Experian, vous avez des explications à faire – Crips sur la sécurité

KrebsOnSecurity a entendu deux fois au cours du mois dernier des lecteurs qui ont leurs comptes dans un grand bureau de crédit triple Expérian Piraté et mis à jour avec une nouvelle adresse e-mail qui n’était pas la leur. Dans les deux cas, les lecteurs ont utilisé des gestionnaires de mots de passe pour choisir des mots de passe forts et uniques pour leurs comptes de démonstration. Les recherches indiquent que les voleurs d’identité ont pu détourner des comptes simplement en ouvrant de nouveaux comptes chez Experian en utilisant les informations personnelles de la victime et une adresse e-mail différente.

Jean Turner Il est ingénieur logiciel basé à Salt Lake City. Turner a déclaré qu’il avait créé le compte chez Experian en 2020 pour geler la sécurité de son profil de crédit et qu’il avait utilisé un gestionnaire de mots de passe pour identifier et stocker un mot de passe fort et unique pour son compte Experian.

Turner a déclaré qu’au début de juin 2022, il avait reçu un e-mail d’Experian indiquant que l’adresse e-mail de son compte avait changé. La réinitialisation du mot de passe d’Experian était inutile à ce moment-là, car tous les liens de réinitialisation du mot de passe seraient envoyés à la nouvelle adresse e-mail (de l’escroc).

Une personne de soutien d’Experian Turner a été jointe par téléphone après une longue attente pour lui demander son numéro de sécurité sociale (SSN) et sa date de naissance, ainsi que le code PIN de son compte et des réponses à ses questions confidentielles. Mais le code PIN et les questions secrètes ont déjà été modifiés par quiconque s’est réinscrit auprès d’Experian.

« J’ai pu répondre avec succès aux questions du rapport de crédit, qui m’ont approuvé sur leur système », a déclaré Turner. « À ce moment-là, le représentant m’a lu les questions de sécurité actuellement stockées et le code PIN, et ce n’étaient certainement pas des choses que j’aurais utilisées. »

Turner a déclaré qu’il avait pu reprendre le contrôle de son compte Experian en en créant un nouveau. Mais maintenant, il se demande ce qu’il peut faire pour empêcher qu’un autre compte ne soit piraté. C’est parce qu’Experian N’offrez aucun type d’options d’authentification multifacteur sur les comptes des consommateurs.

« La partie la plus frustrante de tout cela est que j’ai reçu plusieurs e-mails « ce sont vos informations de connexion » plus tard, qu’ils ont attribués aux attaquants d’origine qui sont revenus et ont essayé d’utiliser le flux « e-mail/nom d’utilisateur oublié », très probablement en utilisant SSN et DOB , mais il n’est pas allé à leur e-mail qu’ils attendaient », a déclaré Turner. « Parce qu’Experian ne prend en charge aucune sorte d’authentification à deux facteurs – et je ne sais pas comment ils sont entrés dans mon compte – je me sens assez impuissant depuis. »

Pour être clair, Experian Fais Il a une unité commerciale Vend des services de mot de passe à usage unique aux entreprises. Mais il ne le fournit pas directement aux consommateurs qui se sont inscrits pour gérer leur profil de crédit sur le site Web d’Experian.

Arthur Richie Musicien et co-directeur exécutif du Boston Landmarks Orchestra. Richie a déclaré qu’il avait récemment découvert que son compte Experian avait été piraté après avoir reçu une alerte de son service de surveillance du crédit (et non d’Experian) indiquant que quelqu’un avait tenté d’ouvrir un compte à son nom chez JPMorgan Chase.

Rishi a déclaré que l’alerte l’avait surpris parce que son profil de crédit Experian était gelé à l’époque et qu’Experian ne l’avait informé d’aucune activité sur son compte. Rishi a déclaré que Chase avait accepté d’annuler la demande de compte non autorisée et a même annulé sa demande de crédit (chaque demande de crédit peut nuire un peu à votre pointage de crédit).

Mais il n’a jamais réussi à convaincre quiconque du support d’Experian de répondre au téléphone, bien qu’il ait passé ce qui semblait être une éternité à essayer de progresser dans le système téléphonique de l’entreprise. C’est alors que Rishi a décidé de voir s’il pouvait se créer un nouveau compte dans Experian.

« J’ai pu ouvrir un nouveau compte Experian en partant de zéro, en utilisant mon SSN, ma date de naissance et en répondant à des questions vraiment basiques, comme le type de voiture pour laquelle j’ai obtenu un prêt ou la ville dans laquelle j’habitais », dit-il.

À la fin de l’enregistrement, Rishi a remarqué que son équilibre était gelé.

Comme Turner, Richie craint maintenant que les voleurs d’identité ne détournent à nouveau son compte Experian et qu’il ne puisse rien faire pour empêcher un tel scénario. Actuellement, Rishi a décidé de payer Experian 25,99 $ par mois pour surveiller de près son compte pour toute activité suspecte. Même avec le service payant d’Experian, il n’y avait pas d’options d’authentification multi-facteurs supplémentaires, bien qu’il ait déclaré qu’Experian avait récemment envoyé un code à usage unique sur son téléphone par SMS lorsqu’il s’est connecté.

« Experian a parfois besoin de MFA pour moi si j’utilise un nouveau navigateur ou si j’utilise mon VPN », a déclaré Rishi, mais il n’était pas sûr que le service gratuit d’Experian fonctionnerait différemment.

« Je suis tellement en colère quand je pense à tout cela », a-t-il déclaré. « Je n’ai aucune confiance que cela ne se reproduira pas. »

Dans une déclaration écrite, Experian a suggéré que ce qui est arrivé à Rishi et Turner n’était pas un événement ordinaire et que leurs pratiques de vérification d’identité et de sécurité vont au-delà de ce qui est visible pour l’utilisateur.

« Nous pensons qu’il s’agit d’incidents de fraude individuels utilisant des informations volées sur les consommateurs », a déclaré Experian dans un communiqué. « Spécial pour votre question, une fois qu’un compte Experian est créé, si quelqu’un essaie de créer un deuxième compte Experian, nos systèmes signaleront l’e-mail d’origine dans le fichier. »

« Nous allons au-delà de la simple dépendance aux informations personnellement identifiables (PII) ou à la capacité d’un consommateur à répondre à des questions d’authentification basées sur la connaissance pour accéder à nos systèmes », poursuit le communiqué. « Nous ne divulguons pas de processus supplémentaires pour des raisons de sécurité évidentes ; cependant, nos capacités de données et d’analyse vérifient les éléments d’identité sur plusieurs sources de données et ne sont pas visibles pour le consommateur. Ceci est conçu pour créer une expérience plus positive pour nos clients et fournir des informations supplémentaires. Nous prenons très au sérieux la confidentialité et la sécurité des consommateurs, et nous révisons constamment nos processus de sécurité pour nous protéger contre les menaces persistantes et évolutives posées par les fraudeurs.

Analytique

KrebsOnSecurity a cherché à reproduire l’expérience de Turner et Rishi – pour voir si Experian me permettrait de recréer mon compte avec mes informations personnelles mais avec une adresse e-mail différente. L’expérience a été menée à partir d’un ordinateur et d’une adresse Internet différents de ceux qui ont créé le compte d’origine il y a des années.

Après avoir fourni mon SSN, ma date de naissance et répondu à plusieurs questions à choix multiples dont les réponses sont presque entièrement tirées de documents publics, Experian a immédiatement changé l’adresse e-mail associée à mon profil de crédit. Je l’ai fait sans confirmer au préalable que la nouvelle adresse e-mail peut répondre aux messages, ou que l’adresse e-mail précédente a accepté de changer.

Le système Experian a ensuite envoyé un message automatisé à l’adresse e-mail enregistrée d’origine, indiquant que l’adresse e-mail du compte avait été modifiée. Le seul recours offert par Experian dans l’alerte était de se connecter ou d’envoyer un e-mail à une boîte aux lettres Experian en répondant par « Cette adresse e-mail n’est plus surveillée ».

Ensuite, Experian m’a demandé de sélectionner de nouvelles questions et réponses secrètes, ainsi qu’un nouveau code PIN de compte – des questions efficaces d’effacement du code PIN et de récupération pour le compte. Une fois que j’ai changé mon code PIN et mes questions de sécurité, Experian m’a utilement rappelé que j’ai un gel de sécurité sur le fichier, et est-ce que je veux supprimer ou lever temporairement le gel de sécurité ?

En quoi Experian diffère des pratiques Équifax Et le TransUnionLes deux autres grands bureaux d’évaluation du crédit à la consommation ? Lorsque KrebsOnSecurity a tenté de recréer un compte TransUnion existant à l’aide de mon numéro de sécurité sociale, TransUnion a rejeté la demande, déclarant que j’avais déjà un compte et m’a invité à poursuivre le flux de mot de passe perdu. Il semble également que la société envoie un e-mail à l’adresse enregistrée pour demander la validation des modifications du compte.

De même, tenter de recréer un compte Equifax existant en utilisant des informations personnelles associées à mon compte existant invite les systèmes Equifax à signaler que j’ai déjà un compte et à utiliser leur processus de réinitialisation de mot de passe (qui implique l’envoi d’un e-mail de vérification à l’adresse enregistrée).

KrebsOnSecurity a toujours exhorté les lecteurs américains à le mettre quelque part Gel de sécurité de leurs dossiers auprès des trois principaux bureaux de crédit. Avec un gel en place, les créanciers potentiels ne peuvent pas retirer votre dossier de crédit, ce qui rend moins probable que quelqu’un obtienne de nouvelles marges de crédit en votre nom. J’ai aussi conseillé aux lecteurs Ils ont planté leur drapeau dans les trois bureaux principauxpour empêcher les voleurs d’identité de créer un compte pour vous et de prendre le contrôle de votre identité.

Les expériences de Richie, Turner et de cet auteur indiquent que les pratiques d’Experian sapent actuellement chacune de ces mesures de sécurité proactives. Toutefois, Avoir un compte Experian actif peut être le seul moyen de savoir si des escrocs ont usurpé votre identité. Parce qu’au moins après cela, vous devriez recevoir un e-mail d’Experian disant qu’ils ont donné votre identité à quelqu’un d’autre.

En avril 2021, KrebsOnSecurity a révélé comment les voleurs d’identité étaient Exploiter l’authentification laxiste sur la page de récupération du code PIN d’Experian Pour dégeler les dossiers de crédit à la consommation. Dans ces cas, Experian n’a envoyé aucune notification par e-mail lors de la récupération du code PIN Freeze et n’a pas exigé que le code PIN soit envoyé à une adresse e-mail déjà associée au compte client.

Quelques jours après cette histoire d’avril 2021, Krebs on Security a publié la nouvelle que L’API Experian révélait les cotes de crédit de la plupart des Américains.

Emory Rouanconseiller politique de Centre d’information sur les droits à la vie privéeIl a déclaré que l’échec d’Experian à introduire l’authentification multifacteur pour les comptes des consommateurs est injustifié en 2022.

« Ils aggravent le problème en informant le processus de récupération des informations qui peuvent ou non avoir été déduites de courtiers de données tiers, ou qui auraient pu être exposées lors de précédentes violations de données », a déclaré Rowan. « Experian est l’une des plus grandes agences d’information sur les consommateurs du pays et est considérée comme l’un des rares acteurs majeurs du système de crédit auquel les Américains sont obligés de se joindre. Pour eux, ne pas offrir une forme quelconque d’AMF (gratuit) est une mystification et reflète très mal Experian. »

Nicolas Tisserandcherche Institut international d’informatique dans Université de Californie, BerkeleyIl a déclaré qu’Experian n’avait aucune incitation réelle à faire les choses correctement du côté des consommateurs de son entreprise. Cela signifie, a-t-il dit, à moins que les clients d’Experian – banques et autres prêteurs – choisissent de voter avec leurs pieds, car tant de personnes avec des dossiers de crédit gelés doivent faire face à des demandes non autorisées de nouveau crédit.

« Les vrais clients du service de crédit ne réalisent pas à quel point l’état d’Experian est mauvais, et ce n’est pas la première fois qu’Experian échoue horriblement », a déclaré Weaver. « Experian fait partie d’une société en trio, et je suis sûr que cela coûte de l’argent à leurs clients réels, car si vous avez un gel de crédit qui est levé et que quelqu’un l’a prêté, c’est le prêteur qui absorbe ce coût de fraude. »

Contrairement aux consommateurs, a-t-il dit, les prêteurs ont le choix entre les trois sociétés pour gérer leurs vérifications de crédit.

« Je pense qu’il est important de noter que les vrais clients ont le choix et qu’ils devraient passer à TransUnion et Equifax », a-t-il ajouté.

Plus de meilleures chansons d’Experian :

2017 : Experian peut donner à n’importe qui votre code PIN pour geler votre crédit
2015 : La violation de test affecte 15 millions de clients
2015 : Violation du procès liée à l’épisode de vol d’identité NY-NJ
2015 : Chez Experian, la fuite de la sécurité au milieu des acquisitions
2015 : Experian frappé par un service d’action de masse contre le vol d’identité
2014 : Experian Lapse permet au service d’usurpation d’identité d’accéder à 200 millions de dossiers de consommateurs
2013 : Données expérimentales sur les consommateurs vendues à un service d’usurpation d’identité