1. Portscanner en ligne
  2. Dernières nouvelles et articles sur la cybersécurité
  3. Il est toujours Facile pour quiconque de Devenir Vous chez Experian

Il est toujours Facile pour quiconque de Devenir Vous chez Experian

À l'été 2022, KrebsOnSecurity documenté le sort de plusieurs lecteurs qui avaient leurs comptes chez les trois grands bureaux d'évaluation du crédit à la consommation Experian détourné après que des voleurs d'identité ont simplement réenregistré les comptes en utilisant une adresse e-mail différente. Seize mois plus tard, Experian n'a clairement pas remédié à ce manque béant de sécurité. Je le sais parce que mon compte chez Experian a récemment été piraté et que la seule façon de récupérer l'accès était de recréer le compte.

La saisie de mon numéro de sécurité sociale et de mon anniversaire chez Experian a montré que mon identité était liée à une adresse e-mail que je n'avais pas autorisée.

J'ai récemment commandé une copie de mon dossier de crédit à Experian via annualcreditreport.com, mais comme d'habitude Experian a refusé de le fournir, disant qu'ils ne pouvaient pas vérifier mon identité. Tentatives de connexion à mon compte directement à Experian.com également échoué; le site a déclaré qu'il ne reconnaissait pas mon nom d'utilisateur et/ou mon mot de passe.

Une demande de nom d'utilisateur pour mon compte Experian nécessitait mon numéro de sécurité sociale complet et ma date de naissance, après quoi le site Web affichait des parties d'une adresse e-mail que je n'ai jamais autorisée et que je n'ai pas reconnue (l'adresse complète a été expurgée par Experian).

J'ai immédiatement soupçonné qu'Experian autorisait toujours n'importe qui à recréer son compte de dossier de crédit en utilisant les mêmes informations personnelles mais une adresse e-mail différente, un échec d'authentification majeur qui a été exploré dans l'histoire de l'année dernière, Experian, Tu as des Explications à Faire. Donc, une fois de plus, j'ai cherché à me réinscrire en tant que moi-même à Experian.

La page d'accueil indiquait que je devais fournir un numéro de sécurité sociale et un numéro de téléphone portable, et que je recevrais bientôt un lien sur lequel je devrais cliquer pour me vérifier. Le site affirme que le numéro de téléphone que vous fournissez sera utilisé pour aider à valider votre identité. Mais il semble que vous puissiez fournir n'importe quel numéro de téléphone aux États-Unis à ce stade du processus, et le site Web d'Experian ne rechignerait pas. Quoi qu'il en soit, les utilisateurs peuvent simplement ignorer cette étape en sélectionnant l'option “Continuer d'une autre manière.”

Experian vous demande ensuite votre nom complet, votre adresse, votre date de naissance, votre numéro de sécurité sociale, votre adresse e-mail et le mot de passe choisi. Après cela, ils exigent que vous répondiez avec succès entre trois et cinq questions de sécurité à choix multiples dont les réponses sont très souvent basées sur des dossiers publics. Lorsque j'ai recréé mon compte cette semaine, la seule question qui concernait mes informations réelles concernait les adresses postales précédentes où nous vivions — des informations qui ne sont qu'à une recherche sur Google.

En supposant que vous parcourez les questions à choix multiples, vous êtes invité à créer un code PIN à 4 chiffres et à répondre à l'une des nombreuses questions de défi présélectionnées. Après cela, votre nouveau compte est créé et vous êtes dirigé vers le tableau de bord Experian, qui vous permet d'afficher votre dossier de crédit complet et de le geler ou de le dégeler.

À ce stade, Experian enverra un message à l'ancienne adresse e-mail liée au compte, indiquant que certains aspects du profil de l'utilisateur ont changé. Mais ce message n'est pas une demande de vérification: c'est juste une notification d'Experian indiquant que les données utilisateur du compte ont changé, et l'utilisateur d'origine n'a aucun recours ici autre que de cliquer sur un lien pour se connecter à Experian.com.

Si vous n'avez pas de compte Experian, c'est une bonne idée d'en créer un. Parce qu'au moins, vous recevrez l'un de ces courriels lorsque quelqu'un détournera votre dossier de crédit chez Experian.

Et bien sûr, un utilisateur qui reçoit l'un de ces avis constatera que ses informations d'identification sur son compte Experian ne fonctionnent plus. Leur code PIN ou leur question de récupération de compte non plus, car ceux-ci ont également été modifiés. Votre seule option à ce stade est de recréer votre compte sur Experian et de le voler aux voleurs d'identité!

En revanche, si vous essayez de recréer un compte existant dans l'un des deux autres principaux bureaux d'évaluation du crédit à la consommation — À propos d'Equifax ou Union Transitaire — ils vous demanderont d'entrer un code envoyé à l'adresse e-mail ou au numéro de téléphone figurant dans le dossier avant que des modifications puissent être apportées.

Contacté pour commenter, Experian a refusé de partager l'adresse e-mail complète qui a été ajoutée sans autorisation à mon dossier de crédit.

“Pour assurer la protection de l'identité et des informations des consommateurs, nous avons mis en place une approche de sécurité à plusieurs niveaux, qui comprend des mesures passives et actives” et qui évolue constamment", porte-parole d'Experian Auteur: Scott Anderson a déclaré dans un communiqué envoyé par courrier électronique. "Cela inclut des questions et réponses basées sur les connaissances, ainsi que des processus de vérification de la possession et de la propriété des appareils.”

Anderson a déclaré que tous les consommateurs ont la possibilité d'activer une méthode d'authentification multifacteur qui leur est demandée chaque fois qu'ils se connectent à leur compte. Mais à quoi sert l'authentification multifacteur si quelqu'un peut simplement recréer votre compte avec un nouveau numéro de téléphone et une nouvelle adresse e-mail?

Plusieurs lecteurs qui ont repéré ma diatribe à propos d'Experian sur Mastodon plus tôt cette semaine, j'ai répondu à une demande de validation de mes résultats. L'utilisateur du Mastodonte @ Jackier est un lecteur de Michican qui travaille dans l'industrie de la biotechnologie. @ Jackerbee a déclaré que lorsqu'Experian lui a demandé de fournir son numéro de téléphone et les quatre derniers chiffres de son SSN, il a choisi l'option “saisir manuellement mes informations.”

“J'ai mis mon deuxième numéro de téléphone et la nouvelle adresse e-mail”, a-t-il expliqué. “J'ai reçu un seul e-mail dans la boîte de réception d'origine de mon compte indiquant qu'ils avaient mis à jour mes informations après mon inscription.'Aucune vérification requise à partir de l'adresse e-mail d'origine à aucun moment. Je n'ai pas non plus reçu d'alertes SMS au numéro de téléphone d'origine. La partie particulièrement intéressante et flagrante est que lorsque je me connecte, il fait 2FA avec le nouveau numéro de téléphone.”

L'utilisateur du Mastodonte PetéMaïs ils ont dit qu'ils avaient recréé leur compte Experian deux fois cette semaine, la deuxième fois en fournissant un numéro de téléphone fixe aléatoire.

“La seule différence: il m'a posé CINQ questions sur mon histoire personnelle (la dernière fois, il n'en a posé que trois) avant de proclamer ‘ " Bienvenue, Pete!, "et accorder un accès complet", a écrit @PeteMayo. “Je me sens idiot d'enregistrer mon mot de passe pour Experian; autant créer un nouveau compte à chaque fois.”

J'ai eu la chance que celui qui a détourné mon compte n'ait pas également dégelé mon gel de crédit.  Ou s'ils l'ont fait, ils l'ont poliment gelé à nouveau quand ils ont fini. Mais je m'attends à ce que mon compte Experian soit à nouveau détourné à moins qu'Experian n'apporte des modifications importantes à son processus d'authentification.

Il est ahurissant de constater que ces faiblesses fondamentales en matière d'authentification ont été autorisées à persister pendant si longtemps chez Experian, qui a déjà un bilan horrible à cet égard.

En décembre 2022, KrebsOnSecurity alerté Experian que les voleurs d'identité avaient mis au point un moyen remarquablement simple de contourner sa sécurité et son accès tout rapport de crédit complet du consommateur-armé de rien de plus que le nom, l'adresse, la date de naissance et le numéro de sécurité sociale d'une personne. Experian a corrigé le problème et a reconnu qu'il a persisté pendant près de sept semaines, entre novembre. 9, 2022 et déc. 26, 2022.

En avril 2021, KrebsOnSecurity a révélé comment les voleurs d'identité étaient exploiter l'authentification laxiste sur la page de récupération du code PIN d'Experian pour dégeler les dossiers de crédit à la consommation. Dans ces cas, Experian n'a envoyé aucun avis par e-mail lorsqu'un code PIN gelé a été récupéré, ni n'a exigé que le code PIN soit envoyé à une adresse e-mail déjà associée au compte du consommateur.

Quelques jours après cette histoire d'avril 2021, KrebsOnSecurity a annoncé que une API Experian exposait les scores de crédit de la plupart des Américains.

Plus de grands succès d'Experian:

2022: Une Action Collective Cible Experian Pour La Sécurité De Son Compte
2017: Le Site Experian Peut Donner À N'Importe Qui Votre Code PIN De Gel De Crédit
2015: La Violation D'Experian Affecte 15 Millions De Clients
2015: Violation Experian Liée à un réseau de vol d'identité NY-NJ
2015: Chez Experian, L'Attrition De La Sécurité Au Milieu Des Acquisitions
2015: Experian Frappé Par Une Action Collective Sur Le Service De Vol D'Identité
2014: Experian Lapse A permis au Service de Vol d'identité d'accéder à 200 Millions de Dossiers de Consommateurs
2013: Experian a vendu des Données de Consommateurs à un Service de Vol d'identité



>>Plus