1. Puertoscanner en línea
  2. Últimas noticias y artículos sobre ciberseguridad
  3. La Falla De Experian Que Expuso Los Archivos De Crédito Duró 47 Días

La Falla De Experian Que Expuso Los Archivos De Crédito Duró 47 Días

El Dic. 23, 2022, KrebsOnSecurity alertar oficina de informes de crédito al consumidor big-three Experian que los ladrones de identidad habían descubierto cómo eludir su seguridad y acceder al informe crediticio completo de cualquier consumidor, armado con nada más que el nombre, la dirección, la fecha de nacimiento y el número de Seguro Social de una persona. Experian solucionó el problema técnico, pero permaneció en silencio sobre el incidente durante un mes. Esta semana, sin embargo, Experian reconoció que la falla de seguridad persistió durante casi siete semanas, entre noviembre y noviembre. 9, 2022 y Dic. 26, 2022.

El consejo sobre la debilidad de Experian provino de Jenya Kushnir, un investigador de seguridad que vive en Ucrania que dijo que descubrió el método utilizado por los ladrones de identidad después de pasar un tiempo en Telegrama canales de chat dedicados al cibercrimen.

Normalmente, el sitio web de Experian hará una serie de preguntas de opción múltiple sobre el historial financiero de uno, como una forma de validar la identidad de la persona que solicita el informe de crédito. Pero Kushnir dijo que los delincuentes aprendieron que podían eludir esas preguntas y engañar a Experian para que les diera acceso al informe de crédito de cualquier persona, simplemente editando la dirección que se muestra en la barra de URL del navegador en un punto específico del proceso de verificación de identidad de Experian.

Cuando probé las instrucciones de Kushnir sobre mi propia identidad en Experian, descubrí que podía ver mi informe a pesar de que el sitio web de Experian me dijo que no tenía suficiente información para validar mi identidad. Una amiga investigadora de seguridad que lo probó en Experian descubrió que también podía omitir las cuatro o cinco preguntas de seguridad de opción múltiple de Experian e ir directamente a su informe crediticio completo en Experian.

Experian acuse de recibo de mi Dec. 23 informe cuatro días después, en diciembre. 27, un día después de que el método de Kushnir dejara de funcionar en el sitio web de Experian (el exploit funcionó siempre que llegaras al sitio web de Experian a través de annualcreditreport.com - el sitio obligado a proporcionar una copia gratuita de su informe de crédito de cada una de las principales agencias una vez al año).

Experian nunca respondió a las solicitudes oficiales de comentarios sobre esa historia. Pero a principios de esta semana, recibí una carta inútil por correo postal de Experian (ver imagen arriba), que indicaba que la debilidad que informamos persistió entre noviembre y diciembre. 9, 2022 y Dic. 26, 2022.

"Durante este período de tiempo, experimentamos un problema técnico aislado en el que una característica de seguridad puede no haber funcionado", explicó Experian.

No está del todo claro si Experian me envió este aviso en papel porque legalmente tenían que hacerlo, o si sintieron que merecía una respuesta por escrito y pensaron que tal vez matarían dos pájaros de un tiro. Pero es bastante loco que les haya llevado un mes completo notificarme sobre el impacto potencial de una falla de seguridad que I notificar ellos sobre.

También es un poco loco que Experian no haya incluido simplemente una copia de mi informe de crédito actual junto con esta carta, que está redactada de manera confusa y dice que sospechan que alguien que no sea yo puede haber tenido acceso a mi informe de crédito sin ningún tipo de evaluación o autorización.

Después de todo, si no hubiera autorizado la solicitud de mi archivo de crédito que aparentemente provocó esta carta (lo hice), eso significaría que los ladrones ya tenían mi informe. ¿No se me debería otorgar la misma visibilidad en mi propio archivo de crédito que a ellos?

En cambio, su carta lamentablemente inadecuada una vez más me pone la responsabilidad de esperar interminablemente en espera a un representante de Experian por teléfono, o registrarme para obtener un año gratis de Experian monitoreando mi informe de crédito.

Tal como está, usar el exploit de Kushnir fue la única vez que pude hacer que el sitio web de Experian arrojara una copia de mi informe de crédito. Para empeorar las cosas, la mayoría de la información en ese informe de crédito no es mía. Así que tengo que esperar eso.

Si hay un lado positivo aquí, supongo que si fuera Experian, probablemente tampoco querría mostrarle a Brian Krebs su archivo de crédito. Porque está claro que esta compañía no tiene idea de quién soy realmente. Y de una manera extraña, un poco triste, supongo, eso me hace feliz.

Para obtener ideas sobre lo que puede hacer para minimizar su victimización y el valor general para las agencias de crédito, consulte esta sección de la historia más reciente de Experian.



>>Más