Experimentální chyba právě odhalila PIN chránící kreditní data

Zmrazení úvěrů jsou nejlepší způsob, jak zabránit podvodům s novými účty, kde zločinci otevřou falešné účty ve vašem jménu. Jeden z webových stránek úvěrového úřadu však utrpěl obtížné obcházení zabezpečení, které má zajistit, aby vaše kreditní zprávy byly v bezpečí.

Stránka Experian odhalila osobní identifikační čísla - PINy potřebné k rozmrazení úvěrů zmrazí - poté, co uživatelé odpověděli na bezpečnostní otázky s odpovědí na plochu: Žádné z výše uvedených.

Více než před rokem hlásil bezpečnostní expert Brian Krebs podobnou chybu. V tomto okamžiku museli lidé správně odpovědět na čtyři otázky "autentizace založené na znalostech", které byly použity k jejich identifikaci. Problémem s touto metodou je podle Krebsa, že osobní informace potřebné k úspěšnému odhalení odpovědí jsou snadno dostupné online prostřednictvím obchodních i kriminálních stránek.

Ale několik hodin ve čtvrtek - a pro koho víte, jak dlouho předtím - nemusíte ani hádat.

Čtenář nás upozorňoval na tuto záležitost a někteří z nás, kteří měli zmrazení úvěrů, jej dokázali replikovat. Zeptali jsme se našich stoupenců na Facebooku a Twitteru a slyšeli od ostatních, kteří také měli přístup ke svým PINům.

Chyba v normálním procesu

Chcete-li získat čísla, lidé vyplnili formulář na stránce získávání kódu PIN společnosti Experian s jménem, ​​adresou, číslem sociálního pojištění a datem narození - přesně takovými informacemi, které byly ohroženy v loňském porušení společnosti Equifax a které jsou snadno dostupné k prodeji na tmavém webu. Formulář vyžadoval e-mailovou adresu, která nemusí nutně odpovídat účtu Experian. Odpovědět "žádné z výše uvedených" bezpečnostní otázky - i když některé z nabízených odpovědí byly správné - umožnily přístup k PINu této osoby.

Pomocí kódu PIN může někdo rozmrazit zmrazení úvěru a požádat o úvěr ve svém jménu.

Spotřebitelský obhájce Mike Litt byl také schopen načíst svůj PIN pomocí chyby. "Není to naprosto ospravedlnění," říká Litt, ředitel kampaně pro organizaci obhajování veřejného zájmu USA PIRG. "Jak jen necháš klíče ke dveřím na vrcholu uvítací podložky?"

Experianský mluvčí vydal ve čtvrtek odpoledne prohlášení, v němž uvedlo: "I když jsme přesvědčeni, že naše ověření je bezpečné a žádné kreditní soubory nejsou ohroženy, podnikli jsme další kroky k zajištění bezpečnosti procesu. Nadále pravidelně monitorujeme naše systémy a podnikáme okamžité kroky, pokud je to zapotřebí k posílení bezpečnosti dat."

Dochází k chybovým hlášením

Pozdě ve čtvrtek mnozí z nás začali dostávat chybové zprávy, které měly na první místo generovat naše reakce. Byli jsme přesměrováni na zásilku Experian s našimi identifikačními informacemi, jako jsou kopie řidičského průkazu, účty za služby a karty sociálního zabezpečení.

Americká pošta, v případě, že je třeba říci, není bezpečným způsobem, jak tyto informace předávat. Ale jelikož tyto detaily jsou pravděpodobné už v zločineckých rukou, necháme to teď.

Je to ještě další připomínka toho, že musíme sledovat naše kreditní zprávy a skóre pro podvodné účty, a to i v případě, že máme zmrazené úvěry - jak jsme ještě měli.

To, co je opravdu strašlivé, je to, že zmrazení bezpečnostních opatření má být jedním z mála účinných strážců, kteří se lidé mohou postavit proti podvodům. To je důvod, proč bezpečnostní experti doporučují je léta, a proč Kongres konečně zmrazil a rozmrazil se od 21. září.

Jednoduchost, s jakou by mohla být tato zásadní ochrana potlačena, nám říká, že úvěrové kanceláře stále neberou dostatečně vážně bezpečnost našich informací.

Do této zprávy přispěl spisovatel Bev O'Shea.