Exploração da cadeia de fornecimento de dados de bureaus de crédito expõe dados pessoais de americanos por US$ 15
(404media.co)- Apenas com o nome e o estado de residência, era possível receber um arquivo com endereços antigos, parentes, números de telefone, e-mails e informações de carteira de motorista, e o custo da consulta era o equivalente a US$ 15 em Bitcoin
- A ferramenta parece acessar dados de credit header mantidos por Experian, Equifax e TransUnion e, em alguns casos, também fornecia o número de Seguro Social (SSN) por US$ 20
- O credit header é um dado pessoal criado a partir de informações relacionadas a cartões de crédito da maioria dos adultos nos EUA e, por meio de contratos e compras, acaba chegando até agências de cobrança, seguradoras e órgãos de aplicação da lei
- Criminosos acessaram a cadeia de fornecimento de dados por meios como roubo de identidade de ex-agentes da lei e venderam, online, acesso irrestrito a outros criminosos
- Também foi usado para consultar figuras conhecidas como Elon Musk, Joe Rogan e Joe Biden e, embora parte dos dados não fosse sensível, pelo menos uma parte foi confirmada como correta
Consulta de dados pessoais vendida por bot no Telegram
- No Telegram, bastava inserir o nome e o estado de residência do alvo para que, pouco depois, fosse gerado um arquivo com dados pessoais
- O arquivo incluía endereços onde a pessoa viveu nos EUA, até mesmo o endereço de um dormitório universitário de mais de 10 anos atrás
- As informações fornecidas junto eram compostas por itens que podem ser usados para verificação de identidade e rastreamento
- nomes de parentes e ano de nascimento
- número de celular e operadora
- endereço de e-mail pessoal
- informações da carteira de motorista e número identificador único
- O custo total da consulta era o equivalente a US$ 15 em Bitcoin, e o bot às vezes fornecia o número de Seguro Social por US$ 20
Exploração da cadeia de fornecimento de dados dos bureaus de crédito
- A ferramenta parece acessar dados de credit header mantidos por Experian, Equifax e TransUnion sobre grande parte dos adultos nos EUA
- Os dados de credit header são informações pessoais geradas a partir de dados relacionados a cartões de crédito e, por meio de vários contratos e compras, são repassados a outras empresas
- Esses dados repassados seguem caminhos que os levam a agências de cobrança, seguradoras e órgãos de aplicação da lei
- Os criminosos conseguiram acessar essa cadeia de fornecimento e, em alguns casos, foi usado roubo de identidade de ex-agentes da lei
- A ferramenta testada também foi usada para coletar informações de figuras conhecidas como Elon Musk, Joe Rogan e Joe Biden e parece ter sido utilizada sem restrições de acesso
- A verificação mostrou que nem todos os dados eram sempre sensíveis, mas pelo menos parte deles estava correta
1 comentários
Opiniões do Hacker News
Vale muito a pena configurar um congelamento de crédito nas três: Experian, TransUnion e Equifax
É irritante na primeira configuração, porque é preciso fornecer um monte de dados pessoais, mas, depois de feito, congelar e descongelar fica bem fácil
Guarde a URL, o nome de usuário e a senha em uma nota segura e, quando precisar solicitar crédito, basta descongelar por um dia ou uma semana
Antes havia muitos problemas de roubo de identidade com abertura de crédito em meu nome, mas o congelamento de crédito resolveu
Experian: https://www.experian.com/freeze/center.html
TransUnion: https://www.transunion.com/credit-freeze
Equifax: https://www.equifax.com/personal/credit-report-services/cred...
Detesto muito essas empresas, mas passar pelo procedimento de referência valeu a pena, e eu recomendaria a qualquer pessoa
Na última vez, a conta foi bloqueada porque eu não fazia login havia 3 anos, e exigiram muita verificação adicional
Às vezes a verificação parece até mais insegura, por usar informações como endereços antigos, o tipo de coisa que perguntavam na configuração inicial, e às vezes é mais complicada
Com o tempo, no momento mais inesperado, podem impedir o descongelamento dizendo que a verificação da conta levará 60 dias
Sempre que isso acontecer, o emissor deveria receber multas enormes
Nesse tipo de fraude, a vítima não é o indivíduo, e sim o banco
Minha identidade continua comigo; o banco ou credor apenas entregou o próprio dinheiro a um criminoso por negligência própria
Transformar em vítima uma pessoa que não teve nenhum envolvimento é uma fantasia sem sentido, e a lei deveria mudar para refletir essa realidade
Enquanto os bancos puderem repassar o custo de sua própria negligência a pessoas inocentes, continuarão agindo de forma desleixada
Sempre que essa expressão aparecer no debate público, a percepção deveria se espalhar no sentido de rejeitar a farsa do “roubo de identidade”
Sketch de rádio relacionado de Mitchell and Webb: https://www.youtube.com/watch?v=CS9ptA3Ya9E
Tive de lidar com golpistas que solicitaram não só linhas de celular, mas até a eletricidade do próprio apartamento deles em meu nome, e configurar o congelamento ali resolveu
Como nunca iniciei nada, não sei se estou bem
Para poupar o clique: a arma secreta é pagar 15 dólares a um criminoso em um grupo do Telegram para fazer doxxing de alguém
A maior parte do texto fala de onde esses serviços de doxxing obtêm os dados e de como essa origem muda
No momento, o TLOxp da TransUnion é o serviço popular
O TLOxp é a versão mais recente de uma tecnologia que mudou o jogo e abriu o campo da fusão de dados
Entre os usos do TLOxp listados estão cobrança de dívidas, profissionais jurídicos, departamentos jurídicos internos, investigadores licenciados, serviços financeiros, seguros, risco corporativo, jornalistas investigativos, forças de segurança, governos estaduais, locais e federal, recuperação de ativos e reintegração de posse
Como há erros iguais às informações incorretas que instituições financeiras perguntam para verificar identidade, acho que a fonte são as agências de crédito
É bom pesquisar o próprio nome algumas vezes por ano e enviar pedidos de remoção a esses sites
A maioria processa isso bem rápido
Parece uma daquelas matérias caça-cliques do tipo “pegadinha”, mas acho que o título entrega exatamente o que prometeu
O ponto é que ferramentas de consulta pouco reguladas fornecidas por agências de crédito estão sendo usadas para vender doxxing e coisas ainda piores
Havia algo que enfraquecesse essas alegações?
A abordagem está errada
Identidade e autenticação de uma pessoa não devem se basear em informações imutáveis e que podem se tornar públicas, como número de seguridade social, número da carteira de motorista e histórico de endereços
Essas informações têm muitas formas de vazar e, uma vez vazadas, permanecem para sempre
Precisamos de mecanismos adequados de identidade digital, autenticação e resolução de disputas
Não seria barato, mas, no longo prazo, as alternativas são mais caras
É meio trabalhoso, mas bastante difícil de hackear
Claro que não funciona se você não tiver um passaporte ou uma identidade equivalente
Basta imaginar tentar obter um empréstimo e descobrir que sua identidade foi revogada e outra pessoa já a tomou
A TransUnion disse que “nos casos muito raros em que identifica uso indevido do TLOxp, coopera com as autoridades para ajudar a processar os responsáveis”, mas isso é completamente falso.
A TransUnion já entregou meu relatório de crédito completo a hackers que tinham apenas informações públicas, e não deu a mínima.
Não parece que isso vá acontecer tão cedo.
Claro que isso dá um trabalho enorme.
Não dizem nada sobre o quanto se importam ou sobre quanto acompanhamento fazem depois de identificar.
Há outra coisa que odeio nas agências de crédito.
Se você for a uma corretora de imóveis comerciais, todos os corretores têm licença de agência de crédito, e especialmente os corretores juniores consultavam todos os dias proprietários de imóveis para fazer ligações de prospecção para seus celulares.
A TLO também deve saber que uma grande parte do setor de corretagem imobiliária comercial usar seu produto todos os dias não pode ser para fins de conformidade com a GLBA, mas finge que não vê e procura maneiras de monetizar isso.
Nem é preciso vasculhar os cantos obscuros da internet para obter essas informações.
Basta entrar pela porta da frente.
“Se você cobra de criminosos pelo valor dos dados, isso não é vazamento de dados.
Nesse caso, é prestação de serviço.”
— agências de crédito
Se alguém ligar e tentar provar que é “de verdade” dizendo que já sabe muitas das suas informações pessoais, nunca forneça dados pessoais.
Sempre ligue de volta para um número que você mesmo encontrou, não para o número que eles informaram.
Antigamente, golpistas ligavam fingindo ser do banco e diziam para a pessoa ligar de volta para o número no verso do cartão de crédito.
A vítima desligava e atendia de novo, e os golpistas mantinham a linha aberta, tocavam um falso tom de chamada e faziam outra pessoa “atender”, enganando a vítima.
Ainda mais se for um número desconhecido.
Todos são vulneráveis ao problema tratado no artigo.
Acho que daqui para frente vai piorar.
Há montanhas de dados não classificados porque ninguém se interessou por eles, e agora bons grandes modelos de linguagem podem fazer esse trabalho.
Esse setor inteiro deveria ser proibido.
Os tribunais deveriam registrar inadimplência em empréstimos e fornecer essas informações aos credores.
O relatório não deveria conter mais nada além disso.
Os credores já verificam a renda de forma independente e, no caso de hipotecas, também verificam os gastos mensais.
O restante das informações que entra no relatório de crédito e é usado no cálculo da pontuação de crédito parece servir para obrigar as pessoas a fazerem cartão de crédito e perpetuar o racismo estrutural.
Isso já era óbvio 20 anos atrás, quando investigadores particulares apresentavam em conferências hacker todos os tipos de maneiras de obter legalmente as informações que quisessem.
Com uma pequena busca, existem umas 500 empresas online que permitem vasculhar informações privadas por pouco dinheiro.
São serviços operados não por hackers, mas por empresas de capital aberto.
Parece que alguém só agora criou um bot que facilita ainda mais isso.
Para hackers, esse tipo de artigo soa como um texto dizendo que “fechaduras de portas não são seguras”.
Tudo o que ele tinha era meu nome e a universidade que eu frequentava.
Quando perguntei como conseguiu meu número, ele disse que usou um serviço como os mencionados acima.
Para alguém determinado, esse tipo de coisa não era particularmente difícil.
Tudo de que você precisa é o número de telefone da pessoa.
Ainda assim, mesmo 20 anos atrás, já era claro que, sabendo muito pouco sobre uma pessoa — especialmente se o nome dela não fosse comum —, era possível encontrar uma quantidade enorme de informações.