندگان حق انتخاب دارند که کدام یک از سه گانه چک های اعتباری خود را انجام دهند.

او افزود: “من فکر می کنم مهم است که اشاره کنیم که مشتریان واقعی آنها حق انتخاب دارند و آنها باید به TransUnion و Equifax روی آورند.”

بهترین موفقیت‌های بیشتر از Experian:

2017: سایت Experian می تواند پین انجماد اعتبار شما را به هر کسی بدهد
2015: Experian Breach بر 15 میلیون مشتری تأثیر می گذارد
2015: Experian Breach به حلقه سرقت ID NY-NJ گره خورده است
2015: در Experian، امنیت Aid Aid Acquisitions
2015: Experian Hit With Class Action Over ID Theft Service
2014: Experian Lapse اجازه دسترسی به خدمات سرقت شناسه به 200 میلیون سوابق مصرف کننده را داد
2013: Experian داده های مصرف کننده را به سرویس سرقت شناسه فروخت

لینک منبع

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.