1. Portscanner en ligne
  2. Dernières nouvelles et articles sur la cybersécurité
  3. Le Problème D'Experian Exposant Les Dossiers De Crédit A Duré 47 Jours

Le Problème D'Experian Exposant Les Dossiers De Crédit A Duré 47 Jours

Le Déc. 23, 2022, KrebsOnSécurité alerte trois grands bureaux d'évaluation du crédit à la consommation Experian que les voleurs d'identité avaient trouvé comment contourner sa sécurité et accéder au dossier de crédit complet de tout consommateur — armé de rien de plus que le nom, l'adresse, la date de naissance et le numéro de sécurité sociale d'une personne. Experian a corrigé le problème, mais est resté silencieux sur l'incident pendant un mois. Cette semaine, cependant, Experian a reconnu que la défaillance de la sécurité avait persisté pendant près de sept semaines, entre novembre et décembre. 9, 2022 et déc. 26, 2022.

Le conseil sur la faiblesse d'Experian est venu de Jenya Koushnir, un chercheur en sécurité vivant en Ukraine qui a déclaré avoir découvert la méthode utilisée par les voleurs d'identité après avoir passé du temps sur Télégramme canaux de discussion dédiés à la cybercriminalité.

Normalement, le site Web d'Experian posera une série de questions à choix multiples sur ses antécédents financiers, afin de valider l'identité de la personne qui demande le rapport de solvabilité. Mais Kushnir a déclaré que les escrocs avaient appris qu'ils pouvaient contourner ces questions et inciter Experian à leur donner accès au rapport de solvabilité de n'importe qui, simplement en modifiant l'adresse affichée dans la barre d'URL du navigateur à un moment précis du processus de vérification de l'identité d'Experian.

Lorsque j'ai testé les instructions de Kushnir sur ma propre identité chez Experian, j'ai découvert que je pouvais voir mon rapport même si le site Web d'Experian me disait qu'il ne disposait pas de suffisamment d'informations pour valider mon identité. Une amie chercheuse en sécurité qui l'a testée chez Experian a découvert qu'elle pouvait également contourner les quatre ou cinq questions de sécurité à choix multiples d'Experian et accéder directement à son rapport de solvabilité complet chez Experian.

Experian accusé réception de mon déc. 23 rapport quatre jours plus tard, en décembre. 27, un jour après que la méthode de Kushnir a cessé de fonctionner sur le site Web d'Experian (l'exploit a fonctionné tant que vous êtes arrivé sur le site Web d'Experian via annualcreditreport.com - le site mandaté pour fournir une copie gratuite de votre rapport de solvabilité de chacun des principaux bureaux une fois par an).

Experian n'a jamais répondu aux demandes officielles de commentaires sur cette histoire. Mais plus tôt cette semaine, j'ai reçu une lettre autrement inutile par courrier postal d'Experian (voir l'image ci-dessus), qui indiquait que la faiblesse que nous avions signalée persistait entre novembre et décembre. 9, 2022 et déc. 26, 2022.

“Au cours de cette période, nous avons rencontré un problème technique isolé où une fonction de sécurité n'a peut-être pas fonctionné”, a expliqué Experian.

Il n'est pas tout à fait clair si Experian m'a envoyé cet avis papier parce qu'ils devaient légalement le faire, ou s'ils estimaient que je méritais une réponse par écrit et pensaient peut-être qu'ils feraient d'une pierre deux coups. Mais c'est assez fou qu'il leur ait fallu un mois complet pour m'informer de l'impact potentiel d'une défaillance de sécurité qui I notifier ils Au sujet.

C'est aussi un peu fou qu'Experian n'ait pas simplement inclus une copie de mon rapport de solvabilité actuel avec cette lettre, qui est formulée de manière confuse et se lit comme s'ils soupçonnaient que quelqu'un d'autre que moi ait pu avoir accès à mon rapport de solvabilité sans aucune sorte de filtrage ou d'autorisation.

Après tout, si je n'avais pas autorisé la demande de mon dossier de crédit qui a apparemment motivé cette lettre (je l'avais fait), cela signifierait que les voleurs avaient déjà mon rapport. Ne devrais-je pas bénéficier de la même visibilité sur mon propre dossier de crédit qu'eux?

Au lieu de cela, leur lettre terriblement inadéquate me charge une fois de plus d'attendre sans cesse un représentant d'Experian par téléphone, ou de m'inscrire pour une année gratuite d'Experian surveillant mon rapport de solvabilité.

Dans l'état actuel des choses, l'utilisation de l'exploit de Kushnir a été la seule fois où j'ai pu obtenir sur le site Web d'Experian une copie de mon rapport de solvabilité. Pour aggraver les choses, la majorité des informations contenues dans ce rapport de solvabilité ne sont pas les miennes. Donc j'ai ça à attendre avec impatience.

S'il y a une lueur d'espoir ici, je suppose que si j'étais Experian, je ne voudrais probablement pas non plus montrer à Brian Krebs son dossier de crédit. Parce qu'il est clair que cette société n'a aucune idée de qui je suis vraiment. Et d'une manière étrange, un peu triste je suppose, ça me rend heureux.

Pour savoir ce que vous pouvez faire pour minimiser votre victimisation et votre valeur globale pour les bureaux de crédit, voir cette section de l'histoire la plus récente d'Experian.



>>Plus