Experian, Sie müssen etwas erklären – Crips zur Sicherheit

KrebsOnSecurity hat im vergangenen Monat zweimal von Lesern gehört, die ihre Konten bei einer großen dreifachen Kreditauskunftei haben Experian Gehackt und mit einer neuen E-Mail-Adresse aktualisiert, die nicht ihre war. In beiden Fällen verwendeten die Leser Passwortmanager, um starke und eindeutige Passwörter für ihre Demokonten auszuwählen. Untersuchungen zeigen, dass Identitätsdiebe in der Lage waren, Konten zu hijacken, indem sie sich einfach für neue Konten bei Experian anmeldeten und dabei die persönlichen Daten des Opfers und eine andere E-Mail-Adresse verwendeten.

John Turner Er ist ein Softwareentwickler aus Salt Lake City. Turner sagte, er habe das Konto bei Experian im Jahr 2020 erstellt, um sein Kreditprofil aus Sicherheitsgründen einzufrieren, und er habe einen Passwortmanager verwendet, um ein starkes, eindeutiges Passwort für sein Experian-Konto zu identifizieren und zu speichern.

Turner sagte, dass er Anfang Juni 2022 eine E-Mail von Experian erhalten habe, in der es hieß, dass sich die E-Mail-Adresse seines Kontos geändert habe. Das Zurücksetzen des Passworts durch Experian war zu diesem Zeitpunkt nutzlos, da alle Links zum Zurücksetzen des Passworts an die neue (Betrüger-) E-Mail-Adresse gesendet würden.

Nach langem Warten wurde eine Support-Mitarbeiterin von Experian Turner telefonisch erreicht, in der sie nach seiner Sozialversicherungsnummer (SSN) und seinem Geburtsdatum sowie nach seiner Konto-PIN und Antworten auf seine vertraulichen Fragen gefragt wurde. Aber die PIN und die geheimen Fragen wurden bereits von jedem geändert, der sich bei Experian neu registriert hat.

„Ich konnte die Fragen zur Kreditauskunft erfolgreich beantworten, die mich in ihrem System zugelassen haben“, sagte Turner. „Damals hat mir der Vertreter die aktuell hinterlegten Sicherheitsfragen und die PIN vorgelesen, und das waren definitiv keine Dinge, die ich verwendet hätte.“

Turner sagte, er habe die Kontrolle über sein Experian-Konto wiedererlangen können, indem er ein neues Konto erstellt habe. Aber jetzt fragt er sich, was er tun kann, um zu verhindern, dass ein weiteres Konto gehackt wird. Das liegt daran, Experian Bieten Sie keine Multi-Faktor-Authentifizierungsoptionen für Verbraucherkonten an.

„Das Frustrierendste an dieser ganzen Sache ist, dass ich später mehrere ‚Das sind Ihre Anmeldedaten‘-E-Mails erhielt, die sie den ursprünglichen Angreifern zuschrieben, die zurückgingen und versuchten, den ‚E-Mail-/Benutzernamen vergessen‘-Fluss zu verwenden, höchstwahrscheinlich mit SSN und DOB , aber es ging nicht an ihre E-Mail, die sie erwartet hatten“, sagte Turner. „Da Experian keinerlei Zwei-Faktor-Authentifizierung unterstützt – und ich nicht weiß, wie sie überhaupt in mein Konto gelangt sind – fühle ich mich seitdem ziemlich hilflos.“

Um es klar zu sagen, Experian tun Es hat eine Geschäftseinheit Verkauft Einmalpasswortdienste an Unternehmen. Dies wird Verbrauchern, die sich zur Verwaltung ihres Kreditprofils auf der Experian-Website angemeldet haben, jedoch nicht direkt zur Verfügung gestellt.

Arthur Richie Musiker und Co-Executive Director des Boston Landmarks Orchestra. Richie sagte, er habe kürzlich herausgefunden, dass sein Experian-Konto entführt worden sei, nachdem er von seinem (nicht Experians) Kreditüberwachungsdienst eine Warnung erhalten habe, dass jemand versucht habe, ein Konto in seinem Namen bei JPMorgan Chase zu eröffnen.

Rishi sagte, die Warnung habe ihn überrascht, weil sein Experian-Kreditprofil zu diesem Zeitpunkt eingefroren war und Experian ihn nicht über Aktivitäten auf seinem Konto informierte. Rishi sagte, Chase habe zugestimmt, die nicht autorisierte Kontoanfrage zu stornieren und sogar ihre Kreditanfrage storniert (jeder Kreditabzug kann Ihrer Kreditwürdigkeit ein wenig schaden).

Aber er konnte nie jemanden vom Experian-Support dazu bringen, ans Telefon zu gehen, obwohl er scheinbar eine Ewigkeit damit verbracht hatte, durch das telefonbasierte System des Unternehmens zu gelangen. Da beschloss Rishi zu prüfen, ob er in Experian ein neues Konto für sich selbst erstellen könnte.

„Ich konnte von Grund auf ein neues Experian-Konto eröffnen, indem ich meine Sozialversicherungsnummer und mein Geburtsdatum verwendete und einige wirklich grundlegende Fragen beantwortete, z. B. für welches Auto ich einen Kredit erhielt oder in welcher Stadt ich früher gelebt habe.“ sagte er, gefiedert.

Als er die Aufnahme beendet hatte, bemerkte Rishi, dass sein Gleichgewicht eingefroren war.

Wie Turner ist Richie nun besorgt, dass Identitätsdiebe erneut sein Experian-Konto kapern könnten und dass er nichts tun kann, um ein solches Szenario zu verhindern. Derzeit hat Rishi beschlossen, Experian 25,99 $ pro Monat zu zahlen, um sein Konto genau auf verdächtige Aktivitäten zu überwachen. Selbst mit dem kostenpflichtigen Dienst von Experian gab es keine zusätzlichen Multi-Faktor-Authentifizierungsoptionen, obwohl er sagte, Experian habe kürzlich einen einmaligen Code per SMS an sein Telefon gesendet, als er sich anmeldete.

„Experian erfordert jetzt manchmal MFA für mich, wenn ich einen neuen Browser verwende oder mein VPN verwende“, sagte Rishi, aber er war sich nicht sicher, ob der kostenlose Dienst von Experian anders funktionieren würde.

„Ich werde so wütend, wenn ich an all das denke“, sagte er. „Ich habe kein Vertrauen, dass dies nicht noch einmal passieren wird.“

In einer schriftlichen Erklärung wies Experian darauf hin, dass das, was Rishi und Turner widerfahren sei, kein gewöhnliches Ereignis sei und dass ihre Identitäts- und Sicherheitsüberprüfungspraktiken über das hinausgehen, was für den Benutzer sichtbar sei.

„Wir glauben, dass dies einzelne Betrugsfälle sind, bei denen gestohlene Verbraucherinformationen verwendet werden“, sagte Experian in einer Erklärung. „Speziell zu Ihrer Frage: Sobald ein Experian-Konto erstellt wurde und jemand versucht, ein zweites Experian-Konto zu erstellen, melden unsere Systeme die ursprüngliche E-Mail in der Datei.“

„Wir verlassen uns nicht nur auf personenbezogene Daten (PII) oder die Fähigkeit eines Verbrauchers, wissensbasierte Authentifizierungsfragen zu beantworten, um Zugang zu unseren Systemen zu erhalten“, heißt es in der Erklärung weiter. „Aus offensichtlichen Sicherheitsgründen legen wir keine zusätzlichen Prozesse offen; unsere Daten- und Analysefunktionen überprüfen jedoch Identitätselemente über mehrere Datenquellen hinweg und sind für den Verbraucher nicht sichtbar. Dies soll unseren Kunden ein positiveres Erlebnis bieten und zusätzliche bieten Wir nehmen die Privatsphäre und Sicherheit der Verbraucher sehr ernst und überprüfen ständig unsere Sicherheitsprozesse, um sie vor den anhaltenden und sich entwickelnden Bedrohungen durch Betrüger zu schützen.“

Analytik

KrebsOnSecurity versuchte, die Erfahrung von Turner und Rishi zu replizieren – um zu sehen, ob Experian mir erlauben würde, mein Konto mit meinen persönlichen Daten, aber mit einer anderen E-Mail-Adresse neu zu erstellen. Das Experiment wurde von einem anderen Computer und einer anderen Internetadresse aus durchgeführt als der, der das ursprüngliche Konto vor Jahren erstellte.

Nachdem ich meine Sozialversicherungsnummer und mein Geburtsdatum angegeben und mehrere Multiple-Choice-Fragen beantwortet hatte, deren Antworten fast ausschließlich aus öffentlichen Aufzeichnungen stammen, änderte Experian sofort die mit meinem Kreditprofil verknüpfte E-Mail-Adresse. Ich habe dies getan, ohne vorher zu bestätigen, dass die neue E-Mail-Adresse auf Nachrichten antworten kann oder dass die vorherige E-Mail-Adresse der Änderung zugestimmt hat.

Das Experian-System sendete dann eine automatische Nachricht an die ursprünglich registrierte E-Mail-Adresse, in der es hieß, dass die E-Mail-Adresse des Kontos geändert wurde. Die einzige Möglichkeit, die Experian in der Warnung anbot, bestand darin, sich anzumelden oder eine E-Mail an eine Experian-Mailbox zu senden und mit „Diese E-Mail-Adresse wird nicht mehr überwacht“ zu antworten.

Dann bat mich Experian, neue geheime Fragen und Antworten sowie eine neue Konto-PIN auszuwählen – effektive PIN-Lösch- und Wiederherstellungsfragen für das Konto. Nachdem ich meine PIN und Sicherheitsfragen geändert hatte, erinnerte mich Experian hilfreich daran, dass ich eine Sicherheitssperre für die Datei habe und ich die Sicherheitssperre entfernen oder vorübergehend aufheben möchte?

Wie sich Experian von den Praxen unterscheidet Equifax Und die TransUnionDie anderen beiden großen Verbraucherkreditauskunfteien? Als KrebsOnSecurity versuchte, ein vorhandenes TransUnion-Konto mit meiner Sozialversicherungsnummer neu zu erstellen, lehnte TransUnion den Antrag mit der Begründung ab, dass ich bereits ein Konto habe, und forderte mich auf, mit dem Ablauf des verlorenen Passworts fortzufahren. Es scheint auch, dass das Unternehmen eine E-Mail an die registrierte Adresse sendet, um die Bestätigung der Kontoänderungen anzufordern.

Ebenso veranlasst der Versuch, ein vorhandenes Equifax-Konto mit persönlichen Informationen neu zu erstellen, die mit meinem vorhandenen Konto verknüpft sind, Equifax-Systeme dazu, zu melden, dass ich bereits ein Konto habe, und ihren Passwort-Zurücksetzungsprozess zu verwenden (was das Senden einer Bestätigungs-E-Mail an die hinterlegte Adresse beinhaltet).

KrebsOnSecurity hat die US-Leser immer aufgefordert, es irgendwo zu platzieren Sicherheitseinfrieren ihrer Akten bei den drei großen Kreditauskunfteien. Mit einer Sperrung können potenzielle Gläubiger Ihre Kreditakte nicht zurückziehen, wodurch es weniger wahrscheinlich wird, dass jemandem neue Kreditlinien in Ihrem Namen gewährt werden. Ich habe auch den Lesern geraten Sie hissten ihre Flagge in den drei Hauptbürosum zu verhindern, dass Identitätsdiebe ein Konto für Sie erstellen und die Kontrolle über Ihre Identität erlangen.

Die Erfahrungen von Richie, Turner und diesem Autor zeigen, dass die Praktiken von Experian derzeit jede dieser proaktiven Sicherheitsmaßnahmen untergraben. sogar so, Ein aktives Experian-Konto ist möglicherweise die einzige Möglichkeit, um herauszufinden, ob Betrüger Ihre Identität angenommen haben. Denn spätestens danach sollten Sie eine E-Mail von Experian erhalten, in der steht, dass sie Ihre Identität an jemand anderen weitergegeben haben.

Im April 2021 enthüllte KrebsOnSecurity, wie Identitätsdiebe waren Ausnutzen einer laxen Authentifizierung auf der PIN-Abrufseite von Experian Zum Entsperren von Verbraucherkreditdateien. In diesen Fällen hat Experian keine E-Mail-Benachrichtigung gesendet, als die Sperr-PIN abgerufen wurde, und verlangte nicht, dass die PIN an eine E-Mail-Adresse gesendet wird, die bereits mit dem Verbraucherkonto verknüpft ist.

Ein paar Tage nach dieser Geschichte vom April 2021 veröffentlichte Krebs on Security die Nachricht, dass Experian API enthüllte die Kreditwürdigkeit der meisten Amerikaner.

Emory RoanPolitikberater von Clearingstelle für DatenschutzrechteEr sagte, dass das Versäumnis von Experian, die Multifaktor-Authentifizierung für Verbraucherkonten im Jahr 2022 einzuführen, ungerechtfertigt sei.

„Sie verschärfen das Problem, indem sie den Wiederherstellungsprozess über Informationen informieren, die möglicherweise von Datenbrokern von Drittanbietern abgeleitet wurden oder nicht, oder die bei früheren Datenschutzverletzungen offengelegt worden sein könnten“, sagte Rowan. „Experian ist eine der größten Verbraucherberichtsagenturen des Landes und gilt als einer der wenigen großen Akteure im Kreditsystem, dem die Amerikaner beitreten müssen. Für sie ist es ein Rätsel, keine Form von MFA (kostenlos) anzubieten und wirft ein sehr schlechtes Licht auf Experian.“

Nikolaus Weberschaut nach Internationales Institut für Informatik in Universität von Kalifornien, BerkeleyEr sagte, Experian habe keinen wirklichen Anreiz, die Dinge auf der Verbraucherseite seines Geschäfts richtig zu machen. Das bedeutet, sagte er, es sei denn, Experian-Kunden – Banken und andere Kreditgeber – entscheiden sich dafür, mit den Füßen abzustimmen, weil so viele Menschen mit eingefrorenen Kreditakten mit nicht autorisierten Anträgen auf neue Kredite umgehen müssen.

„Echte Kunden des Kreditdienstes wissen nicht, wie schlecht der Zustand von Experian ist, und dies ist nicht das erste Mal, dass Experian fürchterlich gescheitert ist“, sagte Weaver. „Experian ist Teil eines Trio-Unternehmens, und ich bin sicher, dass dies ihre eigentlichen Kunden Geld kostet, denn wenn Sie eine Kreditsperre haben, die aufgehoben wird und jemand sie ausleiht, ist es der Kreditgeber, der diese Betrugskosten auffrisst.“

Im Gegensatz zu den Verbrauchern hätten die Kreditgeber die Wahl, welches der drei Unternehmen ihre Kreditprüfungen durchführe.

„Ich denke, es ist wichtig zu beachten, dass echte Kunden die Wahl haben und zu TransUnion und Equifax wechseln sollten“, fügte er hinzu.

Weitere großartige Songs von Experian:

2017: Experian kann jedem Ihre PIN geben, um Ihr Guthaben einzufrieren
2015: Testverletzung betrifft 15 Millionen Kunden
2015: Prozessverletzung im Zusammenhang mit Ausweisdiebstahl in NY-NJ
2015: In Experian sinkt die Sicherheit inmitten von Akquisitionen
2015: Experian schlug mit Massenaktionsdienst auf Identitätsdiebstahl zu
2014: Experian Lapse ermöglicht Identitätsdiebstahl den Zugriff auf 200 Millionen Verbraucherdatensätze
2013: Experimentelle Verbraucherdaten an Identitätsdiebstahldienst verkauft

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert