Das KrebsOnSecurity-Portal hat bereits 2017 eine Sicherheitslücke in einem der drei größten Kreditbüros in den USA gemeldet . Die Sicherheitsanfälligkeit ermöglicht es Angreifern, die Anfrage eines Experian-Kunden abzubrechen, ein Kreditkonto einzufrieren und Zugriff auf seine persönlichen Daten zu erhalten. Letzte Woche teilte ein Kunde den Mitarbeitern von KrebsOnSecurity mit, dass es immer noch möglich ist, ein Konto freizugeben, ohne sich bei dem entsprechenden Konto auf der Experian-Website anzumelden. Ich beschloss, das heikle Thema der Probleme mit der Sicherheit von Informationssystemen von Kreditauskunfteien erneut zur Sprache zu bringen.
Wenn Ihr Kreditkonto gesperrt ist und Sie eine vergessene oder verlorene PIN erhalten möchten, können Sie diese hier anfordern. Eine PIN ist erforderlich, um die Einfrierung aufzuheben und dem Kreditgeber Zugriff auf Ihre Bonitätshistorie zu gewähren.
Experian verfügt über eine eigene Seite, auf der Sie Informationen eingeben können, um eine vergessene PIN wiederherzustellen. Angreifer können diese "bequeme" Gelegenheit auch nutzen, um Ihre PIN herauszufinden. Dafür müssen Sie jedoch genügend Informationen über Sie haben. Zuvor hatten wir gehofft, dass nicht alle Fragen beantwortet werden können, indem Sie die persönlichen Daten einer anderen Person bei sich haben, die regelmäßig aus der Equifax-Datenbank und anderen Kreditauskunfteien in das Netzwerk gelangen.
Kundengeschichte
Im vergangenen Jahr hat Dune Thomas, ein in Sacramento, Kalifornien, ansässiger Software-Ingenieur, seine Kreditkonten bei Experian, Equifax und TransUnion eingefroren, nachdem er erfahren hatte, dass Betrüger unter der Adresse seines leeren Hauses (im US-Bundesstaat Washington) versuchten, auf die Konten zuzugreifen. zu verkaufen.
Aber nach einer Weile nahmen die Betrüger es wieder auf. Anfang April wurde das Experian-Konto von Thomas aufgelöst und sofort neue Kreditlinien in seinem Namen beantragt, wobei wiederum dieselbe Adresse in Washington DC verwendet wurde. Thomas hat keine Benachrichtigung über neue Kredite erhalten. Er erfuhr nur davon, weil er einen kostenlosen Kreditüberwachungsdienst seiner Kreditkartenfirma nutzte.
Nach einigen Tagen Telefongespräch mit Experian gab ein Unternehmensvertreter zu, dass jemand die Funktion zum Anfordern Ihrer PIN auf der Experian-Website verwendet und seine PIN erhalten hatte, und taute dann das Konto auf.
Thomas und sein Freund beschlossen, den PIN-Wiederherstellungsprozess von Experian selbst zu durchlaufen, und waren überrascht: Nur eine der fünf Multiple-Choice-Fragen (die ihnen nach Eingabe ihrer Adresse, Sozialversicherungsnummer und ihres Geburtsdatums gestellt wurden) war die letzte Bastion der Sicherheit . Es ist unwahrscheinlich, dass ein derart schwacher Scheck die Hände von Betrügern für lange Zeit binden könnte.
KrebsOnSecurity-Untersuchung
Ein Mitarbeiter von KrebsOnSecurity durchlief das gleiche Verfahren und fand ähnliche Ergebnisse. Die erste Frage zu einer neuen Hypothek, die ich angeblich 2019 aufgenommen habe (das habe ich nicht getan), ist natürlich wild geworden. Die zweite, nicht weniger seltsame Frage ging auch dorthin.
Die folgenden zwei Fragen erwiesen sich als nutzlos, da sie bereits gestellt und beantwortet wurden (diese Daten befinden sich normalerweise in den mit dem Netzwerk zusammengeführten Datenbanken):
- « ?»
- « , ?»
Es gab nur eine Frage zu dem Fall, die sich auf meine Bonitätshistorie bezog (es handelte sich um die letzten vier Ziffern der aktuellen Kontonummer).
Und das Besondere an diesem verdorbenen Authentifizierungskuchen ist, dass Sie eine beliebige E-Mail-Adresse eingeben können, um eine PIN zu erhalten. Diese ist möglicherweise in keiner Weise mit einem vorhandenen Konto im Experian-System verknüpft. Darüber hinaus macht sich Experian beim Senden einer PIN keine Gedanken darüber, ob entsprechende Benachrichtigungen an andere E-Mail-Adressen gesendet werden, die bereits mit diesem Client verknüpft sind.
Schließlich verhindert ein Konto mit grundlegenden Funktionen (lesen: kostenlos), dass Experian-Benutzer die Multi-Faktor-Authentifizierung aktivieren. Obwohl es einen ähnlichen PIN-Diebstahl hätte verhindern können.
Es stellt sich heraus, dass Sie ein Abonnement für den veröffentlichten CreditLock-Dienst mit einer verwirrenden Beschreibung kaufen können. Sie müssen zwischen 14,99 und 24,99 US-Dollar pro Monat zahlen, um "Ihre [Kredit-] Historie einfach und schnell zu sperren und zu entsperren, ohne den Bewerbungsprozess zu verzögern". CreditLock-Benutzer können die Multi-Faktor-Authentifizierung verwenden und werden auch benachrichtigt, wenn jemand versucht, auf ihr Konto zuzugreifen.
Thomas ist empört, dass Experian Sicherheit nur für diejenigen Kunden bietet, die jeden Monat dafür bezahlen:
„Experian hatte die Möglichkeit, Personen mit zusätzlicher Authentifizierung sicher zu schützen, dies jedoch nicht, da sie möglicherweise 25 USD pro Monat für einen solchen Service verlangen. Sie schließen diese Sicherheitslücke nicht absichtlich, um Gewinn zu erzielen. Und das seit mindestens vier Jahren. "
Marketing Lüge?
Wenn sich ein Kunde mit einem eingefrorenen Kreditkonto auf der Experian-Website anmeldet, wird er sofort zu einer Nachricht über einen der kostenpflichtigen Dienste von Experian weitergeleitet, in diesem Fall CreditLock. Die Meldung, die ich beim Anmelden gesehen habe, bestätigt Thomas 'Worte: Trotz der Tatsache, dass ich eingefroren war, war meine aktuelle "Schutzstufe" "niedrig", da meine Bonitätshistorie angeblich zum Anzeigen verfügbar war:
"Wenn Ihre Bonitätshistorie freigeschaltet ist, sind Sie anfälliger für Identitätsdiebstahl und Betrug", schreibt Experian. „Sie werden keine Benachrichtigungen sehen, wenn jemand versucht, auf Ihren Verlauf zuzugreifen. Banken können es anzeigen, wenn Sie einen Kredit oder einen Kredit beantragen. Ihre Bonitätshistorie kann [auch] von Versorgern und anderen Anbietern eingesehen werden. "
Experian macht mir Angst, weil ich mich noch nicht für den kostenpflichtigen Service CreditLock angemeldet habe.
Klingt beängstigend, oder? Die Wahrheit ist jedoch, dass mit Ausnahme des Satzes "Keine Benachrichtigung" keine der oben genannten Aussagen zutrifft, wenn Ihr Kreditkonto bereits eingefroren ist. Das Einfrieren blockiert bereits die Möglichkeit, Ihre Bonitätshistorie anzuzeigen.
Wenn Ihr Kreditkonto gesperrt ist, können Angreifer in Ihrem Namen so viel beantragen, wie sie möchten, können jedoch keine neuen Kreditlinien eröffnen. Es ist unwahrscheinlich, dass Kreditgeber dieses Darlehen genehmigen, ohne beurteilen zu können, wie riskant es ist, es zu vergeben (dh sie müssen sich Ihre Kreditwürdigkeit ansehen). Jetzt können Sie einen Kredit in jedem Bundesstaat der USA kostenlos einfrieren.
Experian verwendet wie andere Kreditbüros bewusst den verwirrenden Begriff „Blockierung“, um Verbraucher einzuschüchtern, für monatliche Abonnementdienste zu zahlen. Das einzige Argument für solche Dienstleistungen ist, dass Kreditgeber Ihre Historie schneller einsehen können, wenn sie einen neuen Kredit beantragen. In der Praxis kann dies zutreffen oder nicht. Überlegen Sie in der Zwischenzeit, warum es für Experian so wichtig ist, die Verbraucher davon zu überzeugen, ihren CreditLock- Service zu abonnieren .
Nichts Persönliches - Nur Geschäftliches
Der wahre Grund ist, dass Experian jedes Mal Geld verdient, wenn jemand in Ihrem Namen nach einer Bonitätshistorie fragt - und nicht in die Quere kommen möchte. Durch das Abonnieren des "Blockierungs" -Dienstes kann Experian weiterhin Kreditinformationen an Dritte verkaufen. Im FAQ-Bereich schreiben Experian-Mitarbeiter, dass viele Unternehmen nach dem Sperren Ihrer Bonitätshistorie weiterhin zur Verfügung stehen, darunter:
- potenzielle Arbeitgeber oder Versicherungsunternehmen;
- Inkassobüros, die im Namen Ihrer Gläubiger handeln;
- Unternehmen, die vorab genehmigte Kreditkartenangebote anbieten;
- Unternehmen, die bereits eine Kreditbeziehung zu Ihnen haben (einschließlich eingefrorener Kredite);
- und es ist auch für Sonderangebote von Experian erhältlich.
Es ist eine Schande, dass Experian sich der Verantwortung entziehen kann, indem es nur denjenigen Personen zusätzlichen Schutz bietet, die dem Unternehmen jeden Monat einen hohen Betrag für den Verkauf ihrer eigenen persönlichen Daten zahlen. Es ist auch überraschend, dass diese Sicherheitslücke, über die ich 2017 geschrieben habe, 2021 noch nicht geschlossen wurde.
Aber Experian ist in dieser Hinsicht nicht einzigartig. Im Jahr 2019, ich schrieb darüber , wie die neue Website des Kreditbüros Equifax, MyEquifax, machte es einfacher für Diebe unter Umgehung eines PIN - Codes ein Darlehen einzufrieren. Die Angreifer mussten nur Ihren Namen, Ihre Sozialversicherungsnummer und Ihr Geburtsdatum kennen.
Ebenfalls im Jahr 2019 konnten Identitätsdiebe eine Kopie meiner Bonitätshistorie von TransUnion erhalten. Sie haben meine Antworten auf die Fragen erraten - ähnlich wie die von Experian. Ich fand es erst heraus, nachdem mir ein Detektiv aus Washington nachträglich davon erzählt hatte. Eine Kopie wurde auf einer Wechseldiskette eines Anwohners gefunden, der wegen des Verdachts des Identitätsdiebstahls als Teil einer Cyberkriminellenbande festgenommen wurde.
TransUnion-Spezialisten führten eine Untersuchung durch und stellten fest, dass meine Daten durch die Schuld des Büros wirklich an die Cyberkriminellen gelangten. Aber im Jahr 2020 haben sie sich rehabilitiert, als sie einen weiteren betrügerischen Versuch blockierten, meine Kreditwürdigkeit zu ermitteln:
„Durch unsere Untersuchung haben wir festgestellt, dass ein ähnlicher Versuch, Ihre Geschichte abzurufen, im April 2020 stattgefunden hat und erfolgreich durch erweiterte Kontrollen blockiert wurde, die TransUnion seit letztem Jahr implementiert hat. TransUnion setzt ein mehrschichtiges Sicherheitsprogramm ein, um der ständig wachsenden Bedrohung durch Betrug, Cyberangriffe und böswillige Aktivitäten entgegenzuwirken. In der heutigen dynamischen Umgebung erweitert und verbessert TransUnion kontinuierlich unsere Kontrollen, um den neuesten Sicherheitsbedrohungen zu begegnen und Kunden dennoch den Zugriff auf ihre Daten zu ermöglichen. “
Nachwort: Nichtrussische Hacker
Gestern, am 28. April, haben Mitarbeiter des Portals KrebsOnSecurity erfahren, dass das Kreditbüro Experian die Sicherheitslücke einer gefährlichen Partnerseite beseitigt hat. Es erlaubte jedem, der die persönliche Bonität von zig Millionen Amerikanern wissen wollte, einfach seinen Namen und seine E-Mail-Adresse einzugeben. Experian sagt, es habe den Datenverstoß behoben, aber Bill Demirkapi, der unabhängige Cybersicherheitsexperte, der die Entdeckung gemeldet hat, befürchtet, dass die gleiche Sicherheitslücke auf unzähligen anderen Partnerseiten vorhanden sein könnte, die mit dem Kreditbüro zusammenarbeiten.
Aber was können wir über Partner sagen, wenn etwas ... Interessantes auch mit der API des Informationssystems von Experian selbst passiert?
Demirkapi entdeckte, dass auf die Experian-API ohne Authentifizierung direkt zugegriffen werden kann. Wenn Sie alle Nullen in das Feld "Geburtsdatum" eingeben, wird die Bonität der Person zurückgegeben. Er hat sogar ein Konsolendienstprogramm namens Bills Cool Credit Score Lookup Utility erstellt.
Unsere virtuellen Maschinen können für die Entwicklung und das Hosting von Websites verwendet werden.
Registrieren Sie sich über den obigen Link oder indem Sie auf das Banner klicken und erhalten Sie 10% Rabatt für den ersten Monat der Anmietung eines Servers einer beliebigen Konfiguration!
