1. Puertoscanner en línea
  2. Últimas noticias y artículos sobre ciberseguridad
  3. Aún es Fácil para Cualquiera Convertirse en Usted en Experian

Aún es Fácil para Cualquiera Convertirse en Usted en Experian

En el verano de 2022, KrebsOnSecurity documentado la difícil situación de varios lectores que tenían sus cuentas en big-three consumer credit reporting bureau Experian secuestrado después de que los ladrones de identidad simplemente volvieran a registrar las cuentas con una dirección de correo electrónico diferente. Dieciséis meses después, Experian claramente no ha abordado esta enorme falta de seguridad. Lo sé porque mi cuenta en Experian fue pirateada recientemente, y la única forma en que pude recuperar el acceso fue recreando la cuenta.

Ingresar mi SSN y fecha de nacimiento en Experian mostró que mi identidad estaba vinculada a una dirección de correo electrónico que no autoricé.

Recientemente solicité una copia de mi archivo de crédito a Experian a través de annualcreditreport.com, pero como de costumbre, Experian se negó a proporcionarlo, diciendo que no podían verificar mi identidad. Intenta iniciar sesión en mi cuenta directamente en Experian.com también falló; el sitio dijo que no reconocía mi nombre de usuario y/ o contraseña.

Una solicitud para el nombre de usuario de mi cuenta de Experian requería mi número completo de Seguro Social y fecha de nacimiento, después de lo cual el sitio web mostraba partes de una dirección de correo electrónico que nunca autoricé y que no reconocí (Experian redactó la dirección completa).

Inmediatamente sospeché que Experian seguía permitiendo que cualquiera recreara su cuenta de archivo de crédito utilizando la misma información personal pero una dirección de correo electrónico diferente, una falla de autenticación importante que se exploró en la historia del año pasado, Experian, Tienes Algunas Explicaciones que Hacer.. Así que una vez más busqué volver a registrarme como yo mismo en Experian.

La página de inicio decía que necesitaba proporcionar un número de Seguro Social y un número de teléfono móvil, y que pronto recibiría un enlace en el que debería hacer clic para verificarme. El sitio afirma que el número de teléfono que proporcione se utilizará para ayudar a validar su identidad. Pero parece que podría proporcionar cualquier número de teléfono en los Estados Unidos en esta etapa del proceso, y el sitio web de Experian no se opondría. De todos modos, los usuarios simplemente pueden omitir este paso seleccionando la opción " Continuar de otra manera.”

Experian luego solicita su nombre completo, dirección, fecha de nacimiento, número de Seguro Social, dirección de correo electrónico y contraseña elegida. Después de eso, requieren que responda con éxito entre tres y cinco preguntas de seguridad de opción múltiple cuyas respuestas a menudo se basan en registros públicos. Cuando recreé mi cuenta esta semana, la única pregunta que se refería a mi información real se refería a direcciones de calles anteriores en las que hemos vivido, información que está a solo una búsqueda en Google de distancia.

Suponiendo que navegue por las preguntas de opción múltiple, se le pedirá que cree un PIN de 4 dígitos y responda a una de las varias preguntas de desafío preseleccionadas. Después de eso, se crea su nueva cuenta y se lo dirige al panel de Experian, que le permite ver su archivo de crédito completo y congelarlo o descongelarlo.

En este punto, Experian enviará un mensaje a la antigua dirección de correo electrónico vinculada a la cuenta, diciendo que ciertos aspectos del perfil de usuario han cambiado. Pero este mensaje no es una solicitud que busca verificación: es solo una notificación de Experian de que los datos de usuario de la cuenta han cambiado, y al usuario original se le ofrece cero recursos aquí, aparte de hacer clic en un enlace para iniciar sesión en Experian.com.

Si no tiene una cuenta de Experian, es una buena idea crear una. Porque al menos entonces recibirá uno de estos correos electrónicos cuando alguien secuestre su archivo de crédito en Experian.

Y, por supuesto, un usuario que reciba uno de estos avisos encontrará que sus credenciales para su cuenta de Experian ya no funcionan. Tampoco cuestiona su PIN o recuperación de cuenta, porque esos también han sido cambiados. ¡Su única opción en este momento es recrear su cuenta en Experian y robársela a los ladrones de identidad!

Por el contrario, si intenta volver a crear una cuenta existente en cualquiera de las otras dos principales agencias de informes crediticios del consumidor — Equifax o TransUnión — le pedirán que ingrese un código enviado a la dirección de correo electrónico o al número de teléfono registrado antes de que se puedan realizar cambios.

Contactado para hacer comentarios, Experian se negó a compartir la dirección de correo electrónico completa que se agregó sin autorización a mi archivo de crédito.

"Para garantizar la protección de la identidad y la información de los consumidores, hemos implementado un enfoque de seguridad de varios niveles, que incluye medidas pasivas y activas, y estamos en constante evolución", dijo el portavoz de Experian. Scott Anderson dijo en un comunicado enviado por correo electrónico. "Esto incluye preguntas y respuestas basadas en el conocimiento, y procesos de verificación de la posesión y propiedad del dispositivo.”

Anderson dijo que todos los consumidores tienen la opción de activar un método de autenticación multifactor que se solicita cada vez que inician sesión en su cuenta. Pero, ¿de qué sirve la autenticación multifactor si alguien simplemente puede recrear su cuenta con un nuevo número de teléfono y dirección de correo electrónico?

Varios lectores que vieron mi perorata sobre Experian en Mastodon a principios de esta semana respondí a una solicitud para validar mis hallazgos. El usuario Mastodonte @ Jackerbee es lectora de Michican que trabaja en la industria biotecnológica. @Jackerbee dijo que cuando Experian le pidió que proporcionara su número de teléfono y los últimos cuatro dígitos de su SSN, eligió la opción de " ingresar manualmente mi información.”

"Puse mi segundo número de teléfono y la nueva dirección de correo electrónico", explicó. "Recibí un solo correo electrónico en la bandeja de entrada de mi cuenta original que decía que habían actualizado mi información después de que me registré.'No se requiere verificación de la dirección de correo electrónico original en ningún momento . Tampoco recibí ninguna alerta de texto en el número de teléfono original. La parte especialmente interesante y atroz es que cuando inicio sesión, hace 2FA con el nuevo número de teléfono.”

El usuario Mastodonte PeteMayo dijeron que recrearon su cuenta de Experian dos veces esta semana, la segunda vez al proporcionar un número de teléfono fijo aleatorio.

"La única diferencia: me hizo CINCO preguntas sobre mi historia personal (la última vez solo hizo tres) antes de proclamar: '¡Bienvenido de nuevo, Pete!, 'y otorgando acceso completo", escribió @PeteMayo. "Me siento tonto guardando mi contraseña para Experian; también podría simplemente crear una nueva cuenta cada vez.”

Tuve la suerte de que quien secuestró mi cuenta tampoco descongeló mi congelación de crédito.  O si lo hicieron, cortésmente lo congelaron nuevamente cuando terminaron. Pero espero plenamente que mi cuenta de Experian sea secuestrada una vez más a menos que Experian realice algunos cambios importantes en su proceso de autenticación.

Sorprende que se haya permitido que estas debilidades fundamentales de autenticación persistan durante tanto tiempo en Experian, que ya tiene un historial horrible en este sentido.

En diciembre de 2022, KrebsOnSecurity alertado Experian que los ladrones de identidad habían ideado una forma notablemente simple de eludir su seguridad y acceso cualquiera informe crediticio completo del consumidor: armado con nada más que el nombre, la dirección, la fecha de nacimiento y el número de Seguro Social de una persona. Experian solucionó el problema técnico y reconoció que persistió durante casi siete semanas, entre Nov. 9, 2022 y Dic. 26, 2022.

En abril de 2021, KrebsOnSecurity reveló cómo eran los ladrones de identidad explotando la autenticación laxa en la página de recuperación de PIN de Experian para descongelar archivos de crédito al consumidor. En esos casos, Experian no envió ningún aviso por correo electrónico cuando se recuperó un PIN congelado, ni requirió que el PIN se enviara a una dirección de correo electrónico ya asociada con la cuenta del consumidor.

Unos días después de esa historia de abril de 2021, KrebsOnSecurity dio la noticia de que una API de Experian estaba exponiendo los puntajes crediticios de la mayoría de los estadounidenses.

Más grandes éxitos de Experian:

2022: Demanda Colectiva Apunta a Experian Por La Seguridad De La Cuenta
2017: El Sitio De Experian Puede Darle A Cualquiera Su PIN De Congelación De Crédito
2015: La Violación de Experian Afecta a 15 Millones de Clientes
2015: Violación de Experian Vinculada a la Red de Robo de Identidad de NY-NJ
2015: En Experian, Desgaste De La Seguridad En Medio De Adquisiciones
2015: Experian Se Enfrenta A Una Demanda Colectiva Por El Servicio De Robo De Identidad
2014: Experian Lapse Permitió que el Servicio de Robo de Identidad Accediera a 200 Millones de Registros de Consumidores
2013: Experian Vendió Datos de Consumidores al Servicio de Robo de Identidad



>>Más