Erfaringsfejl Retfærdige PIN-kode Beskyttelse af kreditdata
Indholdsfortegnelse:
Kreditfroser er den bedste måde at forhindre ny konto bedrageri på, hvor kriminelle åbner falske konti i dit navn. Men et kreditbureaus websted gjorde det vanskeligt nemt at omgå den sikkerhed, der skulle sikre dine kreditrapporter.
Eksperts websted afslørede de personlige identifikationsnumre - de PIN-koder, der er nødvendige for at tøde kredit fryser - efter at brugerne har besvaret deres sikkerhedsspørgsmål med et tæppe svar: Ingen af ovenstående.
For mere end et år siden rapporterede sikkerhedsekspert Brian Krebs en lignende fejl. På det tidspunkt måtte folk korrekt svare på de fire "videnbaserede godkendelses" spørgsmål, der blev brugt til at identificere dem. Problemet med denne metode, ifølge Krebs, er, at de personlige oplysninger, der er nødvendige for at kunne gætte svarene, er let tilgængelige online gennem kommercielle såvel som kriminelle websteder.
Men i flere timer torsdag - og hvem ved hvor længe før det - du behøvede ikke engang at gætte.
En læser advarede os om dette problem, og flere af os, der havde kreditfrysninger, kunne replikere det. Vi spurgte vores tilhængere på Facebook og Twitter og hørte fra andre, der også fik adgang til deres PIN-kode.
Fejl i den normale proces
For at få numrene udfyldte folk formularen på Experians PIN-kode med en persons navn, adresse, socialsikringsnummer og fødselsdato - præcis den slags information, der blev kompromitteret i sidste års Equifax-overtrædelse, og som er let tilgængelig til salg på den mørke bane. Formularen krævede en e-mail-adresse, som ikke nødvendigvis skulle være den, der var forbundet med personens Experian-konto. Besvarelse af "ingen af de ovennævnte" til sikkerhedsspørgsmålene - selv om nogle af de udbudte svar var korrekte - gav adgang til den persons PIN-kode.
Med PIN-koden kan enhver tøve denne persons kreditfrysning og søge om kredit i deres navn.
Forbrugerforkæmper Mike Litt var også i stand til at hente sin PIN-kode ved hjælp af fejlen. "Der er absolut ingen undskyldning for dette," siger Litt, kampagnedirektør for U.S. PIRG, en interesseorganisation for offentlig interesse. "Hvordan forlader du bare nøglerne til døren oven på velkomstmaden?"
En ekspert talsmand udstedte en erklæring torsdag eftermiddag, der sagde, "Selv om vi er sikre på, at vores godkendelse er sikker og ingen kreditfiler er i fare, har vi taget yderligere skridt for at gøre processen mere sikker. Vi fortsætter med regelmæssigt at overvåge vores systemer og træffer øjeblikkelig handling, når det er nødvendigt at styrke datasikkerheden."
Fejlmeddelelser sparke ind
I slutningen af torsdag begyndte mange af os at få de fejlmeddelelser, som vores svar burde have genereret i første omgang. Vi blev rettet til mail Experian vores identificerende oplysninger, såsom kopier af vores kørekort, brugsregninger og socialsikringskort.
USA-posten, hvis dette skal siges, er ikke en sikker måde at overføre sådanne oplysninger på. Men da disse detaljer sandsynligvis allerede er i straffesager, forlader vi det for nu.
Dette er endnu en påmindelse om, at vi skal overvåge vores kreditrapporter og scoringer for svigagtige konti, selv om vi har kreditfryser på plads - som vi stadig skal.
Hvad der virkelig er foruroligende er, at sikkerhedsfrysning skal være en af de få effektive bulwarks, som folk kan bekæmpe svig. Derfor har sikkerhedseksperter anbefalet dem i årevis, og hvorfor Kongressen endelig lavede fryser og optøner fri fra september 21.
Den lethed, hvormed denne vigtige beskyttelse kunne modvirkes, fortæller os, at kreditbureauerne stadig ikke tager sikkerhed for vores information alvorligt nok.
Medarbejderforfatter Bev O'Shea har bidraget til denne rapport.