لقد سمع موقع KrebsOnSecurity مرتين في الشهر الماضي من القراء الذين لديهم حساباتهم في مكتب ائتمان ثلاثي الكبار اكسبيريان تم اختراقه وتحديثه بعنوان بريد إلكتروني جديد لم يكن ملكهم. في كلتا الحالتين ، استخدم القراء مديري كلمات المرور لاختيار كلمات مرور قوية وفريدة من نوعها لحساباتهم التجريبية. تشير الأبحاث إلى أن لصوص الهوية تمكنوا من اختطاف الحسابات ببساطة عن طريق الاشتراك في حسابات جديدة في Experian باستخدام المعلومات الشخصية للضحية وعنوان بريد إلكتروني مختلف.
جون تيرنر هو مهندس برمجيات مقيم في مدينة سولت ليك. قال تيرنر إنه أنشأ الحساب في Experian في عام 2020 لوضع تجميد أمان على ملفه الائتماني ، وأنه استخدم مدير كلمات المرور لتحديد وتخزين كلمة مرور قوية وفريدة لحساب Experian الخاص به.
قال تيرنر إنه تلقى في أوائل يونيو 2022 رسالة بريد إلكتروني من Experian تفيد بتغيير عنوان البريد الإلكتروني على حسابه. كانت عملية إعادة تعيين كلمة المرور الخاصة بـ Experian عديمة الفائدة في تلك المرحلة لأنه سيتم إرسال أي روابط لإعادة تعيين كلمة المرور إلى عنوان البريد الإلكتروني الجديد (المحتال).
تم الوصول إلى شخص دعم Experian Turner عبر الهاتف بعد فترة انتظار طويلة سألها عن رقم الضمان الاجتماعي (SSN) وتاريخ الميلاد ، بالإضافة إلى رقم التعريف الشخصي لحسابه والإجابات على أسئلته السرية. ولكن تم بالفعل تغيير رقم التعريف الشخصي والأسئلة السرية من قبل أي شخص أعاد التسجيل باسمه في Experian.
قال تيرنر: “لقد تمكنت من الإجابة على أسئلة تقرير الائتمان بنجاح ، والتي صادقتني على نظامهم”. “في تلك المرحلة ، قرأ الممثل لي أسئلة الأمان المخزنة الحالية ورقم التعريف الشخصي ، ولم تكن بالتأكيد أشياء كنت سأستخدمها.”
قال تيرنر إنه كان قادرًا على استعادة السيطرة على حسابه Experian من خلال إنشاء حساب جديد. لكنه الآن يتساءل عما يمكنه فعله لمنع اختراق حساب آخر. هذا لأن Experian لا تقدم أي نوع من خيارات المصادقة متعددة العوامل على حسابات المستهلكين.
“الجزء الأكثر إحباطًا في هذا الأمر برمته هو أنني تلقيت العديد من رسائل البريد الإلكتروني” هذه معلومات تسجيل الدخول الخاصة بك “لاحقًا والتي نسبتها إلى المهاجمين الأصليين الذين عادوا ومحاولة استخدام تدفق” نسيت البريد الإلكتروني / اسم المستخدم “، باستخدام SSN و DOB على الأرجح ، لكنه لم ينتقل إلى بريدهم الإلكتروني الذي كانوا يتوقعونه ، “قال تورنر. “نظرًا لأن Experian لا يدعم المصادقة الثنائية من أي نوع – ولأنني لا أعرف كيف تمكنوا من الوصول إلى حسابي في المقام الأول – فقد شعرت بالعجز الشديد منذ ذلك الحين.”
لنكون واضحين ، إكسبيريان يفعل لديها وحدة أعمال تبيع خدمات كلمات المرور لمرة واحدة للشركات. لكنها لا تقدم هذا مباشرة للمستهلكين الذين قاموا بالتسجيل لإدارة ملف الائتمان الخاص بهم على موقع Experian الإلكتروني.
آرثر ريشي موسيقي ومدير تنفيذي مشارك لأوركسترا بوسطن لاندماركس. قال ريشي إنه اكتشف مؤخرًا أن حسابه Experian قد تم اختطافه بعد تلقي تنبيه من خدمة مراقبة الائتمان (وليس Experian’s) بأن شخصًا ما حاول فتح حساب باسمه في JPMorgan Chase.
قال ريشي إن التنبيه فاجأه لأن ملفه الائتماني في Experian تم تجميده في ذلك الوقت ، ولم يخطره Experian بأي نشاط على حسابه. قال ريشي إن تشيس وافقت على إلغاء طلب الحساب غير المصرح به ، بل إنها ألغت استفسارها الائتماني (كل سحب ائتماني يمكن أن يضر بدرجة ائتمانك قليلاً).
لكنه لم يستطع أبدًا الحصول على أي شخص من دعم Experian للرد على الهاتف ، على الرغم من إنفاق ما بدا وكأنه الأبدية في محاولة للتقدم من خلال نظام الشركة القائم على الهاتف. وذلك عندما قرر ريشي معرفة ما إذا كان يمكنه إنشاء حساب جديد لنفسه في Experian.
“تمكنت من فتح حساب جديد في Experian بدءًا من نقطة الصفر ، باستخدام رقم التأمين الاجتماعي (SSN) الخاص بي ، وتاريخ الميلاد ، والإجابة على بعض الأسئلة الأساسية حقًا ، مثل نوع السيارة التي حصلت على قرض من أجلها ، أو المدينة التي اعتدت العيش فيها قال ريشي.
عند الانتهاء من التسجيل ، لاحظ ريشي أنه تم تجميد رصيده.
مثل تيرنر ، يشعر ريشي بالقلق الآن من أن لصوص الهوية سوف يختطفون حسابه Experian مرة أخرى ، وأنه لا يوجد شيء يمكنه فعله لمنع مثل هذا السيناريو. في الوقت الحالي ، قرر ريشي دفع 25.99 دولارًا شهريًا لـ Experian لمراقبة حسابه عن كثب بحثًا عن أي نشاط مشبوه. حتى باستخدام خدمة Experian المدفوعة ، لم تكن هناك خيارات مصادقة إضافية متعددة العوامل ، على الرغم من أنه قال إن Experian أرسل رمزًا لمرة واحدة إلى هاتفه عبر الرسائل القصيرة مؤخرًا عندما قام بتسجيل الدخول.
قال ريشي: “تتطلب Experian الآن أحيانًا MFA بالنسبة لي الآن إذا كنت أستخدم متصفحًا جديدًا أو قمت بتشغيل VPN الخاص بي” ، لكنه غير متأكد مما إذا كانت خدمة Experian المجانية ستعمل بشكل مختلف.
قال: “أشعر بالغضب الشديد عندما أفكر في كل هذا”. “ليس لدي ثقة في أن هذا لن يحدث مرة أخرى.”
في بيان مكتوب ، اقترح Experian أن ما حدث لـ Rishi و Turner لم يكن حدثًا عاديًا ، وأن ممارسات التحقق من الهوية والأمان تتجاوز ما هو مرئي للمستخدم.
وجاء في بيان Experian: “نعتقد أن هذه حوادث احتيال فردية باستخدام معلومات المستهلك المسروقة”. “خاص بسؤالك ، بمجرد إنشاء حساب Experian ، إذا حاول شخص ما إنشاء حساب Experian ثانٍ ، فإن أنظمتنا ستبلغ البريد الإلكتروني الأصلي في الملف.”
يتابع البيان: “نتجاوز الاعتماد على معلومات التعريف الشخصية (PII) أو قدرة المستهلك على الإجابة على أسئلة المصادقة القائمة على المعرفة للوصول إلى أنظمتنا”. “نحن لا نكشف عن عمليات إضافية لأسباب أمنية واضحة ؛ ومع ذلك ، تتحقق بياناتنا وقدراتنا التحليلية من عناصر الهوية عبر مصادر بيانات متعددة ولا تكون مرئية للمستهلك. تم تصميم هذا لخلق تجربة أكثر إيجابية لعملائنا ولتوفير طبقات إضافية من الحماية. نحن نأخذ خصوصية المستهلك وأمنه على محمل الجد ، ونراجع باستمرار عمليات الأمان لدينا للحماية من التهديدات المستمرة والمتطورة التي يشكلها المحتالون “.
التحليلات
سعى KrebsOnSecurity إلى تكرار تجربة Turner و Rishi – لمعرفة ما إذا كان Experian سيسمح لي بإعادة إنشاء حسابي باستخدام معلوماتي الشخصية ولكن باستخدام عنوان بريد إلكتروني مختلف. تم إجراء التجربة من كمبيوتر وعنوان إنترنت مختلفين عن ذلك الذي أنشأ الحساب الأصلي منذ سنوات.
بعد تقديم رقم الضمان الاجتماعي (SSN) الخاص بي ، وتاريخ الميلاد ، والإجابة على العديد من أسئلة الاختيار من متعدد والتي تكون إجاباتها مستمدة بالكامل تقريبًا من السجلات العامة ، قام Experian على الفور بتغيير عنوان البريد الإلكتروني المرتبط بملف الائتمان الخاص بي. لقد فعلت ذلك دون التأكيد أولاً على أن عنوان البريد الإلكتروني الجديد يمكن أن يستجيب للرسائل ، أو أن عنوان البريد الإلكتروني السابق وافق على التغيير.
أرسل نظام Experian بعد ذلك رسالة آلية إلى عنوان البريد الإلكتروني الأصلي المسجل ، تفيد بأن عنوان البريد الإلكتروني للحساب قد تم تغييره. كان الملاذ الوحيد الذي عرضته Experian في التنبيه هو تسجيل الدخول أو إرسال بريد إلكتروني إلى صندوق بريد Experian يرد برسالة “لم يعد عنوان البريد الإلكتروني هذا خاضعًا للمراقبة”.
بعد ذلك ، طلب مني Experian تحديد أسئلة وإجابات سرية جديدة ، بالإضافة إلى رقم تعريف شخصي جديد للحساب – محوًا فعالًا لرمز التعريف الشخصي (PIN) وأسئلة الاسترداد الخاصة بالحساب. بمجرد أن أغير رقم التعريف الشخصي وأسئلة الأمان ، ذكرني موقع Experian بشكل مفيد بأن لدي تجميدًا أمنيًا في الملف ، وهل أرغب في إزالة تجميد الأمان أو رفعه مؤقتًا؟
كيف تختلف Experian عن ممارسات Equifax و ترانسونيون، المكتبان الكبيران الآخران لتقارير الائتمان الاستهلاكي؟ عندما حاولت KrebsOnSecurity إعادة إنشاء حساب موجود في TransUnion باستخدام رقم الضمان الاجتماعي الخاص بي ، رفضت TransUnion التطبيق ، مشيرة إلى أن لدي بالفعل حسابًا وطالبت بالمتابعة من خلال تدفق كلمة المرور المفقودة. يبدو أيضًا أن الشركة ترسل بريدًا إلكترونيًا إلى العنوان المسجل للمطالبة بالتحقق من صحة تغييرات الحساب.
وبالمثل ، فإن محاولة إعادة إنشاء حساب موجود في Equifax باستخدام المعلومات الشخصية المرتبطة بحسابي الحالي تطالب أنظمة Equifax بالإبلاغ عن أن لدي حساب بالفعل ، واستخدام عملية إعادة تعيين كلمة المرور الخاصة بهم (والتي تتضمن إرسال بريد إلكتروني للتحقق إلى العنوان الموجود في الملف) .
لطالما حثت KrebsOnSecurity القراء في الولايات المتحدة على وضعها في مكان ما تجميد أمني لملفاتهم مع مكاتب الائتمان الرئيسية الثلاثة. مع تطبيق التجميد ، لا يمكن للدائنين المحتملين سحب ملفك الائتماني ، مما يجعل من غير المرجح أن يتم منح أي شخص خطوط ائتمان جديدة باسمك. لقد نصحت القراء أيضًا غرسوا علمهم في المكاتب الثلاثة الرئيسية، لمنع لصوص الهوية من إنشاء حساب لك والسيطرة على هويتك.
تشير تجارب ريشي وتورنر وهذا المؤلف إلى أن ممارسات Experian تقوض حاليًا كل من تلك التدابير الأمنية الاستباقية. وحتى مع ذلك، قد يكون امتلاك حساب نشط في Experian هو الطريقة الوحيدة لمعرفة ما إذا كان المحتالون قد افترضوا هويتك. لأنه على الأقل بعد ذلك يجب أن تتلقى رسالة بريد إلكتروني من Experian تفيد بأنهم أعطوا هويتك لشخص آخر.
في أبريل 2021 ، كشفت شركة KrebsOnSecurity كيف كان لصوص الهوية استغلال التراخي في المصادقة على صفحة استرجاع رقم التعريف الشخصي الخاصة بـ Experian لإلغاء تجميد ملفات الائتمان الاستهلاكية. في هذه الحالات ، فشل Experian في إرسال أي إشعار عبر البريد الإلكتروني عند استرداد رقم التعريف الشخصي للتجميد ، ولم يتطلب إرسال رقم التعريف الشخصي إلى عنوان بريد إلكتروني مرتبط بالفعل بحساب المستهلك.
بعد أيام قليلة من قصة أبريل 2021 تلك ، نشرت كريبس أون سكيورتي الأخبار التي كان Experian API يكشف عشرات الائتمان لمعظم الأمريكيين.
إيموري روان، مستشار السياسة ل غرفة تبادل معلومات حقوق الخصوصية، قال Experian إن عدم تقديم مصادقة متعددة العوامل لحسابات المستهلكين أمر غير مبرر في عام 2022.
قال روان: “إنهم يضاعفون المشكلة من خلال إحاطة عملية الاسترداد بالمعلومات التي من المحتمل أن تكون متاحة أو لا يمكن الاستدلال عليها من وسطاء بيانات الطرف الثالث ، أو التي كان من الممكن كشفها في خروقات البيانات السابقة”. “Experian هي واحدة من أكبر وكالات الإبلاغ عن المستهلكين في البلاد ، وهي موثوقة باعتبارها واحدة من اللاعبين الأساسيين القلائل في نظام الائتمان الذي يجبر الأمريكيون على الانضمام إليه. بالنسبة لهم ، فإن عدم تقديم شكل من أشكال أسلوب العائالت المتعددة (MFA) (المجاني) أمر محير وينعكس بشكل سيء للغاية على Experian “.
نيكولاس ويفر، وهو باحث عن المعهد الدولي لعلوم الكمبيوتر في جامعة كاليفورنيا، بيركلي، قال إن Experian ليس لديه حافز حقيقي لفعل الأشياء بشكل صحيح من جانب المستهلك من أعمالها. وهذا يعني ، كما قال ، ما لم يختار عملاء Experian – البنوك والمقرضون الآخرون – التصويت بأقدامهم لأن الكثير من الأشخاص الذين لديهم ملفات ائتمان مجمدة يضطرون للتعامل مع الطلبات غير المصرح بها للحصول على ائتمان جديد.
قال ويفر: “لا يدرك العملاء الفعليون لخدمة الائتمان مدى سوء حالة Experian ، وهذه ليست المرة الأولى التي يفشل فيها Experian بشكل فظيع”. “Experian جزء من شركة ثلاثية ، وأنا متأكد من أن هذا يكلف عملائهم الفعليين أموالًا ، لأنه إذا كان لديك تجميد ائتماني يتم رفعه وقرض شخص ما مقابله ، فإن المقرض هو الذي يأكل تكلفة الاحتيال هذه.”
وقال إنه على عكس المستهلكين ، فإن المقرضين لديهم حق الاختيار في أي من الشركات الثلاثية تتعامل مع شيكات الائتمان الخاصة بهم.
وأضاف: “أعتقد أنه من المهم الإشارة إلى أن العملاء الحقيقيين لديهم خيار ، وعليهم التحول إلى TransUnion و Equifax”.
المزيد من أعظم الأغاني من Experian:
2017: يمكن لموقع Experian إعطاء أي شخص رقم التعريف الشخصي لتجميد الائتمان الخاص بك
2015: الخرق التجريبي يؤثر على 15 مليون عميل
2015: الخرق التجريبي مرتبط بحلقة سرقة معرف NY-NJ
2015: في Experian ، الاستنزاف الأمني وسط عمليات الاستحواذ
2015: ضرب Experian مع خدمة الإجراء الجماعي على سرقة الهوية
2014: يسمح تطبيق Experian Lapse بخدمة سرقة الهوية بالوصول إلى 200 مليون سجل مستهلك
2013: تم بيع بيانات المستهلك التجريبية لخدمة سرقة الهوية
“متعطش للطعام. طالب. متحمس محترف للزومبي. مبشر شغوف بالإنترنت.”
More Stories
بيتكوين – 75 ألف دولار أم 55 ألف دولار؟ هذا هو المكان الذي ستتجه إليه BTC بعد ذلك
يزور مؤسس شركة تسلا ماسك الصين حيث يستعرض المنافسون سيارات كهربائية جديدة في معرض بكين للسيارات
يستعد باول لإبقاء بنك الاحتياطي الفيدرالي على مسار أعلى لفترة أطول