Experian Flaw acaba de revelar PINs protegendo dados de crédito
ERA Invincible - A Great Idea with a Major Flaw
Índice:
Os congelamentos de crédito são a melhor maneira de evitar fraudes com novas contas, onde os criminosos abrem contas falsas em seu nome. Mas o site de um departamento de crédito tornou fácil a contenção da segurança que deve manter seus relatórios de crédito seguros.
O site da Experian expôs os números de identificação pessoal - os PINs necessários para descongelar os congelamentos de crédito - depois que os usuários responderam às suas perguntas de segurança com uma resposta geral: Nenhuma das opções acima.
Mais de um ano atrás, o especialista em segurança Brian Krebs relatou uma falha semelhante. Nesse ponto, as pessoas tinham que responder corretamente às quatro perguntas de “autenticação baseada no conhecimento” usadas para identificá-las. O problema com este método, de acordo com Krebs, é que as informações pessoais necessárias para adivinhar as respostas estão prontamente disponíveis on-line através de sites comerciais e criminais.
Mas por várias horas na quinta-feira - e para quem sabe quanto tempo antes disso - você nem precisou adivinhar.
Um leitor nos alertou sobre esse problema, e vários de nós que tinham créditos congelados conseguiram reproduzi-lo. Perguntamos aos nossos seguidores no Facebook e no Twitter e ouvimos de outras pessoas que também tiveram acesso aos seus PINs.
Falha no processo normal
Para obter os números, as pessoas preencheram o formulário na página de recuperação de PIN da Experian com o nome de uma pessoa, endereço, número da Previdência Social e data de nascimento - exatamente o tipo de informação que foi comprometida na violação Equifax do ano passado, e que está prontamente disponível para venda na teia escura. O formulário exigia um endereço de e-mail, que não necessariamente tem que ser aquele associado à conta Experian da pessoa. Responder "nenhuma das opções acima" às questões de segurança - mesmo que algumas das respostas apresentadas estivessem corretas - deu acesso ao PIN dessa pessoa.
Com o PIN, qualquer pessoa pode descongelar o congelamento de crédito dessa pessoa e solicitar crédito em seu nome.
O defensor do consumidor Mike Litt também conseguiu recuperar seu PIN usando a falha. "Não há absolutamente nenhuma desculpa para isso", diz Litt, diretor de campanha da U.S. PIRG, uma organização de defesa do interesse público. "Como você simplesmente deixa as chaves na porta em cima do tapete de boas vindas?"
Um porta-voz da Experian divulgou um comunicado na tarde de quinta-feira dizendo: “Embora estejamos confiantes de que nossa autenticação seja segura e que nenhum arquivo de crédito esteja em risco, tomamos medidas adicionais para tornar o processo mais seguro. Continuamos a monitorar regularmente nossos sistemas, tomando medidas imediatas quando necessário para fortalecer a segurança dos dados. ”
Mensagens de erro entram em cena
No final da quinta-feira, muitos de nós começaram a receber as mensagens de erro que nossas respostas deveriam ter gerado em primeiro lugar. Fomos direcionados para enviar à Experian nossas informações de identificação, como cópias de nossa carteira de motorista, contas de serviços públicos e cartão da Seguridade Social.
O correio dos EUA, caso isso precise ser dito, não é uma maneira segura de transmitir tais informações. Mas como esses detalhes provavelmente já estão em mãos criminosas, deixaremos isso por enquanto.
Este é mais um lembrete de que precisamos continuar monitorando nossos relatórios de crédito e pontuações de contas fraudulentas, mesmo que tenhamos congelamentos de crédito em vigor - como ainda deveríamos.
O que é realmente angustiante é que os congelamentos de segurança devem ser um dos poucos baluartes eficazes que as pessoas podem oferecer contra fraudes. É por isso que especialistas em segurança os recomendam há anos, e por que o Congresso finalmente congelou e degela a partir do dia 21 de setembro.
A facilidade com que essa proteção essencial pode ser frustrada nos diz que as agências de crédito ainda não estão levando a segurança de nossas informações a sério o suficiente.
O escritor da equipe Bev O'Shea contribuiu para este relatório.
