En 2017, le portail KrebsOnSecurity a déjà signalé une vulnérabilité dans l'un des trois plus grands bureaux de crédit aux États-Unis. La vulnérabilité permet aux attaquants d'annuler la demande d'un client Experian de geler un compte de crédit et d'accéder à ses données personnelles. La semaine dernière, un client a déclaré aux employés de KrebsOnSecurity qu'il était toujours possible de débloquer un compte sans se connecter au compte approprié sur le site Web d'Experian. J'ai décidé de relancer le sujet sensible des problèmes de sécurité des systèmes d'information des bureaux de crédit.
Si votre compte de crédit est gelé et que vous souhaitez recevoir un code PIN oublié ou perdu, vous pouvez le demander ici. Un NIP est nécessaire pour débloquer et permettre au prêteur d'accéder à votre historique de crédit.
Experian a une page dédiée où vous pouvez entrer des informations pour récupérer un code PIN oublié. Les attaquants peuvent également profiter de cette opportunité «pratique» pour connaître votre code PIN. Mais pour cela, vous devez avoir suffisamment d'informations sur vous. Auparavant, nous espérions qu'il ne serait pas possible de répondre à toutes les questions en ayant les données personnelles de quelqu'un d'autre avec vous, qui fuient périodiquement dans le réseau à partir de la base de données Equifax et d'autres bureaux de crédit.
Témoignage client
L'année dernière, Dune Thomas, un ingénieur logiciel basé à Sacramento, en Californie, a gelé ses comptes de crédit chez Experian, Equifax et TransUnion après avoir appris que des escrocs essayaient d'accéder aux fonds des comptes en utilisant l'adresse de sa maison vide (dans l'État de Washington). à vendre.
Mais après un certain temps, les escrocs l'ont à nouveau repris. Début avril, ils ont débloqué le compte Experian de Thomas et ont immédiatement demandé de nouvelles lignes de crédit à son nom, en utilisant à nouveau la même adresse à Washington DC. Thomas n'a reçu aucune notification de nouveaux prêts. Il ne l'a découvert que parce qu'il utilisait un service gratuit de surveillance du crédit de sa société de cartes de crédit.
Après quelques jours de conversation téléphonique avec Experian, un représentant de l'entreprise a admis que quelqu'un avait utilisé la fonction de demande de votre code PIN sur le site Web d'Experian et avait reçu son code PIN, puis avait décongelé le compte.
Thomas et son ami ont décidé de passer eux-mêmes par le processus de récupération du code PIN d'Experian et ont été surpris: une seule des cinq questions à choix multiples (qui leur ont été posées après avoir entré leur adresse, leur numéro de sécurité sociale et leur date de naissance) était le dernier bastion de la sécurité. . Il est peu probable qu'un chèque aussi faible puisse lier les mains des escrocs pendant longtemps.
Enquête KrebsOnSecurity
Un employé de KrebsOnSecurity a suivi la même procédure et a trouvé des résultats similaires. La première question sur une nouvelle hypothèque, que j'aurais prise en 2019 (je ne l'ai pas fait), est naturellement devenue folle. La deuxième question, non moins étrange, y est également allée.
Les deux questions suivantes se sont avérées inutiles, car elles avaient déjà été posées et répondues (eh bien, ces données se trouvent généralement dans les bases de données fusionnées dans le réseau):
- « ?»
- « , ?»
Une seule question portait sur l'affaire et concernait mes antécédents de crédit (il s'agissait des quatre derniers chiffres du numéro de compte actuel).
Et la cerise sur le gâteau de ce gâteau d'authentification gâté est que vous pouvez entrer n'importe quelle adresse e-mail pour obtenir un code PIN - il ne peut en aucun cas être associé à un compte existant dans le système Experian. De plus, lors de l'envoi d'un code PIN, Experian ne se soucie pas d'envoyer des notifications appropriées à d'autres adresses e-mail déjà associées à ce client.
Enfin, un compte avec des fonctionnalités de base (lire: gratuit) empêche les utilisateurs d'Experian d'activer l'authentification multifacteur. Bien que cela aurait pu empêcher un vol de code PIN similaire.
Il s'avère que vous pouvez acheter un abonnement au service publicisé CreditLock avec une description déroutante. Vous devez payer entre 14,99 $ et 24,99 $ par mois pour pouvoir «bloquer et débloquer facilement et rapidement votre historique [de crédit] sans retarder le processus de demande». Les utilisateurs de CreditLock peuvent utiliser l'authentification multifacteur et être également avertis lorsque quelqu'un tente d'accéder à leur compte.
Thomas est scandalisé qu'Experian n'offre la sécurité qu'aux clients qui paient pour cela tous les mois:
«Experian avait la capacité de protéger en toute sécurité les gens avec une authentification supplémentaire, mais ils ne l'ont pas fait parce qu'ils pourraient demander 25 $ par mois pour un tel service. Ils ne clôturent pas intentionnellement cette faille de sécurité pour réaliser un profit. Et cela dure depuis au moins quatre ans. "
Un mensonge marketing?
Lorsqu'un client avec un compte de crédit gelé se connecte au site Web d'Experian, il est immédiatement redirigé vers un message concernant l'un des services payants d'Experian, dans ce cas CreditLock. Le message que j'ai vu lorsque je me suis connecté confirme les propos de Thomas: malgré le fait que j'ai gelé, mon "niveau de protection" actuel était "faible", car mon historique de crédit était censé être consulté:
«Lorsque vos antécédents de crédit sont débloqués, vous êtes plus vulnérable au vol d'identité et à la fraude», écrit Experian. «Vous ne verrez pas de notifications si quelqu'un essaie d'accéder à votre historique. Les banques peuvent le consulter si vous demandez un prêt ou un prêt. Vos antécédents de crédit peuvent [également] être consultés par les fournisseurs de services publics et d'autres fournisseurs. "
Alors Experian me fait peur parce que je ne me suis pas encore inscrit à leur service payant CreditLock.
Cela semble effrayant, non? Mais la vérité est que, à l'exception de la phrase de non-notification, aucune des déclarations ci-dessus n'est vraie si votre compte de crédit est déjà gelé. Le gel, en fait, bloque déjà la possibilité de consulter votre historique de crédit.
Si votre compte de crédit est gelé, les attaquants peuvent demander autant qu'ils le souhaitent en votre nom, mais ils ne pourront pas ouvrir de nouvelles marges de crédit. Il est peu probable qu'un prêteur approuve ce prêt sans être en mesure d'évaluer le degré de risque de le donner (c'est-à-dire qu'il doit examiner vos antécédents de crédit). Vous pouvez désormais geler un prêt gratuitement dans n'importe quel État des États-Unis.
Experian, comme d'autres bureaux de crédit, utilise délibérément le terme déroutant «blocage» pour intimider les consommateurs à payer pour des services d'abonnement mensuel. Le seul argument en faveur de ces services est que les prêteurs pourront consulter votre historique plus rapidement lors de la demande d'un nouveau prêt. En pratique, cela peut être vrai ou non. En attendant, considérez pourquoi il est si important pour Experian de convaincre les consommateurs de s'abonner à leur service CreditLock .
Rien de personnel - Juste des affaires
La vraie raison est qu'Experian gagne de l'argent chaque fois que quelqu'un demande un historique de crédit en votre nom - et ne veut pas vous gêner. L'abonnement au service de «blocage» permet à Experian de continuer à vendre des informations de crédit à des tiers. Dans la section FAQ, les employés d'Experian écrivent qu'après le blocage de votre historique de crédit, de nombreuses entreprises restent disponibles, notamment:
- employeurs potentiels ou compagnies d'assurance;
- les agences de recouvrement agissant au nom de vos créanciers;
- les entreprises proposant des offres de cartes de crédit pré-approuvées;
- les entreprises qui ont une relation de crédit existante avec vous (y compris les prêts gelés);
- et il est également disponible pour des offres spéciales d'Experian.
Il est dommage qu'en offrant une protection supplémentaire uniquement aux personnes qui paient chaque mois à l'entreprise un montant élevé pour vendre leurs propres données personnelles, Experian puisse se soustraire à ses responsabilités. Il est également surprenant que cette faille de sécurité, dont j'ai parlé en 2017, n'ait pas encore été fermée en 2021.
Mais Experian n'est pas unique dans ce domaine. En 2019, j'ai écrit sur la façon dont le nouveau site Web du bureau de crédit d'Equifax, MyEquifax, permettait aux voleurs de geler plus facilement un prêt en contournant un code PIN. Les attaquants avaient seulement besoin de connaître votre nom, votre numéro de sécurité sociale et votre date de naissance.
Également en 2019, les voleurs d'identité ont pu obtenir une copie de mes antécédents de crédit auprès de TransUnion. Ils ont deviné mes réponses aux questions - similaires à celles posées par Experian. Je ne l'ai découvert qu'après qu'un détective de Washington me l'ait dit après coup. Une copie a été trouvée sur un disque amovible d'un résident local arrêté pour vol d'identité dans le cadre d'un gang de cybercriminels.
Les spécialistes de TransUnion ont mené une enquête et ont constaté que mes données étaient vraiment transmises aux cybercriminels par la faute du Bureau. Mais en 2020, ils se sont réhabilités lorsqu'ils ont bloqué une autre tentative frauduleuse d'obtenir mes antécédents de crédit:
«Grâce à notre enquête, nous avons établi qu'une tentative similaire pour récupérer votre histoire a eu lieu en avril 2020 et a été bloquée avec succès par des contrôles améliorés que TransUnion a mis en œuvre depuis l'année dernière. TransUnion déploie un programme de sécurité à plusieurs niveaux pour lutter contre la menace toujours croissante de fraude, de cyberattaques et d'activités malveillantes. Dans l'environnement dynamique d'aujourd'hui, TransUnion étend et améliore continuellement ses contrôles pour faire face aux dernières menaces de sécurité tout en permettant aux clients d'accéder à leurs données.
Épilogue: hackers non russes
Hier, 28 avril, les employés du portail KrebsOnSecurity ont appris que le bureau de crédit Experian avait éliminé la vulnérabilité d'un site partenaire dangereux. Il permettait à quiconque souhaitait connaître la cote de crédit personnelle de dizaines de millions d'Américains en entrant simplement son nom et son adresse e-mail. Experian dit avoir corrigé la violation de données, mais Bill Demirkapi, l'expert indépendant en cybersécurité qui a signalé la découverte, craint que la même vulnérabilité ne soit présente sur d'innombrables autres sites partenaires qui travaillent avec le bureau de crédit.
Mais que dire des partenaires, quand quelque chose ... d'intéressant se passe aussi avec l'API du système d'information d'Experian lui-même.
Demirkapi a découvert que l'API Experian est accessible directement sans aucune authentification. La saisie de tous les zéros dans le champ «date de naissance» renverra la cote de crédit de la personne. Il a même créé un utilitaire de console qu'il a appelé Bill's Cool Credit Score Lookup Utility.
Nos machines virtuelles peuvent être utilisées pour le développement et l'hébergement de sites Web.
Inscrivez-vous en utilisant le lien ci-dessus ou en cliquant sur la bannière et bénéficiez d'une remise de 10% pour le premier mois de location d'un serveur de toute configuration!
