Experian-fout Alleen onthulde pincodes die kredietgegevens beschermen
Experian ONLINE Hard Inquiry Removal | Free Walkthrough
Inhoudsopgave:
Creditfailes zijn de beste manier om nieuwe accountfraude te voorkomen, waarbij criminelen valse accounts openen op uw naam. Maar de site van een kredietbureau maakte het verontrustend eenvoudig om de beveiliging te omzeilen die verondersteld wordt je kredietrapporten veilig te houden.
De site van Experian onthulde de persoonlijke identificatienummers - de pincodes die nodig waren om krediet te bevriezen - nadat gebruikers hun beveiligingsvragen met een algemeen antwoord beantwoordden: geen van bovenstaande.
Meer dan een jaar geleden meldde beveiligingsdeskundige Brian Krebs een soortgelijke fout. Op dat moment moesten mensen de vier "op kennis gebaseerde authenticatie" -vragen die werden gebruikt om ze te identificeren, correct beantwoorden. Het probleem met deze methode is volgens Krebs dat de persoonlijke informatie die nodig is om de antwoorden met succes te raden, direct online beschikbaar is via zowel commerciële als criminele sites.
Maar enkele uren donderdag - en voor wie weet hoe lang daarvoor - hoefde je niet eens te raden.
Een lezer waarschuwde ons voor dit probleem en verschillende van ons die credit-bevriezen hadden, konden het repliceren. We vroegen onze volgers op Facebook en Twitter en hoorden van anderen die ook toegang kregen tot hun pincodes.
Fout in het normale proces
Om de cijfers te krijgen, vulden mensen het formulier in op de PIN-opvraagpagina van Experian met de naam, het adres, het burgerservicenummer en de geboortedatum - precies het soort informatie dat tijdens de Equifax-inbreuk van vorig jaar was aangetast, en dat is direct beschikbaar voor verkoop op het donkere web. Het formulier vereiste een e-mailadres, dat niet noodzakelijk het e-mailadres moest zijn dat was gekoppeld aan het Experian-account van de persoon. Beantwoording van "geen van de bovenstaande" aan de beveiligingsvragen - zelfs als sommige van de aangeboden antwoorden correct waren - gaf toegang tot de pincode van die persoon.
Met de pincode kan iedereen de tegoedbevriezing van die persoon ontdooien en krediet aanvragen in hun naam.
Voorstander van de consument Mike Litt was ook in staat om zijn pincode te achterhalen met behulp van de fout. "Er is absoluut geen excuus voor", zegt Litt, campagneleider voor de Amerikaanse PIRG, een belangenbehartigingsorganisatie voor het publiek. 'Hoe laat je gewoon de sleutels van de deur achter op de welkomstmat?'
Een woordvoerder van Experian gaf donderdagmiddag een verklaring af met de volgende tekst: "Hoewel we zeker weten dat onze authenticatie veilig is en er geen kredietbestanden worden bedreigd, hebben we aanvullende stappen genomen om het proces veiliger te maken. We blijven onze systemen regelmatig controleren en nemen onmiddellijk actie wanneer dit nodig is om de gegevensbeveiliging te verbeteren."
Foutmeldingen verschijnen
Tegen het einde van de donderdag begonnen velen van ons de foutmeldingen te krijgen die onze antwoorden in de eerste plaats hadden moeten genereren. We kregen de opdracht om onze identificerende informatie, zoals kopieën van ons rijbewijs, energierekeningen en socialezekerheidskaart, naar Experian te mailen.
De Amerikaanse e-mail, voor het geval dit moet worden gezegd, is geen veilige manier om dergelijke informatie te verzenden. Maar aangezien deze gegevens waarschijnlijk al in criminele handen zijn, laten we dat voor nu.
Dit is een zoveelste herinnering dat we onze kredietrapporten en scores voor frauduleuze accounts moeten blijven volgen, zelfs als we het bevriezen van credits op zijn plaats houden - zoals we nog steeds zouden moeten doen.
Wat echt schrijnend is, is dat beveiligingsbeveiligingen een van de weinige effectieve bolwerken zijn die mensen tegen fraude aankunnen. Dat is de reden waarom veiligheidsexperts hen al jaren aanbevelen, en waarom het Congres uiteindelijk bevriest en ontdooit vanaf 21 september.
Het gemak waarmee deze essentiële bescherming zou kunnen worden gedwarsboomd, vertelt ons dat de kredietbureaus de beveiliging van onze informatie nog steeds niet serieus genoeg nemen.
Staff schrijver Bev O'Shea heeft bijgedragen aan dit rapport.
