Pada tahun 2017, portal KrebsOnSecurity telah melaporkan kerentanan di salah satu dari tiga biro kredit terbesar di Amerika Serikat. Kerentanan memungkinkan penyerang membatalkan permintaan klien Experian untuk membekukan akun kredit dan mendapatkan akses ke data pribadinya. Minggu lalu, pelanggan memberi tahu karyawan KrebsOnSecurity bahwa masih memungkinkan untuk mencairkan akun tanpa masuk ke akun yang sesuai di situs web Experian. Saya memutuskan untuk mengangkat kembali topik sensitif tentang masalah keamanan sistem informasi biro kredit.
Jika akun kredit Anda dibekukan dan Anda ingin menerima PIN yang terlupa atau hilang, Anda dapat memintanya di sini. PIN diperlukan untuk membebaskan dan memberi pemberi pinjaman akses ke riwayat kredit Anda.
Experian memiliki halaman khusus tempat Anda dapat memasukkan informasi untuk memulihkan PIN yang terlupa. Penyerang juga dapat memanfaatkan kesempatan "mudah" ini untuk mengetahui PIN Anda. Tetapi untuk ini, Anda perlu memiliki informasi yang cukup tentang Anda. Sebelumnya, kami berharap tidak semua pertanyaan dapat dijawab dengan memiliki data pribadi orang lain, yang secara berkala bocor ke jaringan dari database Equifax dan biro kredit lainnya.
Kisah klien
Tahun lalu, Dune Thomas, seorang insinyur perangkat lunak yang berbasis di Sacramento, California, membekukan akun kreditnya di Experian, Equifax dan TransUnion setelah dia mengetahui bahwa penipu mencoba mengakses dana di akun menggunakan alamat rumahnya yang kosong (di negara bagian Washington) dijual.
Tapi setelah beberapa saat, para scammer kembali melakukannya. Pada awal April, mereka mencairkan akun Thomas's Experian dan segera mengajukan jalur kredit baru atas namanya, sekali lagi menggunakan alamat Washington DC yang sama. Thomas belum menerima pemberitahuan pinjaman baru. Dia mengetahuinya hanya karena dia menggunakan layanan pemantauan kredit gratis dari perusahaan kartu kreditnya.
Setelah beberapa hari melakukan percakapan telepon dengan Experian, perwakilan perusahaan mengakui bahwa seseorang telah menggunakan fitur permintaan PIN Anda di situs web Experian dan menerima PIN mereka, lalu mencairkan akun tersebut.
Thomas dan temannya memutuskan untuk menjalani proses pemulihan PIN Experian sendiri dan terkejut: hanya satu dari lima pertanyaan pilihan ganda (yang ditanyakan setelah memasukkan alamat, nomor jaminan sosial, dan tanggal lahir) adalah benteng keamanan terakhir. . Tidak mungkin pemeriksaan yang lemah seperti itu bisa mengikat tangan penipu untuk waktu yang lama.
Investigasi KrebsOnSecurity
Seorang karyawan KrebsOnSecurity menjalani prosedur yang sama dan menemukan hasil yang serupa. Pertanyaan pertama tentang hipotek baru, yang diduga saya ambil pada tahun 2019 (saya tidak melakukannya), secara alami menjadi liar. Pertanyaan kedua yang tidak kalah anehnya juga pergi ke sana.
Dua pertanyaan berikut ini ternyata tidak berguna, karena sudah pernah ditanyakan dan dijawab (nah, biasanya data ini ada di database yang digabung ke dalam jaringan):
- « ?»
- « , ?»
Hanya satu pertanyaan tentang kasus ini dan terkait dengan riwayat kredit saya (itu tentang empat digit terakhir dari nomor rekening saat ini).
Dan ceri di atas kue otentikasi yang rusak ini adalah Anda dapat memasukkan alamat email apa pun untuk mendapatkan PIN - itu mungkin tidak terkait dengan akun yang ada di sistem Experian dengan cara apa pun. Selain itu, saat mengirim PIN, Experian tidak perlu khawatir tentang mengirim pemberitahuan yang sesuai ke alamat email lain yang sudah terkait dengan klien ini.
Terakhir, akun dengan fungsionalitas dasar (baca: gratis) mencegah pengguna Experian mengaktifkan otentikasi multi-faktor. Meski bisa mencegah pencurian PIN serupa.
Ternyata Anda dapat membeli langganan layanan CreditLock yang dipublikasikan dengan deskripsi yang membingungkan. Anda harus membayar antara $ 14,99 dan $ 24,99 per bulan untuk kemampuan "memblokir dan membuka blokir riwayat [kredit] dengan mudah dan cepat tanpa menunda proses aplikasi." Pengguna CreditLock dapat menggunakan otentikasi multi-faktor dan juga mendapatkan pemberitahuan ketika seseorang mencoba mengakses akun mereka.
Thomas marah karena Experian hanya memberikan keamanan bagi pelanggan yang membayarnya setiap bulan:
“Experian memiliki kemampuan untuk melindungi orang-orang secara aman dengan otentikasi tambahan, tetapi mereka tidak melakukannya karena mereka mungkin meminta $ 25 sebulan untuk layanan semacam itu. Mereka tidak dengan sengaja menutup lubang keamanan ini untuk mendapatkan keuntungan. Dan ini telah berlangsung setidaknya selama empat tahun. "
Kebohongan pemasaran?
Ketika pelanggan dengan akun kredit beku masuk ke situs web Experian, mereka segera dialihkan ke pesan tentang salah satu layanan berbayar Experian, dalam hal ini CreditLock. Pesan yang saya lihat ketika saya masuk mengonfirmasi kata-kata Thomas: terlepas dari kenyataan bahwa saya mengalami pembekuan, "tingkat perlindungan" saya saat ini adalah "rendah", karena riwayat kredit saya seharusnya tersedia untuk dilihat:
"Ketika riwayat kredit Anda tidak terkunci, Anda lebih rentan terhadap pencurian identitas dan penipuan," tulis Experian. “Anda tidak akan melihat pemberitahuan jika seseorang mencoba mengakses riwayat Anda. Bank dapat melihatnya jika Anda mengajukan pinjaman atau pinjaman. Riwayat kredit Anda [juga] dapat dilihat oleh penyedia utilitas dan penyedia lainnya. "
Jadi, Experian membuat saya takut karena saya belum mendaftar CreditLock layanan berbayar mereka.
Kedengarannya menakutkan, bukan? Tetapi kenyataannya, dengan pengecualian frase tanpa pemberitahuan, tidak ada pernyataan di atas yang benar jika akun kredit Anda sudah dibekukan. Sebenarnya, pembekuan sudah memblokir kemampuan untuk melihat riwayat kredit Anda.
Jika akun kredit Anda dibekukan, penyerang dapat mengajukan permohonan sebanyak yang mereka inginkan atas nama Anda, tetapi mereka tidak akan dapat membuka jalur kredit baru. Tidak mungkin ada pemberi pinjaman yang akan menyetujui pinjaman ini tanpa dapat menilai seberapa berisiko memberikannya (yaitu, mereka perlu melihat riwayat kredit Anda). Sekarang Anda dapat membekukan pinjaman secara gratis di negara bagian mana pun di Amerika Serikat.
Experian, seperti biro kredit lainnya, sengaja menggunakan istilah “pemblokiran” yang membingungkan untuk mengintimidasi konsumen agar membayar layanan langganan bulanan. Satu-satunya argumen yang mendukung layanan tersebut adalah bahwa pemberi pinjaman akan dapat melihat riwayat Anda lebih cepat saat mengajukan pinjaman baru. Dalam praktiknya, ini mungkin benar atau mungkin tidak. Sementara itu, pertimbangkan mengapa sangat penting bagi Experian untuk meyakinkan konsumen agar berlangganan layanan CreditLock mereka .
Tidak Ada yang Pribadi - Hanya Bisnis
Alasan sebenarnya adalah bahwa Experian menghasilkan uang setiap kali seseorang meminta riwayat kredit atas nama Anda - dan tidak ingin menghalangi. Berlangganan ke layanan "pemblokiran" memungkinkan Experian untuk terus menjual informasi kredit kepada pihak ketiga. Di bagian FAQ, karyawan Experian menulis bahwa setelah memblokir riwayat kredit Anda tetap tersedia untuk banyak perusahaan, termasuk:
- calon pemberi kerja atau perusahaan asuransi;
- agen penagihan yang bertindak atas nama kreditor Anda;
- perusahaan yang memberikan penawaran kartu kredit yang telah disetujui sebelumnya;
- perusahaan yang memiliki hubungan kredit dengan Anda (termasuk pinjaman yang dibekukan);
- dan juga tersedia untuk penawaran khusus dari Experian.
Sangat disayangkan bahwa dengan menawarkan perlindungan tambahan hanya kepada orang-orang yang membayar perusahaan dengan jumlah yang besar setiap bulan untuk menjual data pribadi mereka sendiri, Experian dapat menghindari tanggung jawab. Mengejutkan juga bahwa lubang keamanan ini, yang saya tulis di tahun 2017 lalu, belum ditutup di tahun 2021.
Tapi Experian tidak unik dalam hal ini. Pada tahun 2019, saya menulis tentang bagaimana situs web baru biro kredit Equifax, MyEquifax, mempermudah pencuri untuk membekukan pinjaman dengan melewati kode PIN. Penyerang hanya perlu mengetahui nama, nomor jaminan sosial, dan tanggal lahir Anda.
Juga pada tahun 2019, pencuri identitas dapat memperoleh salinan riwayat kredit saya dari TransUnion. Mereka menebak jawaban saya atas pertanyaan - mirip dengan yang diajukan oleh Experian. Saya baru tahu setelah seorang detektif Washington memberi tahu saya setelah kejadian itu. Sebuah salinan ditemukan pada disk yang dapat dilepas dari seorang penduduk lokal yang ditangkap atas dugaan pencurian identitas sebagai bagian dari geng penjahat dunia maya.
Spesialis TransUnion melakukan penyelidikan dan menemukan bahwa data saya benar-benar sampai ke penjahat dunia maya karena kesalahan Biro. Tetapi pada tahun 2020, mereka merehabilitasi diri mereka sendiri ketika mereka memblokir upaya penipuan lainnya untuk mendapatkan riwayat kredit saya:
“Melalui penyelidikan kami, kami telah menetapkan bahwa upaya serupa untuk mengambil cerita Anda terjadi pada April 2020 dan berhasil diblokir oleh kontrol yang ditingkatkan yang telah diterapkan TransUnion sejak tahun lalu. TransUnion menerapkan program keamanan berlapis untuk memerangi ancaman penipuan, serangan dunia maya, dan aktivitas jahat yang terus meningkat. Dalam lingkungan yang dinamis saat ini, TransUnion terus memperluas dan meningkatkan kontrol kami untuk mengatasi ancaman keamanan terbaru sambil tetap memungkinkan pelanggan untuk mengakses data mereka. ”
Epilog: peretas non-Rusia
Kemarin, 28 April, karyawan portal KrebsOnSecurity mengetahui bahwa biro kredit Experian telah menghilangkan kerentanan satu situs mitra yang berbahaya. Ini memungkinkan siapa saja yang ingin mengetahui peringkat kredit pribadi puluhan juta orang Amerika hanya dengan memasukkan nama dan alamat email mereka. Experian mengatakan telah memperbaiki pelanggaran data, tetapi Bill Demirkapi, pakar keamanan siber independen yang melaporkan penemuan itu, khawatir kerentanan yang sama dapat muncul di banyak situs mitra lain yang bekerja dengan biro kredit.
Tapi apa yang bisa kami katakan tentang mitra, ketika sesuatu ... menarik juga terjadi dengan API sistem informasi Experian itu sendiri.
Demirkapi menemukan bahwa Experian API dapat diakses secara langsung tanpa otentikasi apa pun. Memasukkan semua angka nol di bidang "tanggal lahir" akan mengembalikan peringkat kredit orang tersebut. Dia bahkan membuat utilitas konsol yang disebut Bill's Cool Credit Score Lookup Utility.
Mesin virtual kami dapat digunakan untuk pengembangan dan hosting situs web.
Daftar menggunakan tautan di atas atau dengan mengklik spanduk dan dapatkan diskon 10% untuk bulan pertama menyewa server dengan konfigurasi apa pun!
