פגם אקספירין רק חשף פין הגנה על נתוני אשראי

זיכוי אשראי הם הדרך הטובה ביותר למנוע הונאת חשבון חדש, שבו פושעים לפתוח חשבונות מזויפים בשמך. אבל אתר אחד האשראי של הלשכה עשה את זה מצער קל לעקוף את האבטחה זה אמור לשמור על דוחות האשראי שלך בטוח.

האתר של אקספריאן חשף את מספרי הזיהוי האישיים - מספרי ה- PIN הנדרשים להפשרת זיכוי אשראי - לאחר שהמשתמשים ענו על שאלות האבטחה שלהם עם תשובה שגויה: אף אחד מהנ"ל.

לפני יותר משנה, מומחה האבטחה בריאן קרבס דיווח על פגם דומה. בשלב זה, אנשים היו צריכים לענות בצורה נכונה על ארבע השאלות "אימות מבוסס ידע" המשמש לזהות אותם. הבעיה עם שיטה זו, על פי Krebs, היא כי המידע האישי הדרוש כדי לנחש בהצלחה את התשובות זמין בקלות באינטרנט דרך מסחרי, כמו גם אתרים פליליים.

אבל במשך כמה שעות ביום חמישי - ומי יודע כמה זמן לפני זה - אתה אפילו לא צריך לנחש.

הקורא הזהיר אותנו לנושא הזה, וכמה מאיתנו שקיבלו הקפאת אשראי הצליחו לשכפל אותו. שאלנו את העוקבים שלנו בפייסבוק ובטוויטר ושמענו מאחרים שגם להם יש גישה אל ה- PIN שלהם.

פגם בתהליך הרגיל

כדי לקבל את המספרים, אנשים מילאו את הטופס בדף אחזור ה- PIN של Experian עם שם האדם, הכתובת, מספר הביטוח הלאומי ותאריך הלידה - בדיוק סוג המידע שנמצא בסכנה של פריצת Equifax בשנה שעברה, וזה זמין למכירה על הרשת האפלה. הטופס נדרש כתובת דוא"ל, אשר לא בהכרח חייב להיות אחד המשויך לחשבון Experian של האדם. מענה על "אף אחד מהנ"ל" לשאלות הביטחון - גם אם חלק התשובות המוצעות היו נכונות - נתן גישה PIN של אותו אדם.

עם ה- PIN, כל אחד יכול להפשיר את האשראי של אדם להקפיא ולהגיש אשראי על שמם.

הצרכן מייק ליט היה גם מסוגל לאחזר את ה- PIN שלו באמצעות פגם. "אין שום תירוץ עבור זה", אומר ליט, מנהל קמפיין של ארה"ב PIRG, ארגון תמיכה ציבורית. "איך אתה פשוט להשאיר את המפתחות הדלת על גבי שטיח קבלת הפנים?"

דובר אקספיריאן פרסם הודעה ביום חמישי אחר הצהריים, שאמר כי "למרות שאנו בטוחים שהאימות שלנו מאובטח ואין תיקי אשראי בסיכון, נקטנו צעדים נוספים כדי להפוך את התהליך לבטוח יותר. אנו ממשיכים לעקוב בקביעות אחר המערכות שלנו, תוך נקיטת פעולה מיידית כאשר אנו מחויבים לחזק את אבטחת המידע ".

הודעות שגיאה פועלות

עד יום חמישי האחרון, רבים מאתנו החלו לקבל את הודעות השגיאה שהתשובות שלנו היו צריכות ליצור מלכתחילה. הופנו אלינו לשלוח את פרטי המידע המזהים שלנו, כגון עותקים של רשיון הנהיגה, שטרות השירות וכרטיס ביטוח לאומי.

דואר ארה"ב, במקרה זה צריך להיות אמר, היא לא דרך בטוחה להעביר מידע כזה. אבל מכיוון שפרטים אלה צפויים כבר בידיים פליליות, נשאיר את זה לעת עתה.

זוהי תזכורת נוספת כי אנחנו צריכים לשמור על מעקב אחר דוחות האשראי שלנו ציונים עבור חשבונות הונאה, גם אם יש לנו הקפאת אשראי במקום - כמו שאנחנו עדיין צריכים.

מה שמצער באמת הוא שהקפאה ביטחונית אמורה להיות אחד מחסמי האפקטיביות המעטים שיכולים להיאבק נגד הונאה. לכן מומחי אבטחה המליצו עליהם במשך שנים, ולמה הקונגרס סוף סוף עשה הקפאות והפשרה חינם החל ספטמבר 21.

הקלות שבה ניתן להגן על ההגנה המהותית הזו מלמדת אותנו כי לשכות האשראי עדיין לא מתייחסות ברצינות רבה לביטחון המידע שלנו.

הסופר, בו אושה, תרם לדו"ח זה.