Experian Flaw samo otkriva PIN-ove za zaštitu podataka o kreditnim karticama

Krediti zamrzavaju najbolji način za sprečavanje novih prijevara na računu, gdje kriminalci otvaraju lažne račune u vaše ime. No, stranica jednog kreditnog ureda učinila je nevjerojatno lako zaobilaziti sigurnost koja bi trebala sačuvati izvješća o vašoj kreditnoj prijavi.

Experianova stranica izložila je osobne identifikacijske brojeve - PIN-ove koji su potrebni za odmrzavanje kreditnih zamrzavanja - nakon što su korisnici odgovorili na sigurnosna pitanja s pokrivenim odgovorom: Nijedna od gore navedenih.

Prije više od godinu dana stručnjak za sigurnost Brian Krebs prijavio je sličan nedostatak. Tada su ljudi morali točno odgovoriti na četiri pitanja koja se temelje na znanju temeljena na identifikaciji. Problem s ovom metodom, prema Krebsovim riječima, jest da osobni podaci potrebni za uspješno nagađanje odgovora dostupni su online putem komercijalnih i kaznenih mjesta.

Ali za nekoliko sati četvrtkom - i tko zna koliko dugo prije toga - nisi ni trebao nagađati.

Čitatelj nas je upozorio na ovo pitanje, a neki od nas koji su imali kreditna zamrzavanja uspjeli su je ponoviti. Pitali smo nas sljedbenike na Facebooku i Twitteru i čuli od drugih koji su također imali pristup svojim PIN-ovima.

Pukotina u normalnom procesu

Da biste dobili brojeve, ljudi su popunili obrazac na Experianovoj stranici za pronalaženje PIN-a s imenom osobe, adresom, brojem socijalnog osiguranja i datumom rođenja - upravo onoj vrsti informacija koja je bila ugrožena prošlogodišnjom kršenju tvrtke Equifax i koja je dostupna za prodaju na tamnom webu. Oblik je zahtijevao e-adresu, koja nije nužno trebala biti ona koja je povezana s Experian računom osobe. Odgovarajući "ni jedan od gore navedenih" na sigurnosna pitanja - čak i ako su neki od ponuđenih odgovora točni - dali su pristup PIN-u te osobe.

Pomoću PIN-a svatko može odmrzavati kreditnu osobu te zatražiti kredit na svoje ime.

Zagovaratelj potrošača Mike Litt također je mogao dohvatiti svoj PIN pomoću mane. "Za to nema apsolutno nikakvog izgovora", kaže Litt, direktorica kampanje za američku PIRG, organizaciju zagovaranja javnog interesa. "Kako jednostavno ostavite ključeve na vratima na vrhu dobrodošlice?"

Glasnogovornik Experian izjavio je u četvrtak poslijepodne kako je rekao: "Iako smo uvjereni da je sigurnost autentičnosti sigurna i da kreditne datoteke nisu u opasnosti, poduzeli smo dodatne korake kako bismo proces učinili sigurnijim. Nastavljamo redovito nadgledati naše sustave i poduzimamo hitne korake u svrhu jačanja sigurnosti podataka."

Porukama o pogrešci potječu

Četvrtak kasno, mnogi od nas počeli su primati poruke o pogrešci koje bi naši odgovori trebali generirati na prvom mjestu. Mi smo bili usmjereni na poštu Experian naše identifikacijske informacije, kao što su kopije vozačke dozvole, komunalnih računa i socijalne sigurnosti kartice.

Američka pošta, u slučaju da se to treba reći, nije siguran način prijenosa takvih informacija. No budući da su ti detalji vjerojatno već u kriminalnim rukama, to ćemo ostaviti za sada.

Ovo je još jedan podsjetnik da moramo pratiti naše kreditne izvještaje i ocjene za lažne račune, čak i ako imamo kreditne zamrzavanje na mjestu - kao što smo i dalje trebali.

Ono što je doista uznemirujuće je da sigurnosni zamrzavanje trebaju biti jedan od rijetkih učinkovitih žrtava koje ljudi mogu podnijeti protiv prijevare. Zato ih stručnjaci za sigurnost već godinama preporučuju i zašto je kongres konačno smrzavao i odmrzavao od 21. rujna.

Lakoća s kojom bi se ta bitna zaštita mogla spriječiti govori nam da kreditni agenti još uvijek ne shvaćaju ozbiljno sigurnost naših podataka.

Zapisničar Bev O'Shea pridonio je ovom izvješću.