Em 2017, o portal KrebsOnSecurity já relatava vulnerabilidade em uma das três maiores agências de crédito dos Estados Unidos. A vulnerabilidade permite que os invasores cancelem a solicitação de um cliente Experian para congelar uma conta de crédito e obter acesso aos seus dados pessoais. Na semana passada, um cliente disse aos funcionários da KrebsOnSecurity que ainda é possível descongelar uma conta sem fazer login na conta apropriada no site da Experian. Decidi levantar novamente o tópico sensível dos problemas com a segurança dos sistemas de informação das agências de crédito.
Se sua conta de crédito estiver congelada e você quiser receber um PIN esquecido ou perdido, você pode solicitá-lo aqui. É necessário um PIN para descongelar e fornecer ao credor acesso ao seu histórico de crédito.
A Experian tem uma página dedicada onde você pode inserir informações para recuperar um PIN esquecido. Os invasores também podem aproveitar essa oportunidade "conveniente" para descobrir seu PIN. Mas, para isso, você precisa ter informações suficientes sobre você. Anteriormente, esperávamos que nem todas as perguntas pudessem ser respondidas tendo os dados pessoais de outra pessoa com você, que vazam periodicamente do banco de dados da Equifax e de outras agências de crédito para a rede.
História do cliente
No ano passado, Dune Thomas, um engenheiro de software baseado em Sacramento, Califórnia, congelou suas contas de crédito na Experian, Equifax e TransUnion depois de saber que golpistas estavam tentando acessar fundos nas contas usando o endereço de sua casa vazia (no estado de Washington) à venda.
Mas depois de um tempo, os golpistas voltaram a atacar. No início de abril, eles descongelaram a conta da Experian de Thomas e imediatamente solicitaram novas linhas de crédito em seu nome, novamente usando o mesmo endereço em Washington DC. Thomas não recebeu nenhuma notificação de novos empréstimos. Ele só soube disso porque estava usando um serviço gratuito de monitoramento de crédito de sua operadora de cartão de crédito.
Após alguns dias de conversa por telefone com a Experian, um representante da empresa admitiu que alguém havia usado o recurso de solicitação do seu PIN no site da Experian e recebeu o PIN, e então descongelou a conta.
Thomas e seu amigo decidiram passar pelo processo de recuperação do PIN da Experian e ficaram surpresos: apenas uma das cinco perguntas de múltipla escolha (que foram feitas após inserir seu endereço, número do seguro social e data de nascimento) era o último bastião de segurança . É improvável que um cheque tão fraco possa amarrar as mãos dos golpistas por muito tempo.
Investigação KrebsOnSecurity
Um funcionário da KrebsOnSecurity passou pelo mesmo procedimento e encontrou resultados semelhantes. A primeira pergunta sobre uma nova hipoteca, que supostamente assumi em 2019 (eu não fiz isso), naturalmente foi à loucura. A segunda pergunta, não menos estranha, também foi lá.
As duas perguntas a seguir se revelaram inúteis, porque já haviam sido feitas e respondidas (bem, esses dados costumam ser encontrados nos bancos de dados integrados à rede):
- « ?»
- « , ?»
Apenas uma pergunta era sobre o caso e relacionada ao meu histórico de crédito (era sobre os últimos quatro dígitos do número da conta corrente).
E a cereja no topo deste bolo de autenticação estragado é que você pode inserir qualquer endereço de e-mail para obter um PIN - ele pode não estar associado a uma conta existente no sistema Experian de forma alguma. Além disso, ao enviar um PIN, a Experian não se preocupa em enviar notificações adequadas a outros endereços de e-mail já associados a este cliente.
Finalmente, uma conta com funcionalidade básica (leia-se: grátis) impede que os usuários Experian habilitem a autenticação multifator. Embora pudesse ter evitado o roubo de PIN semelhante.
Acontece que você pode comprar uma assinatura do serviço CreditLock divulgado com uma descrição confusa. Você tem que pagar entre US $ 14,99 e US $ 24,99 por mês pela capacidade de "bloquear e desbloquear de maneira fácil e rápida seu histórico de [crédito] sem atrasar o processo de inscrição". Os usuários do CreditLock podem usar autenticação multifator e também ser notificados quando alguém tenta acessar sua conta.
Thomas está indignado com o fato de a Experian fornecer segurança apenas para os clientes que pagam por ela todos os meses:
“A Experian tinha a capacidade de proteger as pessoas com segurança com autenticação adicional, mas não o fez porque poderia pedir US $ 25 por mês por esse serviço. Eles não fecham intencionalmente essa brecha de segurança para obter lucro. E isso vem acontecendo há pelo menos quatro anos. "
Mentira de marketing?
Quando um cliente com uma conta de crédito congelada faz login no site da Experian, ele é imediatamente redirecionado para uma mensagem sobre um dos serviços pagos da Experian, neste caso CreditLock. A mensagem que vi quando fiz o login confirma as palavras de Thomas: apesar do fato de ter travado, meu "nível de proteção" atual era "baixo", porque meu histórico de crédito supostamente estava disponível para visualização:
“Quando seu histórico de crédito é desbloqueado, você fica mais vulnerável a roubo de identidade e fraude”, escreve Experian. “Você não verá notificações se alguém tentar acessar seu histórico. Os bancos podem visualizá-lo se você estiver solicitando um empréstimo ou empréstimo. Seu histórico de crédito [também] pode ser visualizado por prestadores de serviços públicos e outros fornecedores. "
Experian me assusta porque ainda não me inscrevi no serviço pago CreditLock.
Parece assustador, certo? Mas a verdade é que, com exceção da frase de não notificação, nenhuma das afirmações acima é verdadeira se sua conta de crédito já estiver congelada. O congelamento, na verdade, já bloqueia a capacidade de visualizar seu histórico de crédito.
Se sua conta de crédito for congelada, os invasores podem aplicar o quanto quiserem em seu nome, mas não poderão abrir novas linhas de crédito. É improvável que algum credor aprove este empréstimo sem ser capaz de avaliar o quão arriscado é concedê-lo (ou seja, eles precisam examinar seu histórico de crédito). Agora você pode congelar um empréstimo gratuitamente em qualquer estado dos Estados Unidos.
A Experian, como outras agências de crédito, usa deliberadamente o termo confuso “bloqueio” para intimidar os consumidores e faze-los pagar por serviços de assinatura mensal. O único argumento a favor de tais serviços é que os credores poderão visualizar seu histórico mais rapidamente ao solicitar um novo empréstimo. Na prática, isso pode ou não ser verdade. Nesse ínterim, considere por que é tão importante para a Experian convencer os consumidores a assinar o serviço CreditLock .
Nada pessoal - apenas negócios
A verdadeira razão é que a Experian ganha dinheiro cada vez que alguém pede um histórico de crédito em seu nome - e não quer atrapalhar. A assinatura do serviço de "bloqueio" permite que a Experian continue a vender informações de crédito a terceiros. Na seção de perguntas frequentes, os funcionários da Experian escrevem que, após bloquear seu histórico de crédito, permanece disponível para muitas empresas, incluindo:
- potenciais empregadores ou seguradoras;
- agências de cobrança agindo em nome de seus credores;
- empresas que fornecem ofertas de cartões de crédito pré-aprovados;
- empresas que têm uma relação de crédito existente com você (incluindo empréstimos congelados);
- e também está disponível para ofertas especiais da Experian.
É uma pena que, ao oferecer proteção adicional apenas às pessoas que pagam à empresa uma grande quantia todos os meses para vender seus próprios dados pessoais, a Experian possa fugir à responsabilidade. Também é surpreendente que esta falha de segurança, sobre a qual escrevi em 2017, ainda não tenha sido fechada em 2021.
Mas Experian não é o único nisso. Em 2019, escrevi sobre como o novo site da agência de crédito da Equifax, MyEquifax, tornou mais fácil para os ladrões congelarem um empréstimo ignorando um código PIN. Os invasores só precisam saber seu nome, número do seguro social e data de nascimento.
Também em 2019, ladrões de identidade conseguiram obter uma cópia do meu histórico de crédito da TransUnion. Eles adivinharam minhas respostas às perguntas - semelhantes às feitas pela Experian. Eu só descobri depois que um detetive de Washington me contou depois do fato. Uma cópia foi encontrada em um disco removível de um residente local preso sob suspeita de roubo de identidade como parte de uma gangue cibercriminosa.
Os especialistas da TransUnion conduziram uma investigação e descobriram que meus dados realmente chegaram aos cibercriminosos por culpa do Bureau. Mas em 2020, eles se reabilitaram quando bloquearam outra tentativa fraudulenta de obter meu histórico de crédito:
“Por meio de nossa investigação, estabelecemos que uma tentativa semelhante de recuperar sua história ocorreu em abril de 2020 e foi bloqueada com sucesso por controles aprimorados que a TransUnion implementou desde o ano passado. A TransUnion está implantando um programa de segurança em várias camadas para combater a ameaça cada vez maior de fraude, ataques cibernéticos e atividades maliciosas. No ambiente dinâmico de hoje, TransUnion está continuamente expandindo e melhorando nossos controles para lidar com as ameaças de segurança mais recentes, enquanto ainda permite que os clientes acessem seus dados.
Epílogo: hackers não russos
Ontem, 28 de abril, funcionários do portal KrebsOnSecurity souberam que a agência de crédito Experian eliminou a vulnerabilidade de um site parceiro perigoso. Permitiu que qualquer pessoa que quisesse saber a classificação de crédito pessoal de dezenas de milhões de americanos simplesmente digitando seu nome e endereço de e-mail. A Experian afirma que corrigiu a violação de dados, mas Bill Demirkapi, o especialista independente em segurança cibernética que relatou a descoberta, teme que a mesma vulnerabilidade possa estar presente em inúmeros outros sites parceiros que trabalham com o bureau de crédito.
Mas o que podemos dizer dos parceiros, quando algo ... interessante também está acontecendo com a API do sistema de informação da própria Experian.
Demirkapi descobriu que a API Experian pode ser acessada diretamente, sem qualquer autenticação. Inserir todos os zeros no campo "data de nascimento" retornará a classificação de crédito da pessoa. Ele até criou um utilitário de console que chamou de Utilitário de pesquisa de pontuação de crédito legal de Bill.
Nossas máquinas virtuais podem ser usadas para desenvolvimento e hospedagem de sites.
Cadastre-se pelo link acima ou clicando no banner e ganhe 10% de desconto no primeiro mês de aluguel de um servidor de qualquer configuração!
