Les voleurs d'identité ont contourné Experian Security pour consulter les rapports de solvabilité

Les voleurs d'identité exploitent une faille de sécurité flagrante sur le site Web de Experian, l'un des trois grands bureaux d'évaluation du crédit à la consommation. Normalement, Experian exige que ceux qui recherchent une copie de leur rapport de solvabilité répondent avec succès à plusieurs questions à choix multiples sur leurs antécédents financiers. Mais jusqu'à la fin de 2022, le site Web d'Experian permettait à quiconque de contourner ces questions et d'accéder directement au rapport du consommateur. Tout ce qui était nécessaire était le nom, l'adresse, la date de naissance et le numéro de sécurité sociale de la personne.

La vulnérabilité du site Web d'Experian était exploitable après qu'une personne a demandé à voir son dossier de crédit via annualcreditreport.com.

En décembre, KrebsOnSecurity a entendu Jenya Koushnir, un chercheur en sécurité vivant en Ukraine qui a déclaré avoir découvert la méthode utilisée par les voleurs d'identité après avoir passé du temps sur Télégramme canaux de discussion dédiés à l'encaissement des identités compromises.

“Je veux essayer d'aider à y mettre un terme et à rendre l'accès plus difficile pour [les voleurs d'identité], car [Experian] ne fait pas de la merde et les gens ordinaires luttent”, a écrit Kushnir dans un e-mail à KrebsOnSecurity expliquant ses motivations pour tendre la main. "Si d'une manière ou d'une autre je peux apporter de petits changements et aider à améliorer cela, en moi-même, je peux sentir que j'ai fait quelque chose qui compte vraiment et que j'ai aidé les autres.”

Kushnir a déclaré que les escrocs avaient appris qu'ils pouvaient inciter Experian à leur donner accès au rapport de solvabilité de n'importe qui, simplement en modifiant l'adresse affichée dans la barre d'URL du navigateur à un moment précis du processus de vérification de l'identité d'Experian.

Suivant les instructions de Kushnir, j'ai demandé une copie de mon rapport de solvabilité à Experian via annualcreditreport.com - un site Web qui est tenu de fournir à tous les Américains une copie gratuite de leur rapport de solvabilité de chacun des trois principaux bureaux de reporting, une fois par an.

Annualcreditreport.com commencez par demander votre nom, adresse, numéro de sécurité sociale et date de naissance. Après avoir fourni ça et dit Annualcreditreport.com Je voulais mon rapport d'Experian, j'ai été emmené à Experian.com pour terminer le processus de vérification d'identité.

Normalement, à ce stade, le site Web d'Experian présenterait quatre ou cinq questions à suppositions multiples, telles que “À laquelle des adresses suivantes avez-vous habité?”

Kushnir m'a dit que lorsque la page des questions se charge, il vous suffit de changer la dernière partie de l'URL de “/acr/oow/” à “/acr/report”, et le site afficherait le rapport de solvabilité complet du consommateur.

Mais quand j'ai essayé d'obtenir mon rapport d'Experian via annualcreditreport.com, Le site Web d'Experian a dit qu'il n'avait pas assez d'informations pour valider mon identité. Cela ne me montrerait même pas les quatre questions à suppositions multiples. Experian a déclaré que j'avais trois options pour un rapport de solvabilité gratuit à ce stade: Envoyer une demande accompagnée de documents d'identité, appeler un numéro de téléphone pour Experian ou télécharger une preuve d'identité via le site Web.

Mais cela n'a pas empêché Experian de me montrer mon rapport de solvabilité complet après avoir modifié l'URL Experian comme Kushnir l'avait demandé — en modifiant l'URL de fin de la page d'erreur de “/acr/OcwError” à simplement “/acr/report”.

Le site Web d'Experian a alors immédiatement affiché l'intégralité de mon dossier de crédit.

Même si Experian a dit qu'il ne pouvait pas dire que j'étais réellement moi, il a quand même craché mon rapport. Et dieu merci, ça l'a fait. Le rapport contient tellement d'erreurs qu'il faudra probablement beaucoup d'efforts de ma part pour y remédier.

Maintenant, je sais pourquoi Experian ne m'a JAMAIS laissé consulter mon propre fichier via leur site Web. Par exemple, il y avait quatre numéros de téléphone sur mon dossier de crédit Experian: Un seul d'entre eux était à moi, et celui-là n'a pas été à moi depuis des lustres.

J'étais tellement abasourdi par l'incompétence d'Experian que j'ai demandé à un ami proche et à une source de sécurité de confiance d'essayer la méthode sur son dossier d'identité chez Experian. Effectivement, lorsqu'elle est arrivée à la partie où Experian a posé des questions, changer la dernière partie de l'URL dans sa barre d'adresse en “/rapport” a contourné les questions et a immédiatement affiché son rapport de solvabilité complet. Son rapport était également truffé d'erreurs.

KrebsOnSecurity a partagé les conclusions de Kushnir avec Experian en décembre. 23, 2022. Le Déc. Le 27 décembre 2022, l'équipe des relations publiques d'Experian a accusé réception de mon déc. 23 notification, mais la société a jusqu'à présent ignoré plusieurs demandes de commentaires ou de clarification.

Au moment où Experian a confirmé la réception de mon rapport, “l'exploit” Kushnir a déclaré qu'il avait appris des voleurs d'identité sur Telegram avait été corrigé et ne fonctionnait plus. Mais on ne sait toujours pas depuis combien de temps le site Web d'Experian permettait d'accéder si facilement au rapport de solvabilité de quiconque.

En réponse aux informations partagées par KrebsOnSecurity, Sénateur Ron Wyden (D-Minerai.) a déclaré qu'il était déçu — mais pas du tout surpris — d'entendre parler d'une autre faille de cybersécurité chez Experian.

“Les bureaux de crédit sont mal réglementés, agissent comme s'ils étaient au-dessus des lois et ont mis le nez dans la surveillance du Congrès”, a déclaré Wyden dans une déclaration écrite. "L'année dernière encore, Experian a ignoré les demandes répétées de briefing de mon bureau après que vous ayez révélé une autre faille de cybersécurité de l'entreprise.”

La citation du sénateur Wyden ci-dessus fait référence à un article publié ici en juillet 2022, qui annonçait que des voleurs d'identité détournaient des comptes de consommateurs à Experian.com juste en vous inscrivant comme eux à Experian une fois de plus, fournir les informations statiques et personnelles de la cible (nom, date de naissance/numéro de sécurité sociale, adresse) mais une adresse e-mail différente.

À partir d'entretiens avec plusieurs victimes qui ont contacté KrebsOnSecurity après cette histoire, il est apparu que les propres représentants du service client d'Experian disaient en fait aux consommateurs qui avaient été exclus de leurs comptes Experian de recréer leurs comptes en utilisant leurs informations personnelles et une nouvelle adresse e-mail. C'était le conseil d'Experian même pour les personnes qui venaient d'expliquer que cette méthode était ce que les voleurs d'identité avaient utilisé pour les enfermer en premier lieu.

De toute évidence, Experian a trouvé plus simple de réagir de cette façon, plutôt que de reconnaître le problème et de s'attaquer aux causes profondes (authentification paresseuse et pratiques odieuses de récupération de compte). Il convient également de mentionner que les rapports de détournement Experian.com les comptes ont persisté jusqu'à la fin de 2022. Cette erreur a depuis incité un recours collectif contre Experian.

Le sénateur Wyden a déclaré que le Commission Fédérale du Commerce (FTC) et Bureau de La Protection Financière Des Consommateurs (CFPB) doit faire beaucoup plus pour protéger les Américains des erreurs des bureaux de crédit.

“S'ils ne croient pas qu'ils ont le pouvoir de le faire, ils devraient approuver une législation comme la mienne Occupez-Vous De Votre Propre Acte Commercial, ce qui donne à la FTC le pouvoir d'établir des normes de cybersécurité obligatoires strictes pour des entreprises comme Experian”, a déclaré Wyden.

Malheureusement, rien de tout cela n'est un comportement terriblement choquant pour Experian, qui s'est montré un gardien complètement négligent de quantités obscènes d'informations très sensibles sur les consommateurs.

En avril 2021, KrebsOnSecurity a révélé comment les voleurs d'identité étaient exploiter l'authentification laxiste sur la page de récupération du code PIN d'Experian pour dégeler les dossiers de crédit à la consommation. Dans ces cas, Experian n'a envoyé aucun avis par e-mail lorsqu'un code PIN gelé a été récupéré, il n'était pas non plus nécessaire que le code PIN soit envoyé à une adresse e-mail déjà associée au compte du consommateur.

Quelques jours après cette histoire d'avril 2021, KrebsOnSecurity a annoncé que une API Experian exposait les scores de crédit de la plupart des Américains.

C'est déjà assez grave que nous ne puissions pas vraiment nous retirer d'entreprises comme Experian making 2,6 milliards de dollars chaque trimestre collecter et vendre des quantités de nos informations personnelles et financières. Mais il doit y avoir une responsabilité significative lorsque ces entreprises monopolistiques adoptent un comportement négligent et imprudent avec les mêmes données sur les consommateurs qui alimentent leurs bénéfices trimestriels. Ou lorsque les raccourcis de sécurité et de confidentialité s'avèrent intentionnels, par exemple pour des raisons de réduction des coûts.

Et comme nous l'avons vu avec Equifax règlement consolidé du recours collectif en réponse à la location pirates informatiques parrainés par l'État en provenance de Chine voler des données sur près de 150 millions d'Américains de retour en 2017, recours collectifs et plus services risibles de " surveillance gratuite du crédit” les mêmes entreprises qui ont créé le problème ne vont pas y remédier.

QUE PEUX-TU FAIRE?

Il est facile d'adopter une attitude défaitiste avec les bureaux de crédit, qui souvent salissent royalement les choses, même pour les consommateurs qui sont assez diligents à regarder leurs dossiers de crédit à la consommation et à contester toute inexactitude.

Mais il y a des mesures concrètes que tout le monde peut prendre qui réduiront considérablement le risque que les voleurs d'identité ruinent votre avenir financier. Et heureusement, la plupart de ces étapes ont l'avantage secondaire de coûter de l'argent aux bureaux de crédit, ou du moins de rendre les données qu'ils collectent à votre sujet moins précieuses au fil du temps.

La première étape est la prise de conscience. Découvrez ce que ces entreprises disent de vous derrière votre dos. Gardez à l'esprit que — juste ou non — votre pointage de crédit tel que déterminé collectivement par ces bureaux peut avoir une incidence sur l'obtention de ce prêt, de cet appartement ou de cet emploi. Dans ce contexte, même de petites erreurs involontaires qui ne sont pas liées au vol d'identité peuvent avoir des conséquences démesurées pour les consommateurs à l'avenir.

Chaque bureau est tenu de fournir une copie gratuite de votre rapport de solvabilité chaque année. Le moyen le plus simple d'obtenir le vôtre est de passer annualcreditreport.com.

Certains consommateurs rapportent que ce site ne fonctionne jamais pour eux et que chaque bureau insistera sur le fait qu'il ne dispose pas de suffisamment d'informations pour fournir un rapport. Je suis définitivement dans ce camp. Heureusement, une institution financière avec laquelle j'ai déjà une relation offre la possibilité de consulter votre dossier de crédit par son intermédiaire. Votre kilométrage sur ce front peut varier et vous devrez peut-être envoyer des copies de vos documents d'identité par la poste ou sur le site Web.

Lorsque vous recevez votre rapport, recherchez tout ce qui ne vous appartient pas, puis documentez et déposez un litige auprès de l'agence d'évaluation du crédit correspondante. Et après avoir examiné votre rapport, définissez un rappel de calendrier à répéter tous les quatre mois, vous rappelant qu'il est temps d'obtenir une autre copie gratuite de votre dossier de crédit.

Si vous ne l'avez pas déjà fait, envisagez de faire de 2023 l'année où vous gelerez vos dossiers de crédit dans les trois principaux bureaux de reporting, y compris Experian, Equifax et Union Transitaire. C'est maintenant libre aux personnes dans les 50 États américains de geler la sécurité de leurs dossiers de crédit. Il est également gratuit de le faire pour votre partenaire et/ou vos personnes à charge.

Le gel de votre crédit signifie que personne qui n'a pas déjà une relation financière avec vous ne peut consulter votre dossier de crédit, ce qui rend peu probable que des créanciers potentiels accordent de nouvelles marges de crédit à votre nom à des voleurs d'identité. Le gel de votre dossier de crédit signifie également qu'Experian et ses frères ne peuvent plus vendre des aperçus de vos antécédents de crédit à d'autres.

Chaque fois que vous souhaitez demander un nouveau crédit ou un nouvel emploi, ou ouvrir un compte auprès d'un service public ou d'un fournisseur de communications, vous pouvez rapidement dégeler un gel de votre dossier de crédit et le configurer pour qu'il se fige à nouveau automatiquement après une durée spécifiée.

Veuillez ne pas confondre un gel du crédit (alias” gel de la sécurité") avec l'alternative vers laquelle les bureaux vous orienteront probablement lorsque vous demanderez un gel: les services de “verrouillage du crédit”.

Les bureaux présentent ces services de verrouillage de crédit comme un moyen pour les consommateurs de basculer facilement la disponibilité de leur dossier de crédit en appuyant sur un bouton d'une application mobile, mais ils ne font pas grand-chose pour empêcher les bureaux de continuer à vendre vos informations à d'autres.

Mon conseil: Ignorez les services de verrouillage et gelez déjà vos dossiers de crédit.

Une dernière remarque. Les lecteurs assidus ici auront remarqué que j'ai critiqué ces soi-disant “authentification basée sur la connaissance"ou des questions KBA que le site Web d'Experian n'a pas posées dans le cadre de son processus de vérification des consommateurs.

KrebsOnSecurity a longtemps attaqué KBA comme une authentification faible, car les questions et les réponses proviennent en grande partie des dossiers des consommateurs qui sont publics et facilement accessibles aux groupes organisés de vol d'identité.

Cela dit, étant donné que ces questions KBA semblent être la SEULE chose qui se dresse entre moi et mon rapport de solvabilité Experian, il semble qu'ils devraient peut-être au moins veiller à ce que ces questions soient réellement posées.