Experian, hai alcune spiegazioni attraverso inizio – Krebs sulla risolutezza

Nell’ultimo mese, KrebsOnSecurity ha ascoltato due volte i lettori che avevano i loro conti con le agenzie di credito Big Three. Esperto è stato violato e aggiornato con una nuova email. a un indirizzo postale che non era il loro. In entrambi i casi, i lettori hanno utilizzato i gestori di password per scegliere password complesse e univoche per i propri account Experian. La ricerca mostra che i ladri di identità sono stati in grado di dirottare account semplicemente registrando nuovi account con Experian utilizzando le informazioni personali della vittima e altre e-mail. indirizzo postale.

John Turner è un ingegnere del software con sede a Salt Lake City. Turner ha affermato che l’account è stato creato da Experian nel 2020 per bloccare il suo file di credito e che ha utilizzato un gestore di password per scegliere e salvare una password forte e unica per il suo account Experian.

Turner lo ha detto nel 2022 all’inizio di giugno ha ricevuto una e-mail lettera di Experian in cui si afferma che il suo account e-mail l’indirizzo postale è stato modificato. Il processo di reimpostazione della password di Experian era inutile all’epoca, poiché tutti i collegamenti per la reimpostazione della password venivano inviati tramite una nuova e-mail (spoofing). indirizzo postale.

Una persona di supporto Experi, Turner, ha contattato al telefono dopo una lunga attesa e ha chiesto il suo numero di previdenza sociale (SSN) e la data di nascita, nonché il PIN del suo account e le risposte a domande segrete. Tuttavia, il PIN e le domande segrete sono già state modificate da chi si è registrato nuovamente come lui con Experian.

“Sono stato in grado di rispondere con successo alle domande sul rapporto di credito, che mi hanno convalidato nel loro sistema”, ha detto Turner. “A quel punto, il rappresentante mi ha letto le domande di sicurezza e il PIN archiviati e sicuramente non erano cose che avrei usato.

Turner ha affermato di essere stato in grado di riprendere il controllo del suo account Experian dopo aver creato un nuovo account. Ma ora si chiede cos’altro può fare per prevenire un’altra violazione dell’account. Questo perché Experian non offre alcuna opzione di autenticazione a più fattori per gli account utente.

“La parte più frustrante di tutta questa faccenda è che ho ricevuto diverse e-mail in seguito. e-mail “ecco il tuo login”, che ho attribuito agli aggressori originali che sono tornati e hanno cercato di utilizzare l'”e-mail dimenticata” email/nome utente”, probabilmente utilizzando il mio SSN e DOB. , ma alla loro e-mail la posta non era quello che si aspettavano”, ha detto Turner. “Dato che Experian non supporta alcun tipo di autenticazione a due fattori e che non so come siano riusciti ad accedere al mio account, da allora mi sono sentito molto impotente.

Per essere chiari, Experian fa avere una business unit che vende servizi di password monouso alle aziende. Ma non lo offre direttamente ai consumatori che si iscrivono per gestire la propria cartella di credito sul sito web di Experian.

Arthur Rishi è un musicista e co-direttore esecutivo della Boston Celebrity Orchestra. Rishi ha detto di aver recentemente appreso che il suo account Experian era stato dirottato quando ha ricevuto un avviso dal suo servizio di monitoraggio del credito (non Experian) che qualcuno aveva tentato di aprire un account a suo nome presso JPMorgan Chase.

Rishi ha detto di essere stato sorpreso dall’avviso perché il suo file di credito con Experian era stato bloccato in quel momento e Experian non gli aveva notificato alcuna attività sul suo account. Rishi ha detto che Chase ha accettato di annullare la richiesta di account non autorizzato e ha persino annullato la propria richiesta di credito (ogni prelievo di credito può abbassare leggermente il punteggio di credito).

Ma non è mai riuscito a convincere nessuno dell’help desk di Experian a rispondere al telefono, nonostante abbia passato un’eternità cercando di farsi strada attraverso il sistema telefonico dell’azienda. Rishi ha quindi deciso di vedere se poteva creare un nuovo account su Experian.

“Sono stato in grado di aprire un nuovo account con Experian da zero utilizzando il mio SSN, la data di nascita e rispondendo ad alcune semplici domande come quale prestito auto hai preso o in che città hai vissuto? dentro,” disse Rishi.

Dopo aver completato la registrazione, Rishi ha notato che il suo credito non era stato congelato.

Come Turner, Rishi ora è preoccupato che i ladri di identità dirotteranno di nuovo il suo account Experian e che non c’è nulla che possa fare per prevenire uno scenario del genere. Per ora, Rishi ha deciso di pagare a Experian $ 25,99 al mese per monitorare più da vicino il suo account per attività sospette. Anche con il servizio a pagamento di Experian, non c’erano ulteriori opzioni di autenticazione a più fattori, anche se ha affermato che quando si è registrato di recente, Experian ha inviato un codice monouso al suo telefono tramite SMS.

“Experian ora a volte richiede MFA se utilizzo un nuovo browser o ho una VPN abilitata”, ha detto Rishi, ma non è sicuro se il servizio gratuito di Experian avrebbe funzionato in modo diverso.

“Mi arrabbio così tanto quando penso a tutto questo”, ha detto. “Non mi aspetto che succeda di nuovo”.

In una dichiarazione scritta, Experian ha affermato che ciò che è successo a Rishi e Turner non è stato un evento normale e che le sue pratiche di sicurezza e verifica dell’identità si estendono oltre ciò che è visibile al consumatore.

“Riteniamo che si tratti di casi isolati di frode che utilizza informazioni rubate sui consumatori”, ha affermato Experian in una nota. “Per quanto riguarda la tua domanda, una volta creato un account Experian, se qualcuno tenta di creare un secondo account Experian, i nostri sistemi segnaleranno l’e-mail originale in archivio. una lettera.

“Non ci basiamo sulle informazioni di identificazione personale (PII) o sulla capacità di un utente di rispondere a domande di autenticazione basate sulla conoscenza per accedere ai nostri sistemi”, ha continuato la dichiarazione. “Per ovvi motivi di sicurezza, non divulghiamo processi aggiuntivi; tuttavia, le nostre capacità di dati e analisi convalidano elementi di identità su più origini dati e non sono visibili all’utente. Questo è progettato per creare un’esperienza più positiva per i nostri utenti e fornire ulteriori livelli di protezione. Prendiamo sul serio la privacy e la sicurezza dei nostri utenti e rivediamo costantemente i nostri processi di sicurezza per proteggerci dalle minacce costanti e in evoluzione poste dai truffatori.

ANALISI

KrebsOnSecurity ha cercato di replicare l’esperienza di Turner e Rishi, per vedere se Experian mi avrebbe consentito di ricreare un account con informazioni personali ma un’altra e-mail. indirizzo postale. L’esperimento è stato condotto utilizzando un computer e un indirizzo web diversi da quello che ha creato l’account originale anni fa.

Dopo aver fornito il mio numero di previdenza sociale (SSN), data di nascita e aver risposto ad alcune domande a scelta multipla, le cui risposte provenivano quasi interamente da registri pubblici, Experian ha prontamente sostituito l’e-mail. indirizzo email associato al mio file di credito. Lo ha fatto senza prima confermare che la nuova e-mail l’indirizzo e-mail può rispondere ai messaggi oa un’e-mail precedente l’indirizzo email ha confermato la modifica.

Il sistema Experian ha quindi inviato un messaggio automatico all’e-mail originale in archivio. indirizzo e-mail, dicendo che l’e-mail dell’account l’indirizzo postale è stato modificato. L’unico rimedio offerto da Experian nell’avviso era accedere o inviare un’e-mail. e-mail alla casella di posta di Experian, che risponde con il messaggio: “questa e-mail l’indirizzo e-mail non è più tracciato.”

Experian mi ha quindi chiesto di selezionare nuove domande e risposte segrete, nonché un nuovo PIN dell’account, cancellando in modo efficace il PIN dell’account selezionato in precedenza e le domande di ripristino. Quando ho modificato il PIN e le domande di sicurezza, il sito Web di Experian mi ha utilmente ricordato che il file era in attesa e vorrei rimuovere o revocare temporaneamente il blocco della sicurezza?

Cosa rende Experian diverso da una pratica? Equifax e TransUnione, gli altri due grandi uffici di segnalazione del credito al consumo? Quando KrebsOnSecurity ha provato a ricreare un account TransUnion esistente utilizzando il mio numero di previdenza sociale, TransUnion ha rifiutato la domanda, rilevando che avevo già un account e chiedendomi di continuare il flusso della password persa. Sembra anche che l’azienda stia inviando e-mail. un’e-mail all’indirizzo in archivio chiedendoti di confermare le modifiche all’account.

Allo stesso modo, quando tento di ricreare un account Equifax esistente utilizzando le informazioni personali associate al mio account esistente, ai sistemi Equifax viene richiesto di segnalare che ho già un account e di utilizzare il processo di reimpostazione della password (che include l’invio di un’e-mail di conferma al indirizzo). .

KrebsOnSecurity incoraggia da tempo i lettori negli Stati Uniti a postare un blocco della sicurezza sui loro file con le tre principali agenzie di credito. Una volta congelati, i potenziali creditori non possono ritirare il tuo file di credito, quindi è altamente improbabile che a qualcuno vengano concesse nuove linee di credito per tuo conto. Ho consigliato anche ai lettori pianta la tua bandiera nelle tre sedi principaliper impedire ai ladri di identità di creare un account per te e di controllare la tua identità.

Nell’esperienza di Rishi, Turner e di questo autore, le pratiche di Experian attualmente minano entrambe queste misure di sicurezza proattive. Comunque, avere un account attivo con Experian può essere l’unico modo per sapere quando i truffatori hanno assunto la tua identità. Perché almeno allora dovresti ricevere un’e-mail. una lettera di Experian in cui si afferma che la tua identità è stata trasferita a qualcun altro.

nel 2021 in Aprile KrebsOnSecurity ha rivelato come operano i ladri di identità dopo aver utilizzato l’autenticazione gratuita nella pagina di ricerca del PIN di Experian annullare i casi di credito al consumo. In questi casi, Experian non ha inviato alcuna notifica e-mail. per posta quando è stato ricevuto un PIN bloccato, non è nemmeno necessario che il PIN venga inviato via e-mail. indirizzo email già associato all’account utente.

Pochi giorni dopo quel 2021 in Aprile storia, KrebsOnSecurity l’ha segnalata L’API Experian ha rivelato i punteggi di credito della maggior parte degli americani.

Emory Roanconsigliere politico Centro informazioni sui diritti sulla privacyha affermato che l’incapacità di Experian di offrire l’autenticazione a più fattori per gli account utente è ingiustificata nel 2022.

“Aggravano il problema legando il processo di recupero alle informazioni che potrebbero essere ottenute o implicite da broker di dati di terze parti o che potrebbero essere state esposte in precedenti violazioni dei dati”, ha affermato Roan. “Experian è una delle più grandi agenzie di segnalazione dei consumatori della nazione, considerata uno dei pochi attori essenziali nel sistema creditizio di cui gli americani sono costretti a far parte”. Il fatto che non offrano una qualche forma di MFP (gratuito) ai consumatori crea confusione e riflette molto male su Experian.

Nicholas Weaverricercatore Istituto Internazionale di Informatica indirizzo Università della California, Berkeley, ha affermato che Experian non ha alcun reale incentivo a fare le cose nel modo giusto dal lato dei consumatori della sua attività. Cioè, ha detto, a meno che i clienti di Experian – banche e altri istituti di credito – non decidano di votare con i piedi perché troppe persone con file di credito congelati devono affrontare richieste illegali di nuovo credito.

“I clienti di servizi di credito reale non si rendono conto di quanto Experian sia inferiore, e questa non è la prima volta che Experian va terribilmente storto”, ha detto Weaver. “Experian fa parte di un triopolio e sono sicuro che sta costando ai loro clienti reali perché se il blocco del credito viene revocato e qualcuno presta prima, l’istituto di credito mangia quei costi di frode”.

E a differenza dei consumatori, ha detto, i prestatori possono scegliere quale del trio gestirà i loro controlli del credito.

“Penso che sia importante sottolineare che i loro clienti reali hanno una scelta e dovrebbero passare a TransUnion ed Equifax”, ha aggiunto.

Altri migliori successi di Experian:

Nel 2017: Il sito Web di Experian può fornire il PIN di blocco del credito a chiunque
Nel 2015: La violazione di Experian colpisce 15 milioni di clienti
Nel 2015: Violazione di Experian collegata all’anello di furto di identità NY-NJ
Nel 2015: Experian, logoramento della sicurezza tra le acquisizioni.
Nel 2015: Successo di Experian con il servizio Classic Action Over ID Theft
Nel 2014: Experian Lapse ha fornito al servizio di furto di identità l’accesso a 200 milioni di record di utenti
Nel 2013: Experian ha venduto i dati dei consumatori a un servizio di furto di identità

Leave a Comment