大規模な信用局Experianが5年間、システムの脆弱性からどのように収益を上げてきたか

2017年、KrebsOnSecurityポータル は、米国で最大の3つの信用局の1つに脆弱性を報告しました。この脆弱性により、攻撃者はExperianクライアントのクレジットアカウントの凍結要求をキャンセルして、彼の個人データにアクセスすることができます。先週、顧客はKrebsOnSecurityの従業員に、ExperianWebサイトの適切なアカウントにログインしなくてもアカウントのフリーズを解除できると語った。私は、信用局の情報システムのセキュリティに関する問題のデリケートなトピックを再提起することにしました。





クレジットアカウントが凍結されていて、PINを忘れたり紛失したりしたい場合は、こちらからリクエストできます。凍結を解除して貸し手にあなたの信用履歴へのアクセスを提供するには、PINが必要です。



Experianには、忘れたPINを回復するための情報を入力できる専用ページがあります。攻撃者は、この「便利な」機会を利用してPINを見つけることもできます。しかし、これのためにあなたはあなたについての十分な情報を持っている必要があります。以前は、Equifaxデータベースや他のクレジットビューローから定期的にネットワークに漏洩する他の誰かの個人データを持っていても、すべての質問に答えられるとは限らないことを望んでいました。 

クライアントストーリー

昨年、カリフォルニア州サクラメントを拠点とするソフトウェアエンジニアのデューントーマスは、詐欺師が自分の空き家（ワシントン州）の住所を使用して口座の資金にアクセスしようとしていることを知った後、エクスペリアン、エクイファックス、トランスユニオンのクレジット口座を凍結しました。販売のため。



しかししばらくすると、詐欺師たちは再びそれを引き受けました。 4月初旬、彼らはトーマスのExperianアカウントの凍結を解除し、同じワシントンDCの住所を使用して、すぐに彼の名前で新しいクレジットラインを申請しました。トーマスは、新しいローンの通知を受け取っていません。彼は彼のクレジットカード会社からの無料の信用監視サービスを使用していたので、彼はそれについて知っただけでした。



Experianとの数日間の電話での会話の後、会社の担当者は、誰かがExperian WebサイトでPIN機能の要求を使用し、PINを受け取ったことを認め 、アカウントを解凍しました。



トーマスと彼の友人は、Experian PINの回復プロセスを自分で行うことに決め、驚いた。5つの多肢選択問題（住所、社会保障番号、生年月日を入力した後に尋ねられた）のうち、最後の砦は1つだけだった。 。このような弱いチェックが詐欺師の手を長い間縛る可能性はほとんどありません。

KrebsOnSecurityの調査 

KrebsOnSecurityの従業員が同じ手順を実行し、同様の結果を見つけました。私が2019年に取ったとされる新しい住宅ローンについての最初の質問（私はこれをしませんでした）は、自然に暴れました。2番目の、それほど奇妙ではない質問もそこに行きました。



次の2つの質問は、すでに質問され、回答されているため、役に立たないことが判明しました（まあ、このデータは通常、ネットワークにマージされたデータベースにあります）。 

1. « ?»
2. « , ?» 

ケースに関する質問は1つだけで、私の信用履歴に関連していました（現在の口座番号の下4桁についてでした）。



そして、この甘やかされて育った認証ケーキの一番上にあるのは、PINを取得するために任意の電子メールアドレスを入力できることです-それは、Experianシステムの既存のアカウントに関連付けられていない可能性があります。さらに、PINを送信する場合、Experianは、このクライアントにすでに関連付けられている他の電子メールアドレスに適切な通知を送信することを心配しません。



最後に、基本機能（読み取り：無料）を備えたアカウントは、Experianユーザーが多要素認証を有効にできないようにします。同様のPINの盗難を防ぐことができたかもしれませんが。 



わかりにくい説明で、公開されているCreditLockサービスのサブスクリプションを購入できることがわかりました。 「申請プロセスを遅らせることなく、[クレジット]履歴を簡単かつ迅速にブロックおよびブロック解除する」機能を利用するには、月額14.99ドルから24.99ドルを支払う必要があります。 CreditLockユーザーは、多要素認証を使用でき、誰かが自分のアカウントにアクセスしようとしたときに通知を受け取ることもできます。



トーマスは、Experianが毎月支払う顧客にのみセキュリティを提供していることに憤慨しています。



「Experianには追加の認証で人々を安全に保護する能力がありましたが、そのようなサービスに月25ドルを要求する可能性があるため、そうしませんでした。彼らは利益を上げるために意図的にこのセキュリティホールを塞ぐことはありません。そして、これは少なくとも4年間続いています。」



マーケティングの嘘？



クレジットアカウントが凍結されている顧客がExperianWebサイトにログインすると、Experianの有料サービスの1つ（この場合はCreditLock）に関するメッセージにすぐにリダイレクトされます。ログインしたときに表示されたメッセージは、トーマスの言葉を裏付けています。フリーズしたにもかかわらず、現在の「保護レベル」は「低」でした。これは、私の信用履歴が表示されていると思われるためです。



「信用履歴のロックが解除されると、個人情報の盗難や詐欺に対してより脆弱になります」とExperianは書いています。 「誰かがあなたの履歴にアクセスしようとしても、通知は表示されません。あなたがローンまたはローンを申請している場合、銀行はそれを見ることができます。あなたの信用履歴は[また]ユーティリティプロバイダーや他のプロバイダーが見ることができます。」





有料サービスのCreditLockにまだサインアップしていないので、Experianは私を怖がらせます。



怖いですね。しかし、真実は、通知なしのフレーズを除いて、クレジットアカウントがすでに凍結されている場合、上記のステートメントのいずれも当てはまらないということです。実際、凍結すると、すでに信用履歴を表示する機能がブロックされています。



クレジットアカウントが凍結されている場合、攻撃者はあなたに代わって必要なだけ適用できますが、新しいクレジットラインを開くことはできません。貸し手がこのローンを与えるリスクを評価できずにこのローンを承認する可能性はほとんどありません（つまり、彼らはあなたの信用履歴を調べる必要があります）。これで、米国のどの州でも無料でローンを凍結できます。



Experianは、他のクレジットビューローと同様に、「ブロック」という紛らわしい用語を意図的に使用して、消費者を脅迫して月額サブスクリプションサービスの料金を支払わせています。そのようなサービスを支持する唯一の議論は、貸し手が新しいローンを申請するときにあなたの履歴をより速く見ることができるということです。実際には、これは真実である場合とそうでない場合があります。それまでの間、Experianが消費者にCreditLockサービスに加入するよう説得することが非常に重要である理由を検討して ください。

個人的なことは何もない-ただのビジネス

本当の理由は、誰かがあなたに代わって信用履歴を要求するたびにExperianがお金を稼ぎ、邪魔をしたくないからです。「ブロッキング」サービスに加入すると、Experianは引き続きクレジット情報をサードパーティに販売できます。FAQセクションで、Experianの従業員は、あなたの信用履歴をブロックした後も、次のような多くの企業が引き続き利用できると書いています。

• 潜在的な雇用主または保険会社。
• 債権者に代わって行動する回収代理店。
• 事前に承認されたクレジットカードのオファーを提供する会社。
• あなたと既存の信用関係を持っている会社（凍結ローンを含む）;
• また、Experianからの特別オファーにもご利用いただけます。

Experianが自分の個人データを販売するために毎月多額の金額を会社に支払う人々にのみ追加の保護を提供することによって、責任を回避できるのは残念です。また、2017年に私が書いたこのセキュリティホールが2021年にまだ閉じられていないことも驚くべきことです。



しかし、Experianはこの点でユニークではありません。 2019年に、 Equifaxクレジットビューローの新しいWebサイトであるMyEquifaxが、PINコードをバイパスすることで泥棒がローンを凍結しやすくしたことについて書きました。攻撃者は、あなたの名前、社会保障番号、生年月日を知っていれば十分でした。



また、2019年には、なりすまし犯罪者がTransUnionから私の信用履歴のコピーを入手することができました。彼らは質問に対する私の答えを推測しました-Experianによって尋ねられたものと同様です。ワシントンの刑事が事後に私に言った後で初めて知りました。サイバー犯罪集団の一部として個人情報の盗難の疑いで逮捕された地元住民のリムーバブルディスクでコピーが見つかりました。



TransUnionの専門家が調査を行ったところ、私のデータは実際に局の過失によってサイバー犯罪者に届いたことがわかりました。しかし、2020年に、彼らは私の信用履歴を取得するための別の不正な試みを阻止したときに、自分自身をリハビリしました。



「調査の結果、ストーリーを取得する同様の試みが2020年4月に行われ、TransUnionが昨年から実装した強化された制御によって正常にブロックされたことがわかりました。TransUnionは、増え続ける詐欺、サイバー攻撃、悪意のある活動の脅威に対抗するために、多層セキュリティプログラムを展開しています。今日の動的な環境では、TransUnionは、顧客がデータにアクセスできるようにしながら、最新のセキュリティ脅威に対処するために制御を継続的に拡張および改善しています。」

エピローグ：ロシア以外のハッカー

昨日4月28日、ポータルKrebsOnSecurityの従業員は、 信用局Experianが1つの危険なパートナーサイトの脆弱性を排除したことを知りました。これにより、名前とメールアドレスを入力するだけで、数千万人のアメリカ人の個人的な信用格付けを知りたい人は誰でも利用できるようになりました。 Experianはデータ侵害を修正したと述べていますが、発見を報告した独立したサイバーセキュリティの専門家であるBill Demirkapiは、クレジットビューローと連携する他の無数のパートナーサイトに同じ脆弱性が存在する可能性があることを恐れています。 



しかし、Experian自体の情報システムのAPIでも何か面白いことが起こっているとき、パートナーについて何が言えるでしょうか。 





Demirkapiは、ExperianAPIに認証なしで直接アクセスできることを発見しました。「生年月日」フィールドにすべてゼロを入力すると、その人の信用格付けが返されます。彼は、BillのCool Credit Score LookupUtilityと呼ばれるコンソールユーティリティも作成しました。

---

当社の 仮想マシンは、Webサイトの開発とホスティングに使用できます。



上記のリンクを使用するか、バナーをクリックして登録すると、任意の構成のサーバーをレンタルした最初の月が10％割引になります。