Experian Flaw Just Revealed PIN-k�dok A hiteladatok v�delme
Experian Boost Update
Tartalomjegyzék:
A hitelfogyaszt�s a legjobb m�dja annak, hogy megakad�lyozzuk az �j sz�mlacsal�st, ahol a b�n�z�k az �n nev�ben nyitott sz�ml�kat nyitnak. Azonban az egyik hitelint�zet webhelye zavartalanul megk�nny�tette a hitelbiztons�gi jelent�sek biztons�g�nak meg�rz�s�t szolg�l� biztons�got.
Experian honlapja kitett szem�lyes azonos�t� sz�mokat - a PIN-k�dokat, amelyek a hitel lefagyaszt�s�hoz sz�ks�gesek -, miut�n a felhaszn�l�k biztons�gi k�rd�sekre v�laszoltak egy �ltal�nos v�laszt: a fentiek egyike sem.
T�bb mint egy �vvel ezel�tt a biztons�gi szak�rt�, Brian Krebs hasonl� hib�t sz�molt be. Ezen a ponton az embereknek helyesen kellett v�laszolniuk a n�gy "tud�salap� hiteles�t�si" k�rd�sre, melyeket felismertek. A probl�ma ezzel a m�dszerrel Krebs szerint az, hogy a v�laszok sikeres kital�l�s�hoz sz�ks�ges szem�lyes adatok k�nnyen el�rhet�k online a kereskedelmi �s b�n�gyi webhelyeken kereszt�l is.
De n�h�ny �ra cs�t�rt�k�n - �s ki tudja, hogy mennyi id� el�tt - nem kellett m�g kital�lnod.
Egy olvas� figyelmeztett minket erre a k�rd�sre, �s sokan k�z�l�nk, akiknek hitelfagyaszt�suk volt, k�pesek voltak megism�telni. Megk�rt�k a Facebookon �s Twitteren k�vetõket, �s hallottuk m�sokt�l, akik hozz�f�r�st kaptak PIN-k�djukhoz.
A norm�lis folyamat hib�ja
Ahhoz, hogy megkaphassa a sz�mokat, az emberek kit�lt�tte az �rlapot az Experian PIN-visszakeres�si oldal�n, egy szem�ly nev�vel, c�m�vel, t�rsadalombiztos�t�si sz�m�val �s sz�let�si idej�vel - pontosan az a fajta inform�ci�, amely vesz�lybe ker�lt a tavalyi Equifax jogs�rt�sben, �s amely k�nnyen el�rhet� az elad�sra a s�t�t h�l�n. Az �rlaphoz egy e-mail c�m sz�ks�ges, amely nem felt�tlen�l tartozott a szem�ly Experian-fi�kj�hoz. A biztons�gi k�rd�sekre "a fentiek egyike" nem v�laszoltak - m�g akkor sem, ha az aj�nlatok egy r�sze helyes volt - hozz�f�r�st biztos�tott az adott szem�ly PIN k�dj�hoz.
A PIN k�ddal b�rki felolvaszthatja az illet� hitel�t, �s beolvashatja a nev�t.
A fogyaszt�i �gyv�d Mike Litt szint�n k�pes volt PIN k�dj�t visszakeresni a hib�val. "Semmi kifog�s erre nincs" - mondja Litt, az USA PIRG kamp�nyigazgat�ja, a k�z�rdek� �rdekk�pviseleti szervezet. - Hogy hagyod a kulcsait az �dv�zl� matrac tetej�n?
Egy Experian sz�viv�je nyilatkozatot adott ki cs�t�rt�k d�lut�n, amely szerint "B�r biztosak vagyunk abban, hogy a hiteles�t�s�nk biztons�gban van, �s nincsenek hitelk�pes f�jlok, tov�bbi l�p�seket tett�nk annak �rdek�ben, hogy a folyamat biztons�gosabb� v�lhasson. Tov�bbra is folyamatosan figyelemmel k�s�rj�k rendszereinket, azonnali l�p�sekre, amikor az adatbiztons�g meger�s�t�se �rdek�ben indokolt."
A hiba�zenetek bejutnak
Cs�t�rt�ki k�s�n sokan elkezdt�k megkapni azokat a hiba�zeneteket, amelyeket a v�laszainknak el�sz�r kellett gener�lniuk. Elk�s�relt�k az Experian azonos�t�si inform�ci�it, p�ld�ul a vezet�i enged�ly�nket, a k�z�zemi sz�ml�kat �s a t�rsadalombiztos�t�si k�rty�t.
Az Egyes�lt �llamokbeli lev�l, ha ezt meg kell mondani, nem biztons�gos m�dja az ilyen inform�ci�k �tad�s�ra. De mivel ezek a r�szletek val�sz�n�leg b�ntet�jogi kezekben vannak, most m�r hagyjuk ezt.
Ez m�g egy eml�keztet�, hogy tov�bbra is figyelemmel kell k�s�rn�nk a hiteljelent�seinket �s a csal�rd sz�ml�kra vonatkoz� pontsz�mokat, m�g akkor is, ha a hitelek befagynak a hely�k�n - ahogy m�g mindig meg kellene.
Ami igaz�n nyugtalan�t�, az a t�ny, hogy a biztons�gi fagy�sok egyike azon kevesek sz�m�ra, akik a csal�s ellen k�zdenek. Ez�rt a biztons�gi szakemberek �vek �ta aj�nlott�k �ket, �s mi�rt fejezte be a kongresszus v�gre szabads�g�t, �s felszabad�t.
A k�nny�s�g, amellyel ez az alapvet� v�delem meghi�sulna, azt mondja, hogy a hitelint�z�k m�g mindig nem veszik komolyan az inform�ci� biztons�g�t.
Bev O'Shea munkat�rs hozz�j�rult ehhez a jelent�shez.