Experian, tienes poco que explicar – Krebs sobre seguridad

Dos veces en el último mes, KrebsOnSecurity ha tenido noticias de lectores que tenían sus cuentas en grandes agencias de crédito. Experian pirateado y actualizado con una nueva dirección de correo electrónico que no era la suya. En ambos casos, los lectores utilizaron administradores de contraseñas para elegir contraseñas seguras y únicas para sus cuentas de Experian. La investigación sugiere que los ladrones de identidad podrían secuestrar cuentas simplemente registrándose para nuevas cuentas con Experian con la información personal de la víctima y otra dirección de correo electrónico.

Juan Turner es un ingeniero de software con sede en Salt Lake City. Turner dijo que creó la cuenta en Experian 2020 para congelar la seguridad de su archivo de crédito y que usó un administrador de contraseñas para seleccionar y almacenar una contraseña segura y única para su cuenta de Experian.

Turner dijo que, a principios de junio de 2022, recibió un correo electrónico de Experian que indicaba que la dirección de correo electrónico de su cuenta había cambiado. El proceso de restablecimiento de contraseña de Experian era inútil en ese momento porque todos los enlaces de restablecimiento de contraseña se enviaban a la nueva dirección de correo electrónico (del estafador).

Se contactó por teléfono con una persona de apoyo de Experian Turner después de una larga espera para pedirle su número de seguro social (SSN) y fecha de nacimiento, así como el PIN de su cuenta y respuestas a sus preguntas secretas. Pero el código PIN y las preguntas secretas ya habían sido cambiados por la persona que volvió a registrarse como él en Experian.

“Pude responder con éxito las preguntas del informe de crédito, lo que me autenticó en su sistema”, dijo Turner. “En ese momento, el representante me estaba leyendo los problemas de seguridad almacenados actualmente y el PIN, y definitivamente no eran cosas que debería haber usado”.

Turner dijo que podría recuperar el control de su cuenta de Experian creando una nueva cuenta. Pero ahora se pregunta qué más puede hacer para evitar otro compromiso de cuenta.

“La parte más frustrante de todo es que recibí varios correos electrónicos” aquí está su información de inicio de sesión “más tarde, que atribuí a los atacantes originales que regresaron e intentaron usar el feed” correo electrónico / nombre de usuario olvidado “, probablemente con mi SSN y DOB , pero no fue a su correo electrónico como esperaban “, dijo Turner. “Dado que Experian no admite autenticación de dos factores de ningún tipo, y que no sé cómo pudieron acceder a mi cuenta en primer lugar, yo Me he sentido muy impotente desde entonces”.

Arturo Rishi es músico y codirector ejecutivo de la Boston Landmarks Orchestra. Rishi dijo que recientemente descubrió que su cuenta de Experian había sido secuestrada después de recibir una advertencia de su servicio de monitoreo de crédito (no de Experians) de que alguien había intentado abrir una cuenta a su nombre con JPMorgan Chase.

Rishi dijo que la advertencia lo sorprendió porque su archivo de crédito en Experian estaba congelado en ese momento y Experian no le notificó ninguna actividad en su cuenta. Rishi dijo que Chase acordó suspender la solicitud de cuenta no autorizada e incluso suspendió su solicitud de crédito (cada orden de crédito puede hacer algo con respecto a su puntaje de crédito).

Pero nunca pudo lograr que alguien del soporte de Experian respondiera el teléfono, a pesar de que pasó una eternidad tratando de avanzar a través del sistema basado en teléfonos de la compañía. Fue entonces cuando Rishi decidió ver si podía crear una nueva cuenta para sí mismo en Experian.

“Pude abrir una nueva cuenta en Experian desde el principio, con mi SSN, fecha de nacimiento y responder algunas preguntas realmente básicas, como para qué tipo de automóvil pidió prestado o en qué ciudad vivía antes”, dijo Rishi. .

Después de completar el registro, Rishi notó que su crédito estaba descongelado.

Al igual que Turner, a Rishi ahora le preocupa que los ladrones de identidad solo secuestren su cuenta de Experian una vez más, y que no hay nada que pueda hacer para evitar ese escenario. Por ahora, Rishi ha decidido pagar a Experian $ 25,99 al mes para monitorear más de cerca su cuenta de actividad sospechosa. Incluso cuando usaba el servicio pago de Experian, no había opciones de autenticación multifactor adicionales disponibles, aunque dijo que Experian recientemente envió un código único a su teléfono a través de SMS cuando inició sesión.

“Experian ahora a veces requiere MFA para mí si uso un nuevo navegador o tengo mi VPN activada”, dijo Rishi, pero no está seguro de si el servicio gratuito de Experian hubiera funcionado de manera diferente.

“Me enojo mucho cuando pienso en todo esto”, dijo. “No tengo confianza en que esto no vuelva a suceder”.

En una declaración escrita, Experian sugirió que lo que les sucedió a Rishi y Turner no fue un evento normal, y que sus métodos de seguridad y verificación de identidad van más allá de lo que es visible para el usuario.

“Creemos que estos son casos aislados de fraude que utilizan información de consumidores robada”, dijo Experian en un comunicado. “Especialmente para su pregunta, una vez que se ha creado una cuenta de Experian, si alguien intenta crear una segunda cuenta de Experian, nuestros sistemas notificarán el correo electrónico original”.

“Vamos más allá de confiar en la información de identificación personal (PII) o la capacidad de un consumidor para responder a las preguntas de autenticación basadas en el conocimiento para acceder a nuestros sistemas”, continuó el comunicado. “No divulgamos más procesos por razones obvias de seguridad; sin embargo, nuestras capacidades de datos y análisis verifican los elementos de identidad en múltiples fuentes de datos y no son visibles para el consumidor. Esto está diseñado para crear una experiencia más positiva para nuestros consumidores y para proporcionar información adicional”. capas de protección Nos tomamos en serio la integridad y la seguridad del consumidor, y revisamos continuamente nuestros procesos de seguridad para protegernos de las amenazas constantes y cambiantes de los estafadores”.

ANÁLISIS

KrebsOnSecurity intentó replicar la experiencia de Turner y Rishi para ver si Experian me permitiría recrear mi cuenta con mi información personal pero con una dirección de correo electrónico diferente. El experimento se realizó desde una computadora y dirección de Internet diferente a la que creó la cuenta original hace varios años.

Después de ingresar mi número de seguro social (SSN), fecha de nacimiento y responder preguntas de opción múltiple cuyas respuestas provienen casi en su totalidad de registros públicos, Experian cambió de inmediato la dirección de correo electrónico asociada con mi archivo de crédito. Lo hizo sin confirmar primero que la nueva dirección de correo electrónico podía responder a los mensajes o que la dirección de correo electrónico anterior aprobaba el cambio.

Luego, el sistema de Experian envió un mensaje automático a la dirección de correo electrónico original registrada, indicando que la dirección de correo electrónico de la cuenta había cambiado. El único remedio que Experian ofreció en la alerta fue iniciar sesión o enviar un correo electrónico a una bandeja de entrada de Experian que responde con el mensaje “esta dirección de correo electrónico ya no se supervisa”.

Después de eso, Experian me pidió que seleccionara nuevas preguntas y respuestas secretas, así como un nuevo PIN de cuenta, lo que elimina efectivamente el código PIN de la cuenta y las preguntas de recuperación previamente seleccionadas. Una vez que cambié el PIN y los problemas de seguridad, el sitio web de Experian me recordó amablemente que tenía un congelamiento de seguridad registrado y que me gustaría eliminar o cancelar temporalmente el congelamiento de seguridad.

Para ser claros, Experian hace tiene una unidad de negocio que vende servicios de contraseñas de un solo uso a empresas. Si bien el sistema de Experian solicitó un número de teléfono móvil cuando me registré por segunda vez, ese número no recibió un mensaje de Experian en ningún momento. Tampoco pude ver ninguna opción en mi cuenta para habilitar la autenticación multifactor para todos los inicios de sesión.

¿En qué se diferencia Experian de la práctica para equifax y transunion, las otras dos grandes agencias de crédito al consumo? Cuando KrebsOnSecurity intentó recrear una cuenta de TransUnion existente con mi número de seguro social, TransUnion rechazó la solicitud, señaló que ya tenía una cuenta y me indicó que continuara con el flujo de contraseñas perdidas. La empresa también parece enviar un correo electrónico a la dirección registrada y solicitar validar los cambios de cuenta.

De manera similar, tratar de recrear una cuenta existente en Equifax usando información personal vinculada a mi cuenta existente hace que el sistema de Equifax informe que ya tengo una cuenta y use su proceso de recuperación de contraseña (lo que significa que se envió un correo electrónico de verificación a la dirección registrada).

KrebsOnSecurity ha instado durante mucho tiempo a los lectores de los Estados Unidos a invertir un congelamiento de seguridad de sus archivos con las tres principales agencias de crédito. Con un congelamiento, los posibles acreedores no podrán retirar su archivo de crédito, lo que hace que sea muy poco probable que a alguien se le otorguen nuevas líneas de crédito a su nombre. También aconsejo a los lectores que plantar su bandera en las tres principales agenciaspara evitar que los ladrones de identidad creen una cuenta para usted y tomen el control de su identidad.

La experiencia de Rishi, Turner y este autor sugiere que los métodos de Experian actualmente están socavando estas dos medidas de seguridad proactivas. Todavía, Tener una cuenta activa con Experian puede ser la única forma de saber cuándo los delincuentes han asumido su identidad. Porque entonces al menos debería recibir un correo electrónico de Experian diciendo que le han dado su identidad a otra persona.

En abril de 2021, KrebsOnSecurity reveló cómo eran los ladrones de identidad utiliza autenticación suelta en la página de recuperación de PIN de Experian para desbloquear archivos de crédito de consumo. En estos casos, Experian no envió ningún mensaje de correo electrónico cuando se recuperó un PIN bloqueado, ni requirió que se enviara el PIN a una dirección de correo electrónico ya vinculada a la cuenta del consumidor.

Unos días después de la historia de abril de 2021, KrebsOnSecurity contó la noticia de que una API de Experian reveló los valores crediticios de la mayoría de los estadounidenses.

emory ruanoasesor político de Cámara de compensación de derechos de privacidadExperian dijo que no ofrecer autenticación multifactor para cuentas de consumidores es imperdonable en 2022.

“Agravan el problema al bloquear el proceso de recuperación con información que probablemente esté disponible o que podría inferirse de corredores de datos de terceros, o que podría haber sido revelada en violaciones de datos anteriores”, dijo Roan. “Experian es una de las agencias de informes de consumidores más grandes del país, confiable como uno de los pocos actores clave en un sistema de crédito del que los estadounidenses se ven obligados a formar parte. Para ellos, no ofrecer a los consumidores ningún MFA (gratuito) es desconcertante y se refleja extremadamente mal en Experian”.

Nicolás Tejedorun investigador para Instituto Internacional de Ciencias de la Computación en Universidad de California, Berkeley, dijo que Experian no tiene ningún incentivo real para hacer las cosas bien en el lado del consumidor de su negocio. Es decir, dijo, a menos que los clientes de Experian (bancos y otros prestamistas) opten por votar con los pies porque demasiadas personas con archivos de crédito congelados tienen que lidiar con solicitudes no autorizadas de nuevo crédito.

“Los clientes reales del servicio de crédito no se dan cuenta de lo mucho peor que es Experian, y esta no es la primera vez que Experian se equivoca terriblemente”, dijo Weaver. “Experian es parte de un triopolo, y estoy seguro de que esto les cuesta dinero a sus clientes reales, porque si tiene un congelamiento de crédito que se cancela y alguien pide prestado contra él, es el prestamista el que se come el costo del fraude”.

Y a diferencia de los consumidores, dijo, los prestamistas pueden elegir cuál de los tres polos maneja sus verificaciones de crédito.

“Creo que es importante señalar que sus clientes reales tienen una opción y deben cambiarse a TransUnion y Equifax”, agregó.

Más grandes éxitos de Experian:

2017: El sitio web de Experian puede dar a cualquier persona su PIN de congelación de crédito
2015: Experian Breach afecta a 15 millones de clientes
2015: Crimen de Experian vinculado al robo de identidad NY-NJ
2015: En Experian, Desgaste de seguridad en medio de adquisiciones
2015: Experian fue víctima de una demanda colectiva por robo de identidad
2014: Experian Lapse permitió el acceso del servicio de robo de identidad a 200 millones de registros de consumidores
2013: Experian vendió datos de consumidores al servicio de robo de identidad

Actualización, 10:32: Se actualizó la historia para aclarar que, aunque Experian a veces pide a los usuarios que ingresen un código único enviado por SMS al número registrado, no parece haber una opción para habilitar esto en todos los inicios de sesión.

Leave a Comment