Los Ladrones de Identidad Pasaron por Alto la Seguridad de Experian para Ver los Informes de Crédito

Los ladrones de identidad han estado explotando una evidente debilidad de seguridad en el sitio web de Experian, una de las tres grandes agencias de informes de crédito al consumidor. Normalmente, Experian requiere que aquellos que buscan una copia de su informe de crédito respondan con éxito varias preguntas de opción múltiple sobre su historial financiero. Pero hasta finales de 2022, el sitio web de Experian permitía a cualquiera eludir estas preguntas e ir directamente al informe del consumidor. Todo lo que se necesitaba era el nombre, la dirección, la fecha de nacimiento y el número de Seguro Social de la persona.

La vulnerabilidad en el sitio web de Experian fue explotable después de que uno solicitó ver su archivo de crédito a través de annualcreditreport.com.

En diciembre, KrebsOnSecurity escuchó de Jenya Kushnir, un investigador de seguridad que vive en Ucrania que dijo que descubrió el método utilizado por los ladrones de identidad después de pasar un tiempo en Telegrama canales de chat dedicados al cobro de identidades comprometidas.

"Quiero tratar de ayudar a detenerlo y hacer que sea más difícil para [los ladrones de identidad] acceder, ya que [Experian] no está haciendo una mierda y la gente común lucha", escribió Kushnir en un correo electrónico a KrebsOnSecurity explicando sus motivaciones para comunicarse. "Si de alguna manera puedo hacer pequeños cambios y ayudar a mejorar esto, dentro de mí puedo sentir que hice algo que realmente importa y ayudó a los demás.”

Kushnir dijo que los delincuentes aprendieron que podían engañar a Experian para que les diera acceso al informe de crédito de cualquier persona, simplemente editando la dirección que se muestra en la barra de URL del navegador en un punto específico del proceso de verificación de identidad de Experian.

Siguiendo las instrucciones de Kushnir, busqué una copia de mi informe de crédito de Experian a través de annualcreditreport.com - un sitio web que debe proporcionar a todos los estadounidenses una copia gratuita de su informe de crédito de cada una de las tres principales agencias de informes, una vez al año.

Annualcreditreport.com comienza preguntando por tu nombre, dirección, número de seguro social y fecha de nacimiento. Después de que le proporcioné eso y le dije Annualcreditreport.com Quería mi informe de Experian, me llevaron a Experian.com para completar el proceso de verificación de identidad.

Normalmente, en este punto, el sitio web de Experian presentaría cuatro o cinco preguntas de conjeturas múltiples, como "¿ En cuál de las siguientes direcciones ha vivido?”

Kushnir me dijo que cuando se carga la página de preguntas, simplemente cambia la última parte de la URL de "/ acr/ oow/"a"/acr/ report", y el sitio mostrará el informe crediticio completo del consumidor.

Pero cuando intenté obtener mi informe de Experian a través de annualcreditreport.com, El sitio web de Experian dijo que no tenía suficiente información para validar mi identidad. Ni siquiera me mostraría las cuatro preguntas de adivinanzas múltiples. Experian dijo que tenía tres opciones para obtener un informe de crédito gratuito en este momento: enviar una solicitud por correo junto con los documentos de identidad, llamar a un número de teléfono de Experian o cargar una prueba de identidad a través del sitio web.

Pero eso no impidió que Experian me mostrara mi informe de crédito completo después de cambiar la URL de Experian como Kushnir había indicado, modificando la URL final de la página de error de "/ acr/ OcwError "a simplemente"/ acr/ report".

El sitio web de Experian mostró inmediatamente mi archivo de crédito completo.

A pesar de que Experian dijo que no podía decir que yo era realmente yo, todavía tosió mi informe. Y gracias a Dios que lo hizo. El informe contiene tantos errores que probablemente me llevará un gran esfuerzo de mi parte corregirlos.

Ahora sé por qué Experian NUNCA me ha permitido ver mi propio archivo a través de su sitio web. Por ejemplo, había cuatro números de teléfono en mi archivo de crédito de Experian: Solo uno de ellos era mío, y ese no ha sido mío durante años.

Estaba tan estupefacto por la incompetencia de Experian que le pedí a un amigo cercano y una fuente de seguridad confiable que probara el método en su archivo de identidad en Experian. Efectivamente, cuando llegó a la parte donde Experian hizo preguntas, cambiar la última parte de la URL en su barra de direcciones a "/ informe " omitió las preguntas e inmediatamente mostró su informe crediticio completo. Su informe también estaba repleto de errores.

KrebsOnSecurity compartió los hallazgos de Kushnir con Experian en diciembre. 23, 2022. El Dic. El 27 de diciembre de 2022, el equipo de relaciones públicas de Experian acusó recibo de mi Dec. 23 notificación, pero la compañía hasta ahora ha ignorado múltiples solicitudes de comentarios o aclaraciones.

Para cuando Experian confirmó la recepción de mi informe, el" exploit " que Kushnir dijo que aprendió de los ladrones de identidad en Telegram había sido parcheado y ya no funcionaba. Pero no está claro cuánto tiempo el sitio web de Experian facilitó el acceso al informe crediticio de cualquier persona.

En respuesta a la información compartida por KrebsOnSecurity, Senador Ron Wyden (D-Ore.) dijo que estaba decepcionado, pero no sorprendido en absoluto, al enterarse de otro lapso de ciberseguridad en Experian.

"Las agencias de crédito están mal reguladas, actúan como si estuvieran por encima de la ley y se han burlado de la supervisión del Congreso", dijo Wyden en una declaración escrita. "El año pasado, Experian ignoró las repetidas solicitudes de información de mi oficina después de que reveló otro lapso de ciberseguridad de la compañía.”

La cita anterior del Senador Wyden hace referencia a una historia publicada aquí en julio de 2022, que dio la noticia de que los ladrones de identidad estaban secuestrando cuentas de consumidores en Experian.com simplemente registrándose como ellos en Experian una vez más, proporcionar la información personal estática del objetivo (nombre, fecha de nacimiento/SSN, dirección) pero una dirección de correo electrónico diferente.

A partir de entrevistas con múltiples víctimas que contactaron a KrebsOnSecurity después de esa historia, se supo que los propios representantes de atención al cliente de Experian en realidad estaban diciendo a los consumidores que fueron bloqueados de sus cuentas de Experian que recrearan sus cuentas utilizando su información personal y una nueva dirección de correo electrónico. Este fue el consejo de Experian incluso para las personas que acababan de explicar que este método era lo que los ladrones de identidad habían usado para encerrarlos en primer lugar.

Claramente, a Experian le resultó más sencillo responder de esta manera, en lugar de reconocer el problema y abordar las causas fundamentales (autenticación perezosa y prácticas aborrecibles de recuperación de cuentas). También vale la pena mencionar que los informes de secuestrados Experian.com las cuentas persistieron hasta finales de 2022. Ese error desde entonces ha provocado una demanda colectiva contra Experian.

El Senador Wyden dijo que Comisión Federal de Comercio (FTC) y Oficina de Protección Financiera del Consumidor (CFPB) necesita hacer mucho más para proteger a los estadounidenses de los errores de las agencias de crédito.

"Si no creen que tienen la autoridad para hacerlo, deberían respaldar una legislación como la mía Cuida Tu Propio Acto de Negocios, lo que le da a la FTC el poder de establecer estrictos estándares obligatorios de ciberseguridad para compañías como Experian", dijo Wyden.

Lamentablemente, nada de esto es un comportamiento terriblemente impactante para Experian, que ha demostrado ser un custodio completamente negligente de cantidades obscenas de información altamente confidencial para el consumidor.

En abril de 2021, KrebsOnSecurity reveló cómo eran los ladrones de identidad explotar la autenticación laxa en la página de recuperación de PIN de Experian para descongelar archivos de crédito al consumidor. En esos casos, Experian no envió ningún aviso por correo electrónico cuando se recuperó un PIN de congelación, tampoco requería que el PIN se enviara a una dirección de correo electrónico ya asociada con la cuenta del consumidor.

Unos días después de esa historia de abril de 2021, KrebsOnSecurity dio la noticia de que una API de Experian estaba exponiendo los puntajes crediticios de la mayoría de los estadounidenses.

Ya es bastante malo que no podamos optar por no participar en empresas como Experian making $2.6 mil millones cada trimestre recopilar y vender montones de nuestra información personal y financiera. Pero tiene que haber una responsabilidad significativa cuando estas compañías monopolísticas se involucran en un comportamiento negligente e imprudente con los mismos datos de consumo que alimentan sus beneficios trimestrales. O cuando se descubre que los accesos directos de seguridad y privacidad son intencionales, por ejemplo, por razones de ahorro de costos.

Y como vimos con Equifax acuerdo consolidado de demanda colectiva en respuesta al alquiler hackers patrocinados por el estado de China robar datos de casi 150 millones de estadounidenses de vuelta en 2017, demandas colectivas y más servicios ridículos de "monitoreo de crédito gratuito" de las mismas compañías que crearon el problema no lo van a cortar.

¿QUÉ PUEDES HACER?

Es fácil adoptar una actitud derrotista con las agencias de crédito, que a menudo ensucian las cosas de manera real, incluso para los consumidores que son muy diligentes al observar sus archivos de crédito al consumidor y disputar cualquier inexactitud.

Pero hay algunos pasos concretos que todos pueden tomar que reducirán drásticamente el riesgo de que los ladrones de identidad arruinen su futuro financiero. Y afortunadamente, la mayoría de estos pasos tienen el beneficio adicional de costarles dinero a las agencias de crédito, o al menos hacer que los datos que recopilan sobre usted sean menos valiosos con el tiempo.

El primer paso es la conciencia. Descubra lo que estas compañías dicen sobre usted a sus espaldas. Tenga en cuenta que, justo o no, su puntaje de crédito, según lo determinado colectivamente por estas agencias, puede afectar si obtiene ese préstamo, apartamento o trabajo. En ese contexto, incluso los errores pequeños e involuntarios que no están relacionados con el robo de identidad pueden tener consecuencias enormes para los consumidores en el futuro.

Cada agencia debe proporcionar una copia gratuita de su informe de crédito cada año. La forma más fácil de obtener el suyo es a través de annualcreditreport.com.

Algunos consumidores informan que este sitio nunca funciona para ellos, y que cada oficina insistirá en que no tienen suficiente información para proporcionar un informe. Definitivamente estoy en este campamento. Afortunadamente, una institución financiera con la que ya tengo una relación ofrece la posibilidad de ver su archivo de crédito a través de ellos. Su millaje en este frente puede variar, y puede terminar teniendo que enviar copias de sus documentos de identidad por correo o sitio web.

Cuando reciba su informe, busque cualquier cosa que no sea suya, y luego documente y presente una disputa con la oficina de crédito correspondiente. Y una vez que haya revisado su informe, configure un recordatorio de calendario para que se repita cada cuatro meses, recordándole que es hora de obtener otra copia gratuita de su archivo de crédito.

Si aún no lo ha hecho, considere hacer de 2023 el año en que congela sus archivos de crédito en las tres principales agencias de informes, incluida Experian, Equifax y TransUnión. Es ahora es gratis para las personas en los 50 estados de EE. UU. colocar un congelamiento de seguridad en sus archivos de crédito. También es gratis hacer esto para su pareja y/ o sus dependientes.

Congelar su crédito significa que nadie que no tenga una relación financiera con usted puede ver su archivo de crédito, lo que hace poco probable que los acreedores potenciales otorguen nuevas líneas de crédito a su nombre a los ladrones de identidad. Congelar su archivo de crédito también significa que Experian y sus hermanos ya no pueden vender su historial de crédito a otros.

Cada vez que desee solicitar un nuevo crédito o un nuevo trabajo, o abrir una cuenta en una empresa de servicios públicos o proveedor de comunicaciones, puede descongelar rápidamente un congelamiento en su archivo de crédito y configurarlo para que se congele automáticamente nuevamente después de un período de tiempo específico.

Por favor, no confunda un congelamiento de crédito (también conocido como "congelamiento de seguridad") con la alternativa a la que las agencias probablemente lo guiarán cuando solicite un congelamiento: servicios de "bloqueo de crédito".

Las agencias ofrecen estos servicios de bloqueo de crédito como una forma para que los consumidores puedan alternar fácilmente la disponibilidad de sus archivos de crédito con solo presionar un botón en una aplicación móvil, pero hacen poco para evitar que las agencias continúen vendiendo su información a otros.

Mi consejo: Ignore los servicios de bloqueo y simplemente congele sus archivos de crédito.

Una nota final. Los lectores frecuentes aquí se habrán dado cuenta de que he criticado estos llamados"autenticación basada en el conocimiento"o preguntas de KBA que el sitio web de Experian no hizo como parte de su proceso de verificación del consumidor.

KrebsOnSecurity ha atacado durante mucho tiempo a KBA como una autenticación débil porque las preguntas y respuestas se extraen en gran medida de los registros de los consumidores que son públicos y de fácil acceso para los grupos organizados de robo de identidad.

Dicho esto, dado que estas preguntas de KBA parecen ser lo ÚNICO que se interpone entre mi informe de crédito de Experian y yo, parece que tal vez al menos deberían tener cuidado de asegurarse de que esas preguntas realmente se hagan.