Experian, tienes alguna explicación que hacer – Crips en seguridad

KrebsOnSecurity ha escuchado dos veces en el último mes de lectores que tienen sus cuentas en una gran agencia de crédito triple Experian Hackeado y actualizado con una nueva dirección de correo electrónico que no era la suya. En ambos casos, los lectores utilizaron administradores de contraseñas para elegir contraseñas seguras y únicas para sus cuentas de demostración. Las investigaciones indican que los ladrones de identidad pudieron secuestrar cuentas simplemente registrándose en nuevas cuentas en Experian utilizando la información personal de la víctima y una dirección de correo electrónico diferente.

Juan Turner Es un ingeniero de software con sede en Salt Lake City. Turner dijo que creó la cuenta en Experian en 2020 para congelar su perfil de crédito por seguridad y que usó un administrador de contraseñas para identificar y almacenar una contraseña segura y única para su cuenta de Experian.

Turner dijo que a principios de junio de 2022 recibió un correo electrónico de Experian que indicaba que la dirección de correo electrónico de su cuenta había cambiado. El restablecimiento de contraseña de Experian fue inútil en ese momento porque cualquier enlace de restablecimiento de contraseña se enviaría a la nueva dirección de correo electrónico (del estafador).

Se contactó por teléfono con una persona de soporte de Experian Turner después de una larga espera para pedirle su Número de Seguro Social (SSN) y fecha de nacimiento, así como el PIN de su cuenta y respuestas a sus preguntas confidenciales. Pero el PIN y las Preguntas secretas ya han sido cambiados por cualquiera que se haya vuelto a registrar en Experian.

“Pude responder con éxito las preguntas del informe de crédito, que me aprobaron en su sistema”, dijo Turner. «En ese momento, el representante me leyó las preguntas de seguridad almacenadas actualmente y el PIN, y definitivamente no eran cosas que hubiera usado».

Turner dijo que pudo recuperar el control de su cuenta de Experian al crear una nueva. Pero ahora se pregunta qué puede hacer para evitar que otra cuenta sea pirateada. Esto se debe a que Experian No ofrezca ningún tipo de opción de autenticación multifactor en cuentas de consumidores.

«La parte más frustrante de todo esto es que más tarde recibí varios correos electrónicos de ‘esta es su información de inicio de sesión’ que atribuyeron a los atacantes originales que regresaron e intentaron usar el flujo de ‘correo electrónico/nombre de usuario olvidado’, muy probablemente usando SSN y fecha de nacimiento, pero no llegó a su correo electrónico que esperaban», dijo Turner. «Debido a que Experian no admite la autenticación de dos factores de ningún tipo, y no sé cómo ingresaron a mi cuenta en primer lugar, me he sentido bastante impotente desde entonces».

Para ser claros, Experian Hacer Tiene una unidad de negocio Vende servicios de contraseñas de un solo uso a empresas. Pero no brinda esto directamente a los consumidores que se han registrado para administrar su perfil de crédito en el sitio web de Experian.

Arturo Richie Músico y codirector ejecutivo de la Boston Landmarks Orchestra. Richie dijo que recientemente descubrió que su cuenta de Experian había sido secuestrada después de recibir una alerta de su servicio de monitoreo de crédito (no de Experian) de que alguien había intentado abrir una cuenta a su nombre en JPMorgan Chase.

READ  Los mercados asiáticos se mezclaron después de que EE. UU. alcanzara el acuerdo sobre el techo de la deuda; Las acciones japonesas alcanzan su nivel más alto desde julio de 1990

Rishi dijo que la alerta lo sorprendió porque su perfil de crédito de Experian estaba congelado en ese momento y Experian no le notificó ninguna actividad en su cuenta. Rishi dijo que Chase acordó cancelar la solicitud de cuenta no autorizada e incluso canceló su consulta de crédito (cada extracción de crédito puede dañar un poco su puntaje de crédito).

Pero nunca pudo conseguir que nadie del soporte de Experian contestara el teléfono, a pesar de pasar lo que pareció una eternidad tratando de avanzar a través del sistema basado en teléfonos de la compañía. Fue entonces cuando Rishi decidió ver si podía crear una nueva cuenta para sí mismo en Experian.

«Pude abrir una nueva cuenta de Experian comenzando desde cero, usando mi SSN, fecha de nacimiento y respondiendo algunas preguntas realmente básicas, como para qué tipo de automóvil obtuve un préstamo o en qué ciudad solía vivir». dijo.

Al completar la grabación, Rishi notó que su equilibrio estaba congelado.

Al igual que Turner, a Richie ahora le preocupa que los ladrones de identidad vuelvan a secuestrar su cuenta de Experian y que no hay nada que pueda hacer para evitar ese escenario. Actualmente, Rishi ha decidido pagar a Experian $25.99 por mes para monitorear de cerca su cuenta en busca de cualquier actividad sospechosa. Incluso con el servicio pago de Experian, no había opciones adicionales de autenticación de múltiples factores, aunque dijo que Experian envió un código único a su teléfono a través de SMS recientemente cuando inició sesión.

«Experian ahora a veces requiere MFA para mí ahora si estoy usando un nuevo navegador o ejecutando mi VPN», dijo Rishi, pero no estaba seguro de si el servicio gratuito de Experian funcionaría de manera diferente.

“Me enojo mucho cuando pienso en todo esto”, dijo. «No tengo confianza en que esto no vuelva a suceder».

En una declaración escrita, Experian sugirió que lo que les sucedió a Rishi y Turner no fue un hecho común y que sus prácticas de verificación de identidad y seguridad van más allá de lo que es visible para el usuario.

«Creemos que estos son incidentes de fraude individuales que utilizan información de consumidores robada», dijo Experian en un comunicado. «Especialmente para su pregunta, una vez que se crea una cuenta de Experian, si alguien intenta crear una segunda cuenta de Experian, nuestros sistemas informarán el correo electrónico original en el archivo».

«Vamos más allá de depender de la información de identificación personal (PII) o la capacidad de un consumidor para responder preguntas de autenticación basadas en el conocimiento para obtener acceso a nuestros sistemas», continúa la declaración. «No divulgamos procesos adicionales por razones obvias de seguridad; sin embargo, nuestras capacidades de datos y análisis verifican los elementos de identidad en múltiples fuentes de datos y no son visibles para el consumidor. Esto está diseñado para crear una experiencia más positiva para nuestros clientes y brindar información adicional capas de protección Nos tomamos muy en serio la privacidad y la seguridad del consumidor, y revisamos constantemente nuestros procesos de seguridad para protegernos contra las amenazas persistentes y en evolución que plantean los estafadores”.

Analítica

KrebsOnSecurity buscó replicar la experiencia de Turner y Rishi, para ver si Experian me permitiría recrear mi cuenta con mi información personal pero con una dirección de correo electrónico diferente. El experimento se realizó desde una computadora y una dirección de Internet diferentes a las que crearon la cuenta original hace años.

READ  El CEO de Google, Sundar Pichai, ganó $ 226 millones el año pasado

Después de proporcionar mi SSN, fecha de nacimiento y responder varias preguntas de opción múltiple cuyas respuestas provienen casi en su totalidad de registros públicos, Experian cambió de inmediato la dirección de correo electrónico asociada con mi perfil de crédito. Hice esto sin confirmar primero que la nueva dirección de correo electrónico puede responder a los mensajes, o que la dirección de correo electrónico anterior aceptó cambiar.

Luego, el sistema de Experian envió un mensaje automático a la dirección de correo electrónico registrada original, indicando que se había cambiado la dirección de correo electrónico de la cuenta. El único recurso que Experian ofreció en la alerta fue iniciar sesión o enviar un correo electrónico a un buzón de Experian respondiendo con «Esta dirección de correo electrónico ya no está siendo monitoreada».

Luego, Experian me pidió que seleccionara nuevas preguntas y respuestas secretas, así como un nuevo PIN de cuenta: preguntas efectivas de borrado y recuperación de PIN para la cuenta. Una vez que cambié mi PIN y las preguntas de seguridad, Experian me recordó amablemente que tengo un bloqueo de seguridad en el archivo y ¿quiero eliminar o levantar temporalmente el bloqueo de seguridad?

En qué se diferencia Experian de las prácticas equifax Y el transunion¿Las otras dos grandes agencias de informes crediticios del consumidor? Cuando KrebsOnSecurity intentó recrear una cuenta de TransUnion existente usando mi número de Seguro Social, TransUnion rechazó la solicitud, indicando que ya tenía una cuenta y me pidió que continuara con el flujo de contraseña perdida. También parece que la empresa está enviando un correo electrónico a la dirección registrada para solicitar la validación de los cambios en la cuenta.

Del mismo modo, intentar recrear una cuenta de Equifax existente usando información personal asociada con mi cuenta existente hace que los sistemas de Equifax informen que ya tengo una cuenta y utilicen su proceso de restablecimiento de contraseña (que implica enviar un correo electrónico de verificación a la dirección registrada).

KrebsOnSecurity siempre ha instado a los lectores estadounidenses a ponerlo en algún lugar Congelamiento de seguridad de sus archivos con las tres principales agencias de crédito. Con un congelamiento en vigor, los acreedores potenciales no pueden retirar su archivo de crédito, lo que hace menos probable que a alguien se le otorguen nuevas líneas de crédito a su nombre. También aconsejé a los lectores Plantaron su bandera en las tres sedes principalespara evitar que los ladrones de identidad creen una cuenta para usted y tomen el control de su identidad.

Las experiencias de Richie, Turner y este autor indican que las prácticas de Experian actualmente están socavando cada una de estas medidas de seguridad proactivas. aún así, Tener una cuenta activa de Experian puede ser la única forma de averiguar si los estafadores han asumido su identidad. Porque al menos después de eso deberías recibir un correo electrónico de Experian diciendo que le dieron tu identidad a otra persona.

En abril de 2021, KrebsOnSecurity reveló cómo los ladrones de identidad eran Aprovechando la autenticación laxa en la página de recuperación de PIN de Experian Para descongelar expedientes de crédito al consumo. En estos casos, Experian no envió ninguna notificación por correo electrónico cuando se recuperó el PIN congelado y no requirió que el PIN se enviara a una dirección de correo electrónico ya asociada con la cuenta del consumidor.

READ  La Reserva Federal “ganó” en su búsqueda de un aterrizaje suave

Unos días después de esa historia de abril de 2021, Krebs on Security publicó la noticia de que Experian API estaba revelando puntajes de crédito para la mayoría de los estadounidenses.

emory ruanoasesor de políticas de Cámara de compensación de derechos de privacidadDijo que el hecho de que Experian no haya introducido la autenticación multifactor para las cuentas de los consumidores no está justificado en 2022.

“Agravan el problema al informar al proceso de recuperación sobre información que puede o no haber sido inferida de corredores de datos de terceros, o que podría haber estado expuesta en violaciones de datos anteriores”, dijo Rowan. «Experian es una de las agencias de informes de consumidores más grandes del país, y es confiable como uno de los pocos actores importantes en el sistema de crédito al que los estadounidenses se ven obligados a unirse. Para ellos, no ofrecer algún tipo de MFA (gratuito) es desconcertante». y se refleja muy mal en Experian».

Nicolás Tejedorestá buscando Instituto Internacional de Ciencias de la Computación en Universidad de California, BerkeleyDijo que Experian no tiene ningún incentivo real para hacer las cosas bien en el lado del consumidor de su negocio. Eso significa, dijo, a menos que los clientes de Experian (bancos y otros prestamistas) opten por votar con los pies porque muchas personas con archivos de crédito congelados tienen que lidiar con solicitudes no autorizadas de nuevo crédito.

“Los clientes reales del servicio de crédito no se dan cuenta de cuán mala es la condición de Experian, y esta no es la primera vez que Experian falla terriblemente”, dijo Weaver. «Experian es parte de un trío de empresas, y estoy seguro de que esto les está costando dinero a sus clientes reales, porque si tienes un congelamiento de crédito que se levanta y alguien lo presta, es el prestamista quien se come el costo del fraude».

A diferencia de los consumidores, dijo, los prestamistas pueden elegir cuál de las tres compañías manejará sus verificaciones de crédito.

«Creo que es importante tener en cuenta que los clientes reales tienen una opción y deben cambiarse a TransUnion y Equifax», agregó.

Más grandes canciones de Experian:

2017: Experian puede darle a cualquiera su PIN para congelar su crédito
2015: Infracción de prueba afecta a 15 millones de clientes
2015: Violación de prueba vinculada a episodio de robo de identidad NY-NJ
2015: En Experian, la fuga de seguridad en medio de adquisiciones
2015: Experian golpeó con el servicio de acción masiva sobre el robo de identidad
2014: Experian Lapse permite que el servicio de robo de identidad acceda a 200 millones de registros de consumidores
2013: Datos de consumidores experimentales vendidos al servicio de robo de identidad

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *