Les shoppers d’Experian risquent de voir leurs comptes piratés par des fraudeurs qui n’ont besoin que des informations personnelles d’une victime et d’une adresse e-mail différente pour recréer un compte à leur nom.
Le blogueur Infosec Brian Krebs a écrit dans une chronique lundi qu’au cours du mois dernier, il avait été contacté par deux lecteurs qui avaient déclaré que leurs comptes au bureau de crédit à la consommation avaient été compromis et avaient attribué de nouvelles adresses e-mail, malgré l’utilisation de mots de passe forts pour ces comptes. Les informations de leur compte, telles que son code PIN et la paire dilemma-réponse secrète, ont également été modifiées.
Il semble qu’il soit doable de convaincre Experian de recréer le compte de quelqu’un, avec une nouvelle adresse e-mail, en utilisant les informations personnelles de cette personne, telles qu’un numéro de sécurité sociale qui aurait pu fuir, et des archives publiques. À ce stade, le mot de passe du compte peut être défini par le malfaiteur, et les demandes ultérieures de réinitialisation du mot de passe par le véritable propriétaire pour reprendre le contrôle seront envoyées à une adresse e-mail à laquelle il n’a pas accès.
À ce stade, il appartiendrait à la victime de reprendre le contrôle du compte.
Curieusement, Experian est souvent rédigé par des entreprises pour fournir une surveillance du vol d’identité lorsque des données personnelles sensibles sont exposées ou volées.
Krebs, un critique virulent de Expérianla sécurité, a dit il a pu reproduire le détournement de compte, ajoutant que des tentatives similaires dans les deux autres grandes sociétés d’évaluation du crédit à la consommation, Equifax et TransUnion, avaient échoué.
Il a écrit que même si Experian demande parfois aux utilisateurs de saisir un code d’authentification multifacteur envoyé par SMS envoyé à un numéro de téléphone transportable enregistré lors de la connexion, “il ne semble pas y avoir d’option pour l’activer à toutes les tentatives de connexion”.
Je ne pouvais voir aucune choice dans mon compte pour activer l’authentification multifacteur pour toutes les connexions
“Pour être clair, Experian Est-ce que ont une unité commerciale qui vend des expert services de mot de passe à use exceptional aux entreprises », a-t-il écrit. « Bien que le système d’Experian ait demandé un numéro de téléphone mobile lorsque je me suis inscrit une deuxième fois, à aucun minute ce numéro n’a reçu de notification d’Experian. De furthermore, je ne pouvais voir aucune solution dans mon compte pour activer l’authentification multifacteur pour toutes les connexions.”
Krebs recommande aux customers des trois principaux bureaux de crédit de geler la sécurité de leurs fichiers et d’essayer au moins d’empêcher les voleurs de détourner silencieusement des comptes et de voler des identités, par exemple en activant l’authentification multifacteur. Les politiques d’Experian semblent avoir dilué l’efficacité de ces mesures, a-t-il noté.
Il a écrit que John, un ingénieur logiciel à Salt Lake Metropolis, et Arthur, un musicien à Boston, ont tous deux découvert que leurs comptes avaient été piratés, bien qu’ils aient finalement pu reprendre le contrôle de leurs profils.
Dans une déclaration à Krebs, Experian a déclaré que les expériences de la paire étaient des incidents isolés et a déclaré que généralement “une fois qu’un compte Experian est créé, si quelqu’un tente de créer un deuxième compte Experian, nos systèmes notifieront l’e-mail d’origine enregistré”, et que la société va “au-delà de la dépendance aux informations personnellement identifiables (PII) ou à la capacité d’un consommateur à répondre à des questions d’authentification basées sur la connaissance pour accéder à nos systèmes”.
Dans une déclaration à Le registreExperian a réitéré les details soulevés auprès de Krebs, ajoutant que “les capacités de données et d’analyse de l’entreprise vérifient les éléments d’identité sur plusieurs resources de données et ne sont pas visibles pour le consommateur… Nous prenons au sérieux la confidentialité et la sécurité des consommateurs, et nous révisons continuellement nos processus de sécurité pour se prémunir contre les menaces constantes et évolutives posées par les fraudeurs. »
Malgré l’explication d’Experian, Krebs a déclaré qu’il avait pu détourner son propre profil en utilisant un ordinateur autre que celui utilisé pour créer son compte d’origine, et en soumettant son numéro de sécurité sociale, sa date de naissance et en répondant à des thoughts à choix multiples.
“Experian a rapidement changé l’adresse e-mail associée à mon file de crédit”, a-t-il écrit. “Il l’a fait sans avoir d’abord confirmé que la nouvelle adresse e-mail pouvait répondre aux messages, ou que l’adresse e-mail précédente avait approuvé le changement.”
Il a reçu un information automatisé à son adresse e-mail d’origine indiquant que l’adresse du compte avait changé. Krebs a ensuite pu sélectionner la concern-réponse de sécurité, définir un code PIN et même lui demander s’il souhaitait lever le gel de son file.
Craig Lurey, co-fondateur et CTO du fabricant de logiciels à confiance zéro Keeper Security, a déclaré Le registre les organisations disposant de providers de compte doivent imposer l’utilisation de l’authentification multifacteur (MFA) ou suggérer fortement de l’activer pour chaque utilisateur. Cela protégera non seulement l’utilisateur, mais également le fournisseur de logiciels ou le fournisseur de expert services contre les prises de contrôle de compte, le taux de désabonnement des consumers et la perte de revenus.
“Souvent, l’activation de MFA est enterrée dans les écrans de paramètres d’application et la plupart des utilisateurs ne prennent pas le temps de se renseigner sur la valeur”, a déclaré Lurey. “Les gestionnaires de mots de passe facilitent la tâche des utilisateurs en gérant les codes MFA et en générant des mots de passe forts pour une security complète contre les attaques de prise de contrôle de compte.”
La MFA est devenue un “enjeu de table” pour la safety de l’authentification, mais les entreprises doivent sélectionner des fonctionnalités pouvant être utilisées par les clients les plus défavorisés sur le plan technologique, selon Andrew Hay, COO de la société de sécurité de l’information LARES Consulting.
“Un déploiement du jour au lendemain de MFA pourrait résoudre le problème de sécurité, mais cela peut également entraîner une expérience utilisateur négative ou une quantité ingérable d’appels au services client pour ceux qui ne comprennent pas remark configurer la nouvelle fonctionnalité”, a déclaré Hay. Le registre.
Il a également noté qu ‘«Experian, comme la plupart des entreprises que l’industrie de la sécurité qualifie de« récidivistes », n’a que peu d’incitations – ou plutôt, manque de sanctions significatives – pour augmenter sa sécurité. L’entreprise est l’un des trois principaux bureaux de crédit et, à ce titre, n’a pas suffisamment d’incitatifs pour avoir in addition de sécurité que ses deux concurrents. Il doit simplement être aussi bon que les autres, pas mieux. ®
More Stories
Planning Your Network – New Hardware, Used Cisco and Further Considerations
Different Methods of Recovering the Data
Can I Recover Deleted Files From Windows XP?