Experian Flaw Just Revealed PIN-koodit Luottotietojen suojaaminen

Luottorajan jäädyttäminen on paras tapa estää uusia tilinpetos, jossa rikolliset avaavat nimesi väärät tilit. Mutta yksi luottolaitoksen sivusto teki sen hämmentävän helposti kiertämään turvallisuutta, jonka on tarkoitus pitää luottotietosi turvallisina.

Experianin sivusto paljasti henkilökohtaiset tunnistenumerot - PIN-koodit, jotka tarvitaan sulattamaan luotto jäädyttää - sen jälkeen kun käyttäjät vastasivat turvallisuuskysymyksiinsä vakiokyselyllä: Ei mitään edellä mainituista.

Yli vuosi sitten turvallisuusasiantuntija Brian Krebs raportoi samanlaisesta virheestä. Tällöin ihmisten oli vastattava oikein neljään "tietoon perustuvaan autentikointiin" liittyviin kysymyksiin niiden tunnistamiseksi. Krebsin mukaan ongelma tällä menetelmällä on, että vastaukset on onnistuneesti saatavilla verkossa kaupallisten ja rikollisten sivustojen kautta.

Mutta useita tunteja torstaina - ja kuka tietää kuinka kauan ennen - sinun ei edes tarvitse arvata.

Lukija ilmoitti meille tästä asiasta, ja monet meistä, joilla oli luottojäähdytteitä, kykenivät replikoitumaan. Kysyimme seuraajia Facebookissa ja Twitterissä ja kuulimme muilta, jotka saivat myös PIN-tunnuksensa.

Virhe normaalissa prosessissa

Saadaksesi numerot henkilöt täyttivät lomakkeen Experianin PIN-hakuhaulla, jossa oli henkilön nimi, osoite, sosiaaliturvatunnus ja syntymäaika - tarkalleen sellainen tieto, joka vaarantui viime vuoden Equifax-rikkomuksessa ja joka on helposti myytävänä pimeässä verkossa. Lomake edellytti sähköpostiosoitetta, jota ei välttämättä tarvinnut käyttää henkilön Experian-tiliin. Turvallisuuskysymyksiin ei vastannut "mitään yllä mainituista" - vaikka jotkut tarjotut vastaukset olisivat oikeita - antoivat pääsyn kyseisen henkilön PIN-koodille.

PIN-koodin avulla jokainen voi sulattaa kyseisen henkilön luottorajan ja hakea luottoa heidän nimensä mukaan.

Kuluttajan edustaja Mike Litt pystyi myös noutamaan PIN-koodinsa virheen avulla. "Ei ole mitään tekosyitä tähän", kertoo Yhdysvaltain PIRG: n kampanjajohtaja Litt, joka on yleishyödyllinen järjestö. "Kuinka jättää avaimet ovesta tervetulomattojen päälle?"

Experianin tiedottaja julkaisi torstai-iltapäivän lausunnon, jossa hän sanoi: "Vaikka olemme vakuuttuneita siitä, että todentamisemme ovat turvallisia ja luotettavia tiedostoja ei ole vaarassa, olemme ryhtyneet lisätoimiin prosessin turvallisuuden parantamiseksi. Jatkamme säännöllisesti järjestelmien valvontaa ja ryhdymme välittömiin toimiin tietoturvan parantamiseksi."

Virheilmoitukset käynnistyvät

Torstaina torstaina monet meistä alkoivat saada virheilmoituksia, jotka vastauksemme olisivat olleet syntyneet. Meidät ohjasi sähköpostitse kokeilemaan tunnistetietoja, kuten kopiot ajokortista, sähköposteista ja sosiaaliturvakortista.

Yhdysvaltain postilaatikko, jos se on sanottu, ei ole turvallinen tapa välittää tällaisia ​​tietoja. Mutta koska nämä yksityiskohdat ovat todennäköisesti rikollisissa käsissä, jätämme sen nyt.

Tämä on jälleen yksi muistutus siitä, että meidän on seurattava luottotietojamme ja pisteitämme vilpillisistä tileistä, vaikka luottojen jäädyttäminen olisi paikallaan - kuten meidän pitäisi vielä.

On todella huolestuttavaa, että turvallisuusjäähdyksien on tarkoitus olla yksi niistä harvoista tehokkaista vammoista, joita ihmiset voivat torjua petoksia vastaan. Siksi turvallisuusasiantuntijat ovat suositelleet heitä vuosia, ja miksi Kongressi lopulta pakkasi ja sulki vapaasti syyskuun 21. päivästä lähtien.

Helppous, jolla tämä tärkeä suoja voitaisiin estää, kertoo meille, että luottolaitokset eivät vieläkään ota tietonsa turvallisuutta tarpeeksi vakavasti.

Työntekijä Bev O'Shea osallistui tähän raporttiin.