1 pontos por GN⁺ 2023-11-12 | 1 comentários | Compartilhar no WhatsApp
  • Contas da Experian podiam ser tomadas ao serem registradas novamente com os mesmos dados pessoais e um endereço de e-mail diferente, e a falha de autenticação revelada em 2022 ainda permanecia 16 meses depois
  • O novo registro era feito com Social Security number, data de nascimento, nome, endereço, e-mail, senha e perguntas de segurança baseadas em conhecimento; a verificação por celular podia ser contornada com “Continue another way”
  • Quando a nova conta era criada, era possível visualizar o arquivo de crédito completo e ativar ou desativar o congelamento de crédito, e o e-mail antigo recebia apenas uma notificação de alteração, não um pedido de aprovação
  • Equifax e TransUnion exigem confirmação por código enviado ao e-mail ou telefone já cadastrados ao alterar uma conta existente, mas a Experian não oferecia ao usuário anterior aprovação da mudança nem meios de recuperação
  • Se um invasor consegue recriar a conta com um novo número de telefone e e-mail, a autenticação multifator no momento do login, por si só, dificilmente impede a tomada da conta

A Experian permitia recriar a conta com outro e-mail

  • No verão de 2022, foi confirmado um caso em que uma conta da Experian foi tomada após ser registrada novamente com outro endereço de e-mail
  • Mesmo 16 meses depois, o mesmo problema continuava, e a própria conta da Experian de Krebs havia sido tomada recentemente
  • Ele solicitou uma cópia do arquivo de crédito da Experian por meio do annualcreditreport.com, mas a Experian recusou alegando que não conseguia verificar sua identidade
  • O login direto em Experian.com também falhou, e o site informou que não reconhecia o nome de usuário ou a senha
  • No processo para recuperar o nome de usuário, eram exigidos o Social Security number completo e a data de nascimento, e depois foi exibida parte de um endereço de e-mail que Krebs não aprovou nem conhecia

Fragilidades de autenticação expostas no processo de novo registro

  • A página inicial da Experian solicitava o Social Security number e um número de celular, informando que enviaria um link de verificação de identidade
  • Ao que tudo indicava, o site não bloqueava nem mesmo um número de telefone aleatório dos EUA, e essa etapa podia ser ignorada ao selecionar “Continue another way”
  • Em seguida, para recriar a conta, eram exigidas as seguintes informações
    • nome completo
    • endereço
    • data de nascimento
    • Social Security number
    • endereço de e-mail
    • senha escolhida
  • Na etapa seguinte, era preciso responder de 3 a 5 perguntas de segurança de múltipla escolha, cujas respostas muitas vezes se baseavam em registros públicos
  • Quando Krebs recriou a conta, apenas 2 das 5 perguntas tinham relação com informações reais, e ambas eram sobre endereços de residências anteriores
  • Depois de passar pelas perguntas de múltipla escolha, o usuário definia um PIN de 4 dígitos e uma nova resposta para uma das perguntas predefinidas
  • Após a criação da nova conta, era possível acessar o painel da Experian, onde se podia ver o arquivo de crédito completo e ativar ou desativar o congelamento de crédito

Para o usuário antigo, sobra apenas a notificação de alteração

  • Quando os dados da conta mudam, a Experian envia ao endereço de e-mail anterior uma mensagem informando que parte do perfil do usuário foi alterada
  • Essa mensagem não é um pedido de confirmação, mas apenas uma notificação de mudança, e a única ação oferecida ao usuário antigo é clicar no link de login do Experian.com
  • Depois de receber a notificação, o usuário original já não consegue mais entrar com as credenciais antigas da conta da Experian
  • Como o PIN e a pergunta de recuperação da conta também já foram alterados, para recuperar a conta o usuário anterior precisa criar outra vez uma conta na Experian
  • Equifax e TransUnion só permitem a alteração de contas existentes após a inserção de um código enviado ao endereço de e-mail ou número de telefone já registrados

A resposta da Experian e os casos verificados por leitores

  • A Experian se recusou a compartilhar o endereço de e-mail completo adicionado sem autorização ao arquivo de crédito de Krebs
  • O porta-voz da Experian, Scott Anderson, afirmou que a empresa implementou e continua evoluindo uma abordagem de segurança em múltiplas camadas para proteger a identidade e as informações dos consumidores, incluindo medidas manuais e ativas
  • Segundo Anderson, essas medidas incluem perguntas e respostas baseadas em conhecimento e procedimentos de verificação de posse e propriedade do dispositivo
  • Todos os consumidores podem ativar a autenticação multifator solicitada em cada login da conta, mas sua eficácia é limitada se a conta puder ser recriada com um novo telefone e e-mail
  • Leitores que viram a publicação sobre a Experian no Mastodon também confirmaram o mesmo problema
    • @Jackerbee disse que inseriu um segundo número de telefone e um novo endereço de e-mail, e que o e-mail antigo recebeu apenas uma única mensagem dizendo que as informações haviam sido atualizadas, sem qualquer verificação do e-mail já existente
    • Também não houve alerta por SMS para o número de telefone antigo, e depois disso o 2FA passou a funcionar com o novo número
    • PeteMayo recriou a conta da Experian duas vezes na mesma semana, e na segunda usou um número aleatório de telefone fixo
    • No caso de PeteMayo, após cinco perguntas sobre seu histórico pessoal, foi concedido acesso total com a mensagem “Welcome back, Pete!”

Incidentes de segurança recorrentes na Experian

  • O invasor que tomou a conta de Krebs aparentemente não desativou o congelamento de crédito ou, se desativou, voltou a congelá-lo depois
  • Se a Experian não mudar seu processo de autenticação, a conta de Krebs na Experian poderá ser tomada novamente
  • A Experian já acumulou no passado outros incidentes ligados a falhas básicas de autenticação
    • Em dezembro de 2022, foi descoberto um método de contorno que permitia acessar o relatório de crédito completo de um consumidor apenas com nome, endereço, data de nascimento e Social Security number, e a Experian reconheceu que a falha persistiu por quase sete semanas, de 9 de novembro a 26 de dezembro de 2022
    • Em abril de 2021, a autenticação da página de recuperação de PIN da Experian era fraca a ponto de permitir que ladrões de identidade desativassem o congelamento do arquivo de crédito de consumidores
    • No mesmo mês, veio a público um caso em que uma API da Experian expôs as pontuações de crédito da maioria dos americanos
  • Casos anteriores relacionados incluem a ação coletiva de 2022 sobre segurança de contas, a exposição de PINs de congelamento de crédito em 2017, a violação de 15 milhões de clientes em 2015, a permissão de acesso a 200 milhões de registros de consumidores em 2014 e o caso de 2013 em que dados de consumidores foram vendidos a um serviço de roubo de identidade

1 comentários

 
GN⁺ 2023-11-12
Comentários no Hacker News
  • O problema fundamental aqui é que o custo de manter a segurança é alto, e às vezes sai mais barato lidar com as consequências depois de ser hackeado
    A única solução é fazer com que a empresa hackeada pague um custo muito alto, por meio de multas e ações judiciais das vítimas de roubo de identidade

    • O custo não é tão alto assim
      Por alguns centavos por consulta a um relatório de crédito, dá para usar autenticação baseada em conhecimento, como “onde você morou” ou “esta linha de crédito é sua?”
      Verificações de identidade baseadas em credenciais governamentais, como ID.me ou Stripe Identity, também ficam na faixa de US$ 1,50 a US$ 2,00 por tentativa
      O problema é que o prejuízo por fraude é repassado ao consumidor, então não há incentivo para aumentar um pouco o custo e reduzir fraudes, e as agências de crédito também não querem que seu fosso competitivo e suas fontes de receita sejam corroídos
      Em resumo, com um sistema nacional de identidade digital melhor, esse problema desapareceria
      Trabalho em fintech, cuidando de IAM de clientes, incluindo verificação de identidade, e também faço algum trabalho relacionado ao Login.gov como ativista cívico
    • “Manter a segurança é caro” pode ser verdade até certo ponto, mas, se todo o negócio consiste em oferecer garantias com base na identidade das pessoas, deveriam se esforçar muito mais para tornar o serviço mais seguro
      Se operar com segurança é caro demais, então é preciso questionar antes de tudo se um serviço desses deveria existir e se ele tem legitimidade para armazenar tantos dados pessoais e privados
    • Chama a atenção que esse problema de verificar identidade usando SSN não se aplica à jurisdição do GDPR
      O GDPR pode impor multas de até 4% do faturamento global
  • Claro que nós não somos clientes dessas empresas de vigilância
    Ainda assim, é surpreendente que a segurança esteja praticamente ausente e que isso não seja motivo para os clientes reais interromperem as transações
    Se este serviço permite que basicamente qualquer pessoa se passe por qualquer outra, não entendo por que alguém o usaria

    • Essas contas não são para as pessoas que pagam a Experian
      As empresas pagam à Experian para acessar informações sobre indivíduos, e o único motivo pelo qual a Experian permite contas individuais é que ela é obrigada por lei a oferecer coisas como congelamento de crédito e relatórios de crédito anuais
      Se não fosse obrigada, não faria nada disso, e não há nenhum incentivo para melhorar a experiência ou a segurança
    • O objetivo é garantir negação plausível, transferindo ao máximo para o consumidor, e não para a empresa, o risco grave do roubo de identidade
    • Quando o roubo de identidade se tornar tão comum que os dados deixarem de ser estatisticamente confiáveis, já teremos passado há muito do ponto em que até o Congresso sentiria que precisa fazer alguma coisa
    • Existe alguma escolha? Onde eu moro, não dá para sair da Experian nem de outros serviços de avaliação de crédito
    • Dados pessoais precisam de uma lei como a HIPAA
  • Dando um passo atrás e olhando para o quadro geral, o verdadeiro problema é a ausência de leis de privacidade
    Bancos, empresas e empregadores deveriam ser proibidos de compartilhar informações pessoais com terceiros
    Na Suíça, onde moro, é de fato assim, e nem o governo consegue obter essas informações
    Se o governo suspeitar de evasão fiscal, precisa conseguir um mandado e seguir o mesmo procedimento de qualquer outro crime
    Os únicos registros financeiros acessíveis são os registros de processos legais de cobrança de dívidas, chamados “Betreibungen”
    Antes de conceder crédito a alguém, é possível verificar se outras pessoas tiveram de chegar ao ponto de processá-la para receber dinheiro
    E, mesmo sem agências de crédito, tudo funciona bem com tão pouca informação
    No entanto, por causa de pressões internacionais como a FATCA, a lei suíça mudou e os bancos passaram a reportar informações sobre clientes internacionais

    • “Tudo funciona bem” certamente deve ter sido ótimo para pessoas como ditadores e sonegadores
      A Suíça mostra bem por que a privacidade financeira total não é justa para contribuintes comuns
      Porque permite que os ultrarricos escondam os impostos que deveriam pagar
    • Acho que esse problema seria resolvido se o número de Seguro Social não fosse tratado como um substituto sério para uma identidade nacional segura
    • Fico curioso para saber como a privacidade financeira e as leis de relatório de crédito da Suíça diferem das de países da UE
      Há uma passagem dizendo que “cerca de 36% dos suíços possuem uma casa ou apartamento, uma das menores taxas do Ocidente e muito abaixo da média de 70% da União Europeia e dos 67% dos EUA”
      Deve haver muitos fatores, mas, se houver menos informação sobre solvência, imagino que as pessoas fiquem menos dispostas a financiar grandes compras de alguém
      [1] https://www.nytimes.com/2023/11/06/realestate/zurich-switzer...
    • É exatamente isso
      A empresa onde trabalho, cujo nome não vou dizer, é uma FAANG, e quando compramos dados dela e recebemos cookies da Experian, usamos isso para melhorar o rastreamento e a construção de grafos
      Os EUA continuam dizendo que se importam com a privacidade de seus cidadãos, mas na prática não se importam
      Se leis de privacidade fossem aplicadas com rigor, acho que isso afetaria até áreas como contas bancárias, porque as big techs estão no topo das 500 maiores ações
  • Há uma petição no Resistbot para tentar fazer com que legisladores vejam este problema
    https://resist.bot/petitions/PONADR

    • Não sou americano e é a primeira vez que vejo isso, mas o alcance parece limitado
      https://resist.bot/petitions
      Na Alemanha há, por exemplo, o Campact, que normalmente passa de 200 mil assinaturas por petição
      Se não houver algo assim nos EUA, acho que alguém com dinheiro deveria criar, ou então promover uma solução existente como a OpenPetition para um número suficiente de signatários recorrentes
      https://en.wikipedia.org/wiki/Campact
  • Se existem três bureaus de crédito, há alguma forma de evitar ter uma pontuação de crédito em um deles?
    Acho que, como consumidor, isso poderia ser uma forma de aumentar a concorrência nesse setor
    Pesquisei, mas não parece haver uma opção fácil

    • Não há como sair dos relatórios de crédito
      Como os credores normalmente reportam informações para os três principais bureaus de crédito, para impedir que qualquer informação seja reportada seria preciso fechar todos os cartões de crédito e empréstimos e colocar um congelamento no relatório de crédito
      Acho que “aumentar a concorrência” não funcionaria aqui
      Nós não somos clientes dos bureaus de crédito; somos o produto, e os clientes são os credores e outras pessoas que precisam das nossas informações
      Do ponto de vista dos credores, essa estrutura funciona bem, porque a responsabilidade de verificar corretamente a identidade do solicitante antes de conceder crédito é transferida para o público individual na forma do ônus do “roubo de identidade”, em vez de ficar com o credor
      A própria expressão “roubo de identidade” é quase um nome equivocado criado para jogar a responsabilidade sobre o indivíduo
      Idealmente, a responsabilidade de impedir que criminosos abusem das minhas informações, e de corrigir a situação quando criminosos tentam usar minhas informações de forma fraudulenta, deveria ser dos credores
      Uma solução melhor é elevar os padrões de verificação de identidade dos credores
      Isso transferiria para os credores o ônus de realmente verificar a identidade antes de conceder crédito
      Alguns credores de fato verificam razoavelmente bem, mas outros parecem aceitar as informações recebidas sem questionamento
      Padrões elevados em todo o setor, sejam voluntários ou impostos por lei, ajudariam a resolver esse problema
    • Acho que esse tipo de mudança precisa mesmo acontecer
      Os bureaus de crédito operam quase como empresas privadas de utilidade pública, com pouquíssimas opções
      Se fossem como apps gerenciadores de senhas, você poderia avaliar várias empresas, escolher a que quisesse e migrar a qualquer momento se surgisse algum problema
    • O problema é que nós não somos os consumidores
      Eles recebem nossos dados de todas as empresas com as quais fazemos negócio
      Seria preciso identificar, caso a caso, todos os elos ligados aos bureaus de crédito
      Talvez, se você não tivesse cartão de crédito nem pegasse empréstimos, pudesse ficar um pouco protegido da “investigação” deles
    • As empresas reportam dados a eles
      Portanto, seria preciso evitar empresas que reportam a um deles, mas normalmente elas reportam a vários bureaus ao mesmo tempo
    • Como consumidor, é impossível
      Como empresa, você pode reportar ao bureau que quiser
  • Alguns dias atrás criei meu perfil e tentei fazer login para ver o que estava acontecendo na conta, mas o site estava tão quebrado que eu nem consegui entrar
    Se eu nem consigo ser eu mesmo, não sei como alguém poderia se passar por mim

    • Para se passar por você, basta passar pelos canais usados pelos clientes da Experian
      O que você usou não é o canal para clientes da Experian, e sim o canal usado pelas pessoas que são um fardo para a Experian
  • Nas últimas semanas venho recebendo incontáveis e-mails de confirmação de compra de grandes varejistas como Casas Bahia, Americanas e Magazine Luiza
    Várias notas fiscais de smartphones e notebooks trazem meu nome e CPF
    Entrei em contato com todos os varejistas, mas parece que só a Magazine Luiza reconheceu a fraude e emitiu um alerta; mesmo assim, continuo recebendo notas fiscais
    Procurei a polícia local e registrei um boletim de ocorrência; não sei como traduzir isso, mas é um documento que descreve o problema e a situação em que não pude tomar medidas de resposta
    Estou muito ansioso com as consequências que isso pode trazer e me sinto completamente impotente para proteger minha identidade

    • Já passei por uma situação parecida, e acho que você está indo na direção certa
      Entre em contato com a ouvidoria de cada empresa e explique a situação
      Mesmo que elas não resolvam de fato o problema, fica o registro de que você tentou resolver de forma amigável
      No pior caso, o varejista pode repassar a cobrança fraudulenta para uma empresa de cobrança e reportá-la aos bureaus de crédito
      Não pague nem um centavo dessa dívida fraudulenta, e também não negocie
      Como é fraude, a única opção aceitável é a dívida desaparecer
      O dinheiro em jogo é deles; se você pagar, a responsabilidade passa para você
      Como você já tem o Boletim de Ocorrência e provas de contato com a empresa, como números de protocolo e datas, se isso entrar nos bureaus de crédito, processe e peça indenização por danos
      É uma ação simples e comum, que tanto os bureaus de crédito quanto os varejistas vão querer encerrar por acordo
      Eles fizeram você gastar seu tempo, então devem pagar por isso
      Eles não têm prova de que foi você quem fez a transação
      E, se varejistas, bancos e operadoras de cartão de crédito realmente quisessem evitar fraudes, toda compra e cadastro exigiria proteções do nível de uma transação imobiliária
      Seriam necessárias assinatura, reunião presencial, pagamento adiantado, banco, advogado, cartório e até assinatura criptográfica; e existe e-CPF, mas ninguém usa
      Mas impedir 100% das fraudes significa atrito, e varejistas normais não gostam de atrito
      No fim, é uma decisão de negócio deles, aceitando o risco para receber dinheiro com mais facilidade
    • Como essa fraude funciona? A pessoa compra um produto e fornece ao vendedor os dados de uma pessoa aleatória, ou seja, suas informações de identidade?
  • Na maioria dos contextos, fornecer informações falsas de uma forma que prejudique alguém é calúnia ou difamação
    Precisamos reavaliar se o relatório de crédito merece ser uma exceção a essa responsabilidade, e em quais condições isso deveria acontecer

    • Exato
      Se um bureau de crédito transmite informações falsas sobre nós a um credor e, por causa disso, não conseguimos crédito ou pagamos juros mais altos do que seria justo, deveríamos poder vencer uma ação por indenização por danos financeiros
      Não deveria importar se eles sabiam que a informação era falsa
      Seja por negligência ou por má-fé, o dano ocorreu
    • Na prática, o modo como eles funcionam está mais para “a empresa X me disse que a pessoa Y tem uma conta”
      Para quem não é uma pessoa famosa, é preciso haver pelo menos negligência na verificação dos fatos para caracterizar difamação
      Ou seja, a negligência só existe quando há conhecimento razoável para acreditar que a informação é falsa
      Se você informa ao bureau de crédito que a conta é fraudulenta, está notificando que aquela conta na verdade não é sua; e, se eles removerem essa conta do relatório, deixam de ser responsáveis por divulgar essas informações difamatórias no futuro
  • Na semana passada, recebi duas notificações de vazamento de dados
    Uma veio do meu prestador de serviços de saúde; a outra, do banco que detém minha hipoteca
    Ambas disseram para eu bloquear meu crédito e ofereceram 1 ano de monitoramento de crédito gratuito
    Isso é ridiculamente insuficiente, então acho que é preciso haver muito mais regulamentação nessa área
    Deveriam ser oferecidos monitoramento de crédito vitalício, seguro integral contra qualquer fraude financeira feita em meu nome e indenização imediata por danos presumidos
    A causa raiz é que o sistema de identidade dos EUA é uma bagunça
    Ele não distingue entre um identificador único, ou seja, o SSN, e um valor secreto, também o SSN
    Todas as outras perguntas de segurança também acabam sendo apenas variações do mesmo fator de autenticação, “algo que você sabe”, que golpistas conseguem obter facilmente
    Literalmente não existe um método consensual para provar que você é você
    Os DMVs deveriam começar a emitir documentos de identidade físicos com recursos digitais, como cartões de crédito
    Precisamos de algo como Apple Pay ou Android Pay para verificação de identidade online, e os bancos deveriam ser obrigados a oferecer suporte a documentos de identidade digitais
    Também deveria haver fiscalização pesada contra quem fizer mau uso de documentos de identidade digitais
    Acho que, por ignorarmos esse problema, pelo menos dezenas de bilhões de dólares do PIB desaparecem todos os anos em fraudes
    Mais importante ainda, isso corrói lentamente nossa condição de Estado de Direito

    • Quanto à ideia de que o DMV deveria emitir documentos de identidade físicos com recursos digitais, o problema é que existe um grupo muito barulhento que vê esse tipo de coisa como interferência excessiva do governo, chegando literalmente à marca da besta
      A emissão em si também é difícil, e os estados que costumam fechar locais de votação em bairros da classe trabalhadora e cortar o orçamento do DMV vão lutar até o fim contra uma forma de implementação que teria de ser gratuita para todos
    • Como tudo isso funcionaria magicamente online?
      A resposta é que seria preciso fornecer algum valor secreto digital que conceda acesso, como hoje se fornece o SSN
      Então esse valor secreto digital ficaria nos mesmos lugares online em que hoje fica o SSN e seria vulnerável aos mesmos tipos de ataques
      Não entendo o que isso consertaria
  • Seguindo o conselho do artigo, criei uma conta para impedir que outra pessoa se registrasse, e aparentemente fui inscrito automaticamente em uma conta corrente digital
    Eu não queria nada disso