Experianの欠陥はクレジットデータを保護するPINを明らかにした

クレジットフリーズは、犯罪者があなたの名前で偽の口座を開く新しい口座詐欺を防止する最善の方法です。しかし、1つの与信局のサイトでは、あなたの信用報告書を安全に保つことになっているセキュリティを迂回するのは辛抱強く困難でした。

Experianのサイトでは、ユーザーがブランケット回答でセキュリティに関する質問に答えた後、個人識別番号（クレジットフリーズを解消するために必要な暗証番号）が公開されています。

1年以上前、セキュリティ専門家Brian Krebsも同様の欠陥を報告しました。その時点で、人々はそれを識別するために使用された4つの「知識ベースの認証」の質問に正しく答えなければなりませんでした。クレブス氏によると、この方法の問題は、回答をうまく推測するために必要な個人情報が、商業サイトと犯罪サイトを通じてオンラインですぐに入手できることです。

しかし、木曜日の数時間、そしてその前に誰が知っていたのか、あなたは推測する必要はありませんでした。

読者がこの問題を警告し、クレジットフリーズした私たちのいくつかがそれを複製することができました。私たちはFacebookやTwitterでフォロワーに尋ね、自分のPINにもアクセスできる他の人から聞いた。

通常のプロセスの欠陥

数字を取得するために、人々はExperianのPIN検索ページのフォームに、氏名、住所、社会保障番号、生年月日（正確には昨年のEquifax違反で侵害された情報の種類）を記入した。ダークウェブ上でフォームには、必ずしもその人のExperianアカウントに関連付けられている必要はなかった電子メールアドレスが必要でした。セキュリティ上の質問に「上記のどれも」答えなかった場合、たとえ提案された回答の一部が正しかったとしても、その人のPINにアクセスできました。

PINを使用すると、誰でもその人のクレジット・フリーズを解凍し、クレジットを自分の名前で申請することができます。

消費者団体のMike Littもこの欠陥を使って自分のPINを取得することができました。 「これには絶対に言い訳はありません」と公益支援団体である米PIRGのキャンペーンディレクター、リット氏は言います。 "どのようにウェルカムマットの上のドアに鍵を置いておくだけですか？"

Experianのスポークスマンは木曜日の午後、「認証が安全であり、クレジットファイルが危険にさらされていないと確信していますが、プロセスをより安全にするために追加の措置を講じています。我々は、データセキュリティを強化するために必要なときに即座に行動し、システムを定期的に監視し続けています。

エラーメッセージが表示される

木曜日遅くまでに、私たちの多くは最初に私たちの回答が生成すべきであったエラーメッセージを得ることを始めました。私たちはExperianに、運転免許証、公益法案、社会保障カードのコピーなどの特定情報を郵送するように指示されました。

米国の郵便は、このような情報を送信する安全な方法ではありません。しかし、これらの詳細はすでに犯罪者の手にある可能性が高いので、今はそのままにしておきます。

これは、クレジットが凍結されていても、詐欺勘定の信用調査報告とスコアを監視し続ける必要があることをもう一度思い出させるものです。

本当に悲惨なのは、セキュリティの凍結が、人々が不正行為に対抗できる効果的な少数の有効な防波堤の1つであると考えられるということです。だからこそ、セキュリティ専門家は何年もの間、彼らを推薦してきたのです。そして、議会は9月21日から最終的にフリーズし解凍しました。

この本質的な保護が妨げられる可能性があることは、信用調査機関が依然として情報のセキュリティを真剣に受け止めていないことを示しています。

スタッフの筆者Bev O'Sheaがこのレポートに貢献しました。