Cacat Experian Hanya Mengungkapkan PIN yang Melindungi Data Kredit

Pembekuan kredit adalah cara terbaik untuk mencegah penipuan akun baru, di mana penjahat membuka akun palsu atas nama Anda. Tetapi satu situs biro kredit membuatnya sangat mudah untuk menghindari keamanan yang seharusnya membuat laporan kredit Anda aman.

Situs Experian memaparkan nomor identifikasi pribadi - PIN yang diperlukan untuk mencairkan pembekuan kredit - setelah pengguna menjawab pertanyaan keamanan mereka dengan jawaban kosong: Tidak satu pun dari hal di atas.

Lebih dari setahun yang lalu, pakar keamanan Brian Krebs melaporkan cacat serupa. Pada saat itu, orang harus menjawab dengan benar empat pertanyaan “otentikasi berbasis pengetahuan” yang digunakan untuk mengidentifikasi mereka. Masalah dengan metode ini, menurut Krebs, adalah bahwa informasi pribadi yang dibutuhkan untuk berhasil menebak jawaban sudah tersedia secara online melalui situs komersial serta kriminal.

Tetapi untuk beberapa jam hari Kamis - dan untuk siapa yang tahu berapa lama sebelum itu - Anda bahkan tidak perlu menebak.

Seorang pembaca memberi tahu kami tentang masalah ini, dan beberapa dari kami yang memiliki kredit membeku mampu mereplikasinya. Kami meminta pengikut kami di Facebook dan Twitter dan mendengar dari orang lain yang juga mendapat akses ke PIN mereka.

Cacat dalam proses normal

Untuk mendapatkan nomor, orang mengisi formulir di halaman pengambilan PIN Experian dengan nama seseorang, alamat, nomor Jaminan Sosial dan tanggal lahir - persis jenis informasi yang dikompromikan dalam pelanggaran Equifax tahun lalu, dan itu tersedia untuk dijual di web yang gelap. Formulir tersebut memerlukan alamat email, yang tidak harus menjadi yang terkait dengan akun Experian orang itu. Menjawab "tidak ada yang di atas" untuk pertanyaan keamanan - bahkan jika beberapa jawaban yang disodorkan benar - memberi akses ke PIN orang itu.

Dengan PIN, siapa pun dapat mencairkan pembekuan kredit orang itu dan mengajukan kredit untuk nama mereka.

Pendukung konsumen Mike Litt juga dapat mengambil PIN-nya menggunakan cacat. "Sama sekali tidak ada alasan untuk ini," kata Litt, direktur kampanye untuk AS PIRG, organisasi advokasi kepentingan publik. “Bagaimana kamu meninggalkan kunci ke pintu di atas tikar selamat datang?”

Seorang juru bicara Experian mengeluarkan pernyataan Kamis siang yang mengatakan, “Meskipun kami yakin bahwa otentikasi kami aman dan tidak ada file kredit yang berisiko, kami telah mengambil langkah tambahan untuk membuat proses lebih aman. Kami terus memantau sistem kami secara teratur, mengambil tindakan segera ketika diperlukan untuk memperkuat keamanan data. ”

Pesan kesalahan masuk

Pada Kamis malam, banyak dari kami mulai mendapatkan pesan kesalahan yang seharusnya dihasilkan oleh tanggapan kami sejak awal. Kami diarahkan untuk mengirim Experian informasi identifikasi kami, seperti salinan SIM, tagihan utilitas, dan kartu Jaminan Sosial kami.

Email AS, seandainya ini perlu dikatakan, bukanlah cara yang aman untuk mengirimkan informasi semacam itu. Tetapi karena detail ini kemungkinan sudah ada di tangan kriminal, kami akan meninggalkannya untuk saat ini.

Ini adalah pengingat lain bahwa kami harus terus memantau laporan kredit dan skor kami untuk akun palsu, bahkan jika kami memiliki pembekuan kredit di tempat - seperti yang seharusnya kami lakukan.

Apa yang benar-benar menyedihkan adalah bahwa pembekuan keamanan seharusnya menjadi salah satu dari beberapa bujangan efektif yang dapat ditanggung orang terhadap penipuan. Itulah sebabnya pakar keamanan telah merekomendasikannya selama bertahun-tahun, dan mengapa Kongres akhirnya membeku dan bebas dari mulai 21 September.

Kemudahan perlindungan esensial ini dapat digagalkan memberitahu kita bahwa biro kredit masih belum cukup memperhatikan keamanan informasi kita.

Penulis staf Bev O'Shea berkontribusi dalam laporan ini.