"Ainda é fácil para qualquer pessoa se passar por você na Experian"

 (krebsonsecurity.com)
1 pontos por GN⁺ 2023-11-12 | 1 comentários | Compartilhar no WhatsApp

Problemas de segurança persistem na Experian

  • No verão de 2022, foram relatados casos em que contas de relatório de crédito ao consumidor da Experian foram tomadas ao serem registradas novamente apenas com a troca do endereço de e-mail.
  • Mesmo 16 meses depois, a Experian ainda não conseguiu corrigir essa grave falha de segurança.
  • A conta da Experian do próprio repórter também foi hackeada recentemente, e ele precisou criar uma nova conta para recuperar o acesso.

Facilidade no processo de novo registro da conta

  • Ao inserir o SSN (número de seguridade social) e a data de nascimento na Experian, o repórter descobriu que a conta estava vinculada a um endereço de e-mail que ele não havia verificado.
  • O site da Experian exige SSN e data de nascimento para localizar o nome de usuário da conta e mostra parte de um endereço de e-mail não verificado.
  • A Experian ainda permite recriar uma conta de arquivo de crédito usando informações pessoais e outro endereço de e-mail.

Fragilidade no processo de criação de conta

  • A página inicial da Experian solicita SSN e número de celular, dizendo que enviará um link para verificação de identidade.
  • O usuário pode pular a etapa de inserir o número de telefone e, em seguida, precisa informar nome, endereço, data de nascimento, SSN, endereço de e-mail e senha.
  • Também é necessário responder de 3 a 5 perguntas de segurança de múltipla escolha, mas essas perguntas em sua maioria se baseiam em registros públicos e podem ser encontradas com facilidade.

Falta de notificação por e-mail ao alterar a conta

  • Quando uma nova conta é criada, a Experian envia ao endereço de e-mail anterior uma notificação sobre a alteração no perfil do usuário.
  • Essa notificação não é um pedido de validação das mudanças, e o usuário original não pode tomar nenhuma medida além de clicar em um link para fazer login em Experian.com.

A importância da conta da Experian

  • Se você não tiver uma conta da Experian, poderá criar uma para receber notificações por e-mail quando seu arquivo de crédito for alvo de apropriação indevida.
  • Se a conta for sequestrada, as credenciais de login existentes, o PIN e as perguntas de recuperação da conta são todos alterados, de modo que não resta alternativa além de recriar a conta para retomá-la do invasor.

Comparação com outras agências de crédito

  • Outras grandes agências de relatório de crédito ao consumidor, como Equifax e TransUnion, exigem a inserção de um código enviado ao endereço de e-mail ou número de telefone registrado no arquivo quando há alteração na conta.

A resposta da Experian

  • O porta-voz da Experian, Scott Anderson, se recusou a compartilhar informações sobre o endereço de e-mail não verificado.
  • Anderson afirmou que a Experian adotou uma abordagem de segurança em múltiplas camadas, incluindo perguntas e respostas baseadas em conhecimento e processos de verificação de propriedade e posse do dispositivo.

Problemas na eficácia de múltiplos fatores de autenticação

  • Todos os consumidores têm a opção de ativar fatores múltiplos de autenticação exigidos a cada login, mas isso se torna inútil se a conta puder ser recriada com um novo número de telefone e endereço de e-mail.

Experimento de usuários do Mastodon

  • Usuários do Mastodon testaram os problemas de segurança da Experian e verificaram as descobertas do repórter.
  • Quando a Experian solicitava o número de telefone e os quatro últimos dígitos do SSN, os usuários escolhiam a opção “inserir minhas informações manualmente” e informavam um novo número de telefone e um novo endereço de e-mail.
  • Nenhuma verificação foi exigida no endereço de e-mail original, e a 2FA (autenticação em dois fatores) era feita com o novo número de telefone.

Problemas de segurança anteriores da Experian

  • Em dezembro de 2022, o KrebsOnSecurity descobriu um método simples de contornar a segurança da Experian e acessar o relatório de crédito completo de qualquer consumidor.
  • Em abril de 2021, o KrebsOnSecurity revelou ladrões de identidade que desbloqueavam arquivos de crédito de consumidores explorando a autenticação frouxa na página de recuperação de PIN da Experian.
  • A Experian já foi criticada diversas vezes no passado por vários problemas de segurança.

Opinião do GN⁺

  • O ponto mais importante é que a Experian ainda não conseguiu corrigir uma grave vulnerabilidade de segurança, o que pode colocar em risco as informações de crédito dos usuários.
  • Este artigo oferece uma conscientização importante aos consumidores sobre quais medidas devem tomar para proteger suas informações de crédito.
  • Os problemas de segurança da Experian estão diretamente ligados à privacidade das informações pessoais dos consumidores, e isso é uma questão de grande relevância para todos.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-11-12
Comentários do Hacker News

  • Os clientes das empresas de espionagem não somos nós, mas surpreende que a falta de segurança não seja motivo para os clientes reais interromperem os negócios.

    • Questiona-se o próprio sentido da existência desses serviços, já que a segurança das empresas de espionagem é tão fraca que permite usá-los para se passar por outras pessoas.

  • Se os executivos da Experian continuarem tendo suas contas invadidas da mesma forma, em algum momento haverá mudança.

    • Supõe-se que, se os executivos da Experian passarem repetidamente por invasões de conta, pode haver alguma mudança em relação a esse problema.

  • Não consigo entender como a Experian consegue escapar de processos apesar de falhar em proteger os clientes.

    • Expressa incompreensão sobre a base legal que permite à Experian continuar operando mesmo sem proteger adequadamente as informações dos clientes.

  • Nas últimas semanas, tenho recebido sem parar e-mails de confirmação de compra de smartphones e notebooks em meu nome de grandes varejistas.

    • Explica que recebeu comprovantes de compra contendo seu nome e número de identificação, e que entrou em contato com varejistas e com a polícia, mas teve dificuldades para resolver o problema.

  • Minha conta da Experian foi invadida, o congelamento foi removido e ela foi usada para obter um empréstimo de 100 mil dólares da Ford Credit.

    • Compartilha a experiência de que a conta da Experian foi comprometida, resultando em um empréstimo de grande valor, e que levou muito tempo para resolver a situação.

  • Há uma petição no resistbot pedindo a atenção dos legisladores para esse problema.

    • Compartilha o link de uma petição online para pedir atenção legislativa a esse problema.

  • Precisamos de uma alternativa melhor aos relatórios de crédito.

    • Expressa uma visão crítica de um sistema em que, quando bancos e credores deixaram de poder discriminar diretamente por raça, passaram a discriminar indiretamente por meio das pontuações de crédito.

  • Gostaria de saber se existe alguma forma de evitar ter pontuação de crédito em uma das três agências de crédito.

    • Busca informações sobre como evitar a pontuação de crédito em uma das agências, como consumidor, para incentivar a concorrência.

  • Se ocorrer uma fraude leve (tentativa frustrada de abrir conta ou vazamento de dados), é possível registrar alerta de fraude e congelamento de crédito em todas as agências, reduzindo por um período o risco de correspondência indesejada e de contas fraudulentas reais.

    • Explica que, por meio de alertas de fraude e congelamento de crédito, é possível reforçar os procedimentos de verificação adicional e assim prevenir vários problemas.

  • Tentei fazer login no site da Experian, mas ele era tão instável que eu nem consegui entrar.

    • Compartilha que teve dificuldade para acessar a própria conta por causa de problemas de funcionamento no site da Experian.