Na Experian, ainda é fácil para qualquer pessoa se passar por você
(krebsonsecurity.com)- Contas da Experian podiam ser tomadas ao serem registradas novamente com os mesmos dados pessoais e um endereço de e-mail diferente, e a falha de autenticação revelada em 2022 ainda permanecia 16 meses depois
- O novo registro era feito com Social Security number, data de nascimento, nome, endereço, e-mail, senha e perguntas de segurança baseadas em conhecimento; a verificação por celular podia ser contornada com “Continue another way”
- Quando a nova conta era criada, era possível visualizar o arquivo de crédito completo e ativar ou desativar o congelamento de crédito, e o e-mail antigo recebia apenas uma notificação de alteração, não um pedido de aprovação
- Equifax e TransUnion exigem confirmação por código enviado ao e-mail ou telefone já cadastrados ao alterar uma conta existente, mas a Experian não oferecia ao usuário anterior aprovação da mudança nem meios de recuperação
- Se um invasor consegue recriar a conta com um novo número de telefone e e-mail, a autenticação multifator no momento do login, por si só, dificilmente impede a tomada da conta
A Experian permitia recriar a conta com outro e-mail
- No verão de 2022, foi confirmado um caso em que uma conta da Experian foi tomada após ser registrada novamente com outro endereço de e-mail
- Mesmo 16 meses depois, o mesmo problema continuava, e a própria conta da Experian de Krebs havia sido tomada recentemente
- Ele solicitou uma cópia do arquivo de crédito da Experian por meio do annualcreditreport.com, mas a Experian recusou alegando que não conseguia verificar sua identidade
- O login direto em Experian.com também falhou, e o site informou que não reconhecia o nome de usuário ou a senha
- No processo para recuperar o nome de usuário, eram exigidos o Social Security number completo e a data de nascimento, e depois foi exibida parte de um endereço de e-mail que Krebs não aprovou nem conhecia
Fragilidades de autenticação expostas no processo de novo registro
- A página inicial da Experian solicitava o Social Security number e um número de celular, informando que enviaria um link de verificação de identidade
- Ao que tudo indicava, o site não bloqueava nem mesmo um número de telefone aleatório dos EUA, e essa etapa podia ser ignorada ao selecionar “Continue another way”
- Em seguida, para recriar a conta, eram exigidas as seguintes informações
- nome completo
- endereço
- data de nascimento
- Social Security number
- endereço de e-mail
- senha escolhida
- Na etapa seguinte, era preciso responder de 3 a 5 perguntas de segurança de múltipla escolha, cujas respostas muitas vezes se baseavam em registros públicos
- Quando Krebs recriou a conta, apenas 2 das 5 perguntas tinham relação com informações reais, e ambas eram sobre endereços de residências anteriores
- Depois de passar pelas perguntas de múltipla escolha, o usuário definia um PIN de 4 dígitos e uma nova resposta para uma das perguntas predefinidas
- Após a criação da nova conta, era possível acessar o painel da Experian, onde se podia ver o arquivo de crédito completo e ativar ou desativar o congelamento de crédito
Para o usuário antigo, sobra apenas a notificação de alteração
- Quando os dados da conta mudam, a Experian envia ao endereço de e-mail anterior uma mensagem informando que parte do perfil do usuário foi alterada
- Essa mensagem não é um pedido de confirmação, mas apenas uma notificação de mudança, e a única ação oferecida ao usuário antigo é clicar no link de login do Experian.com
- Depois de receber a notificação, o usuário original já não consegue mais entrar com as credenciais antigas da conta da Experian
- Como o PIN e a pergunta de recuperação da conta também já foram alterados, para recuperar a conta o usuário anterior precisa criar outra vez uma conta na Experian
- Equifax e TransUnion só permitem a alteração de contas existentes após a inserção de um código enviado ao endereço de e-mail ou número de telefone já registrados
A resposta da Experian e os casos verificados por leitores
- A Experian se recusou a compartilhar o endereço de e-mail completo adicionado sem autorização ao arquivo de crédito de Krebs
- O porta-voz da Experian, Scott Anderson, afirmou que a empresa implementou e continua evoluindo uma abordagem de segurança em múltiplas camadas para proteger a identidade e as informações dos consumidores, incluindo medidas manuais e ativas
- Segundo Anderson, essas medidas incluem perguntas e respostas baseadas em conhecimento e procedimentos de verificação de posse e propriedade do dispositivo
- Todos os consumidores podem ativar a autenticação multifator solicitada em cada login da conta, mas sua eficácia é limitada se a conta puder ser recriada com um novo telefone e e-mail
- Leitores que viram a publicação sobre a Experian no Mastodon também confirmaram o mesmo problema
- @Jackerbee disse que inseriu um segundo número de telefone e um novo endereço de e-mail, e que o e-mail antigo recebeu apenas uma única mensagem dizendo que as informações haviam sido atualizadas, sem qualquer verificação do e-mail já existente
- Também não houve alerta por SMS para o número de telefone antigo, e depois disso o 2FA passou a funcionar com o novo número
- PeteMayo recriou a conta da Experian duas vezes na mesma semana, e na segunda usou um número aleatório de telefone fixo
- No caso de PeteMayo, após cinco perguntas sobre seu histórico pessoal, foi concedido acesso total com a mensagem “Welcome back, Pete!”
Incidentes de segurança recorrentes na Experian
- O invasor que tomou a conta de Krebs aparentemente não desativou o congelamento de crédito ou, se desativou, voltou a congelá-lo depois
- Se a Experian não mudar seu processo de autenticação, a conta de Krebs na Experian poderá ser tomada novamente
- A Experian já acumulou no passado outros incidentes ligados a falhas básicas de autenticação
- Em dezembro de 2022, foi descoberto um método de contorno que permitia acessar o relatório de crédito completo de um consumidor apenas com nome, endereço, data de nascimento e Social Security number, e a Experian reconheceu que a falha persistiu por quase sete semanas, de 9 de novembro a 26 de dezembro de 2022
- Em abril de 2021, a autenticação da página de recuperação de PIN da Experian era fraca a ponto de permitir que ladrões de identidade desativassem o congelamento do arquivo de crédito de consumidores
- No mesmo mês, veio a público um caso em que uma API da Experian expôs as pontuações de crédito da maioria dos americanos
- Casos anteriores relacionados incluem a ação coletiva de 2022 sobre segurança de contas, a exposição de PINs de congelamento de crédito em 2017, a violação de 15 milhões de clientes em 2015, a permissão de acesso a 200 milhões de registros de consumidores em 2014 e o caso de 2013 em que dados de consumidores foram vendidos a um serviço de roubo de identidade
1 comentários
Comentários no Hacker News
O problema fundamental aqui é que o custo de manter a segurança é alto, e às vezes sai mais barato lidar com as consequências depois de ser hackeado
A única solução é fazer com que a empresa hackeada pague um custo muito alto, por meio de multas e ações judiciais das vítimas de roubo de identidade
Por alguns centavos por consulta a um relatório de crédito, dá para usar autenticação baseada em conhecimento, como “onde você morou” ou “esta linha de crédito é sua?”
Verificações de identidade baseadas em credenciais governamentais, como ID.me ou Stripe Identity, também ficam na faixa de US$ 1,50 a US$ 2,00 por tentativa
O problema é que o prejuízo por fraude é repassado ao consumidor, então não há incentivo para aumentar um pouco o custo e reduzir fraudes, e as agências de crédito também não querem que seu fosso competitivo e suas fontes de receita sejam corroídos
Em resumo, com um sistema nacional de identidade digital melhor, esse problema desapareceria
Trabalho em fintech, cuidando de IAM de clientes, incluindo verificação de identidade, e também faço algum trabalho relacionado ao Login.gov como ativista cívico
Se operar com segurança é caro demais, então é preciso questionar antes de tudo se um serviço desses deveria existir e se ele tem legitimidade para armazenar tantos dados pessoais e privados
O GDPR pode impor multas de até 4% do faturamento global
Claro que nós não somos clientes dessas empresas de vigilância
Ainda assim, é surpreendente que a segurança esteja praticamente ausente e que isso não seja motivo para os clientes reais interromperem as transações
Se este serviço permite que basicamente qualquer pessoa se passe por qualquer outra, não entendo por que alguém o usaria
As empresas pagam à Experian para acessar informações sobre indivíduos, e o único motivo pelo qual a Experian permite contas individuais é que ela é obrigada por lei a oferecer coisas como congelamento de crédito e relatórios de crédito anuais
Se não fosse obrigada, não faria nada disso, e não há nenhum incentivo para melhorar a experiência ou a segurança
Dando um passo atrás e olhando para o quadro geral, o verdadeiro problema é a ausência de leis de privacidade
Bancos, empresas e empregadores deveriam ser proibidos de compartilhar informações pessoais com terceiros
Na Suíça, onde moro, é de fato assim, e nem o governo consegue obter essas informações
Se o governo suspeitar de evasão fiscal, precisa conseguir um mandado e seguir o mesmo procedimento de qualquer outro crime
Os únicos registros financeiros acessíveis são os registros de processos legais de cobrança de dívidas, chamados “Betreibungen”
Antes de conceder crédito a alguém, é possível verificar se outras pessoas tiveram de chegar ao ponto de processá-la para receber dinheiro
E, mesmo sem agências de crédito, tudo funciona bem com tão pouca informação
No entanto, por causa de pressões internacionais como a FATCA, a lei suíça mudou e os bancos passaram a reportar informações sobre clientes internacionais
A Suíça mostra bem por que a privacidade financeira total não é justa para contribuintes comuns
Porque permite que os ultrarricos escondam os impostos que deveriam pagar
Há uma passagem dizendo que “cerca de 36% dos suíços possuem uma casa ou apartamento, uma das menores taxas do Ocidente e muito abaixo da média de 70% da União Europeia e dos 67% dos EUA”
Deve haver muitos fatores, mas, se houver menos informação sobre solvência, imagino que as pessoas fiquem menos dispostas a financiar grandes compras de alguém
[1] https://www.nytimes.com/2023/11/06/realestate/zurich-switzer...
A empresa onde trabalho, cujo nome não vou dizer, é uma FAANG, e quando compramos dados dela e recebemos cookies da Experian, usamos isso para melhorar o rastreamento e a construção de grafos
Os EUA continuam dizendo que se importam com a privacidade de seus cidadãos, mas na prática não se importam
Se leis de privacidade fossem aplicadas com rigor, acho que isso afetaria até áreas como contas bancárias, porque as big techs estão no topo das 500 maiores ações
Há uma petição no Resistbot para tentar fazer com que legisladores vejam este problema
https://resist.bot/petitions/PONADR
https://resist.bot/petitions
Na Alemanha há, por exemplo, o Campact, que normalmente passa de 200 mil assinaturas por petição
Se não houver algo assim nos EUA, acho que alguém com dinheiro deveria criar, ou então promover uma solução existente como a OpenPetition para um número suficiente de signatários recorrentes
https://en.wikipedia.org/wiki/Campact
Se existem três bureaus de crédito, há alguma forma de evitar ter uma pontuação de crédito em um deles?
Acho que, como consumidor, isso poderia ser uma forma de aumentar a concorrência nesse setor
Pesquisei, mas não parece haver uma opção fácil
Como os credores normalmente reportam informações para os três principais bureaus de crédito, para impedir que qualquer informação seja reportada seria preciso fechar todos os cartões de crédito e empréstimos e colocar um congelamento no relatório de crédito
Acho que “aumentar a concorrência” não funcionaria aqui
Nós não somos clientes dos bureaus de crédito; somos o produto, e os clientes são os credores e outras pessoas que precisam das nossas informações
Do ponto de vista dos credores, essa estrutura funciona bem, porque a responsabilidade de verificar corretamente a identidade do solicitante antes de conceder crédito é transferida para o público individual na forma do ônus do “roubo de identidade”, em vez de ficar com o credor
A própria expressão “roubo de identidade” é quase um nome equivocado criado para jogar a responsabilidade sobre o indivíduo
Idealmente, a responsabilidade de impedir que criminosos abusem das minhas informações, e de corrigir a situação quando criminosos tentam usar minhas informações de forma fraudulenta, deveria ser dos credores
Uma solução melhor é elevar os padrões de verificação de identidade dos credores
Isso transferiria para os credores o ônus de realmente verificar a identidade antes de conceder crédito
Alguns credores de fato verificam razoavelmente bem, mas outros parecem aceitar as informações recebidas sem questionamento
Padrões elevados em todo o setor, sejam voluntários ou impostos por lei, ajudariam a resolver esse problema
Os bureaus de crédito operam quase como empresas privadas de utilidade pública, com pouquíssimas opções
Se fossem como apps gerenciadores de senhas, você poderia avaliar várias empresas, escolher a que quisesse e migrar a qualquer momento se surgisse algum problema
Eles recebem nossos dados de todas as empresas com as quais fazemos negócio
Seria preciso identificar, caso a caso, todos os elos ligados aos bureaus de crédito
Talvez, se você não tivesse cartão de crédito nem pegasse empréstimos, pudesse ficar um pouco protegido da “investigação” deles
Portanto, seria preciso evitar empresas que reportam a um deles, mas normalmente elas reportam a vários bureaus ao mesmo tempo
Como empresa, você pode reportar ao bureau que quiser
Alguns dias atrás criei meu perfil e tentei fazer login para ver o que estava acontecendo na conta, mas o site estava tão quebrado que eu nem consegui entrar
Se eu nem consigo ser eu mesmo, não sei como alguém poderia se passar por mim
O que você usou não é o canal para clientes da Experian, e sim o canal usado pelas pessoas que são um fardo para a Experian
Nas últimas semanas venho recebendo incontáveis e-mails de confirmação de compra de grandes varejistas como Casas Bahia, Americanas e Magazine Luiza
Várias notas fiscais de smartphones e notebooks trazem meu nome e CPF
Entrei em contato com todos os varejistas, mas parece que só a Magazine Luiza reconheceu a fraude e emitiu um alerta; mesmo assim, continuo recebendo notas fiscais
Procurei a polícia local e registrei um boletim de ocorrência; não sei como traduzir isso, mas é um documento que descreve o problema e a situação em que não pude tomar medidas de resposta
Estou muito ansioso com as consequências que isso pode trazer e me sinto completamente impotente para proteger minha identidade
Entre em contato com a ouvidoria de cada empresa e explique a situação
Mesmo que elas não resolvam de fato o problema, fica o registro de que você tentou resolver de forma amigável
No pior caso, o varejista pode repassar a cobrança fraudulenta para uma empresa de cobrança e reportá-la aos bureaus de crédito
Não pague nem um centavo dessa dívida fraudulenta, e também não negocie
Como é fraude, a única opção aceitável é a dívida desaparecer
O dinheiro em jogo é deles; se você pagar, a responsabilidade passa para você
Como você já tem o Boletim de Ocorrência e provas de contato com a empresa, como números de protocolo e datas, se isso entrar nos bureaus de crédito, processe e peça indenização por danos
É uma ação simples e comum, que tanto os bureaus de crédito quanto os varejistas vão querer encerrar por acordo
Eles fizeram você gastar seu tempo, então devem pagar por isso
Eles não têm prova de que foi você quem fez a transação
E, se varejistas, bancos e operadoras de cartão de crédito realmente quisessem evitar fraudes, toda compra e cadastro exigiria proteções do nível de uma transação imobiliária
Seriam necessárias assinatura, reunião presencial, pagamento adiantado, banco, advogado, cartório e até assinatura criptográfica; e existe e-CPF, mas ninguém usa
Mas impedir 100% das fraudes significa atrito, e varejistas normais não gostam de atrito
No fim, é uma decisão de negócio deles, aceitando o risco para receber dinheiro com mais facilidade
Na maioria dos contextos, fornecer informações falsas de uma forma que prejudique alguém é calúnia ou difamação
Precisamos reavaliar se o relatório de crédito merece ser uma exceção a essa responsabilidade, e em quais condições isso deveria acontecer
Se um bureau de crédito transmite informações falsas sobre nós a um credor e, por causa disso, não conseguimos crédito ou pagamos juros mais altos do que seria justo, deveríamos poder vencer uma ação por indenização por danos financeiros
Não deveria importar se eles sabiam que a informação era falsa
Seja por negligência ou por má-fé, o dano ocorreu
Para quem não é uma pessoa famosa, é preciso haver pelo menos negligência na verificação dos fatos para caracterizar difamação
Ou seja, a negligência só existe quando há conhecimento razoável para acreditar que a informação é falsa
Se você informa ao bureau de crédito que a conta é fraudulenta, está notificando que aquela conta na verdade não é sua; e, se eles removerem essa conta do relatório, deixam de ser responsáveis por divulgar essas informações difamatórias no futuro
Na semana passada, recebi duas notificações de vazamento de dados
Uma veio do meu prestador de serviços de saúde; a outra, do banco que detém minha hipoteca
Ambas disseram para eu bloquear meu crédito e ofereceram 1 ano de monitoramento de crédito gratuito
Isso é ridiculamente insuficiente, então acho que é preciso haver muito mais regulamentação nessa área
Deveriam ser oferecidos monitoramento de crédito vitalício, seguro integral contra qualquer fraude financeira feita em meu nome e indenização imediata por danos presumidos
A causa raiz é que o sistema de identidade dos EUA é uma bagunça
Ele não distingue entre um identificador único, ou seja, o SSN, e um valor secreto, também o SSN
Todas as outras perguntas de segurança também acabam sendo apenas variações do mesmo fator de autenticação, “algo que você sabe”, que golpistas conseguem obter facilmente
Literalmente não existe um método consensual para provar que você é você
Os DMVs deveriam começar a emitir documentos de identidade físicos com recursos digitais, como cartões de crédito
Precisamos de algo como Apple Pay ou Android Pay para verificação de identidade online, e os bancos deveriam ser obrigados a oferecer suporte a documentos de identidade digitais
Também deveria haver fiscalização pesada contra quem fizer mau uso de documentos de identidade digitais
Acho que, por ignorarmos esse problema, pelo menos dezenas de bilhões de dólares do PIB desaparecem todos os anos em fraudes
Mais importante ainda, isso corrói lentamente nossa condição de Estado de Direito
A emissão em si também é difícil, e os estados que costumam fechar locais de votação em bairros da classe trabalhadora e cortar o orçamento do DMV vão lutar até o fim contra uma forma de implementação que teria de ser gratuita para todos
A resposta é que seria preciso fornecer algum valor secreto digital que conceda acesso, como hoje se fornece o SSN
Então esse valor secreto digital ficaria nos mesmos lugares online em que hoje fica o SSN e seria vulnerável aos mesmos tipos de ataques
Não entendo o que isso consertaria
Seguindo o conselho do artigo, criei uma conta para impedir que outra pessoa se registrasse, e aparentemente fui inscrito automaticamente em uma conta corrente digital
Eu não queria nada disso