Kesalahan Experian Hanya Dicuri PIN Melindungi Data Kredit

Pembekuan kredit adalah cara terbaik untuk mencegah penipuan akaun baru, di mana penjenayah membuka akaun palsu dalam nama anda. Tetapi satu laman biro kredit menjadikannya mudah untuk mengelakkan keselamatan yang sepatutnya menyimpan laporan kredit anda dengan selamat.

Laman Experian mendedahkan nombor pengenalan diri - PIN yang diperlukan untuk membebaskan kredit - selepas pengguna menjawab soalan keselamatan mereka dengan jawaban selimut: Tiada di atas.

Lebih setahun yang lalu, pakar keselamatan Brian Krebs melaporkan kecacatan yang sama. Pada ketika itu, orang terpaksa menjawab dengan betul empat soalan "pengesahan berasaskan pengetahuan" yang digunakan untuk mengenal pasti mereka. Masalah dengan kaedah ini, menurut Krebs, ialah maklumat peribadi yang diperlukan untuk berjaya meneka jawapannya tersedia secara dalam talian melalui laman komersial dan jenayah.

Tetapi selama beberapa jam Khamis - dan siapa yang tahu berapa lama sebelum itu - anda tidak perlu meneka.

Seorang pembaca memberi isyarat kepada kami untuk isu ini, dan beberapa daripada kami yang membebaskan kredit dapat meniru itu. Kami meminta pengikut kami di Facebook dan Twitter dan mendengar daripada orang lain yang juga mendapat akses kepada PIN mereka.

Kesilapan dalam proses biasa

Untuk mendapatkan nombor tersebut, orang mengisi borang pada halaman pengambilan PIN Experian dengan nama, alamat, nombor Keselamatan Sosial dan tarikh lahir seseorang - betul-betul jenis maklumat yang telah dikompromi dalam pelanggaran Equifax tahun lepas, dan itu tersedia untuk dijual di laman web gelap. Borang tersebut memerlukan alamat e-mel, yang tidak semestinya perlu dikaitkan dengan akaun Experian orang tersebut. Menjawab "tidak ada di atas" kepada soalan keselamatan - walaupun terdapat beberapa jawapan yang diberikan adalah betul - memberikan akses kepada PIN orang tersebut.

Dengan PIN, sesiapa sahaja boleh mencairkan kredit orang itu dan memohon kredit atas namanya.

Penyokong pengguna Mike Litt juga dapat mengambil PIN menggunakan kekurangannya. "Tidak semestinya ada alasan untuk ini," kata Litt, pengarah kempen untuk PIRG A.S., sebuah organisasi advokasi kepentingan awam. "Bagaimanakah anda hanya meninggalkan kunci ke pintu di atas meja selamat datang?"

Jurucakap Experian mengeluarkan kenyataan pada petang Khamis yang berkata, "Walaupun kami yakin pengesahan kami selamat dan tidak ada risiko kredit, kami telah mengambil langkah tambahan untuk menjadikan proses itu lebih selamat. Kami terus memantau sistem kami secara rutin, mengambil tindakan segera apabila diperlukan untuk mengukuhkan keselamatan data."

Mesej ralat sepakan

Menjelang lewat Khamis, ramai di antara kita mula mendapat mesej ralat bahawa respons kami seharusnya dijana di tempat pertama. Kami diarahkan untuk menghantar maklumat pengenalpastian kami seperti Experian, seperti salinan lesen pemandu kami, bil utiliti dan kad Keselamatan Sosial.

Mel A.S., sekiranya ini perlu dikatakan, bukan cara yang selamat untuk menghantar maklumat tersebut. Tetapi kerana butiran ini berkemungkinan sudah berada di tangan jenayah, kami akan meninggalkannya buat masa ini.

Ini adalah satu lagi peringatan bahawa kita perlu terus memantau laporan kredit dan skor untuk akaun penipuan, walaupun kita mempunyai kredit membekukan - seperti yang kita masih perlu.

Yang benar-benar menyedihkan adalah bahawa keselamatan membeku sepatutnya menjadi salah satu daripada beberapa bungkus yang berkesan orang boleh menentang penipuan. Itulah sebabnya pakar keselamatan telah mencadangkan mereka selama bertahun-tahun, dan mengapa Kongres akhirnya membeku dan mencairkan percuma mulai 21 September.

Mudah-mudahan perlindungan penting ini dapat dicegah memberitahu kami bahawa biro kredit masih tidak mengambil keselamatan maklumat kami dengan cukup serius.

Penulis kakitangan Bev O'Shea menyumbang laporan ini.