링크모음 링크세상
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

Experian에서는 누구나 쉽게 귀하가 될 수 있습니다 – Krebs on Security

2022년 여름, KrebsOnSecurity는 3대 소비자 신용 보고 기관에 계좌를 갖고 있는 여러 독자들의 곤경을 문서화했습니다. 엑스페리안 신원 도용자가 다른 이메일 주소를 사용하여 계정을 다시 등록한 후 도용되었습니다. 16개월이 지난 후에도 Experian은 이러한 보안 부족 문제를 분명히 해결하지 못했습니다. Experian의 내 계정이 최근 해킹되었기 때문에 액세스 권한을 복구할 수 있는 유일한 방법은 계정을 다시 만드는 것뿐이라는 것을 알고 있습니다.

Experian에서 내 SSN과 생일을 입력하면 내 신원이 내가 승인하지 않은 이메일 주소와 연결되어 있는 것으로 나타났습니다.

최근에 Annualcreditreport.com을 통해 Experian에 내 신용 파일 사본을 주문했지만 평소와 같이 Experian은 내 신원을 확인할 수 없다며 제공을 거부했습니다. Experian.com에서 내 계정에 직접 로그인하려는 시도도 실패했습니다. 사이트에서 내 사용자 이름 및/또는 비밀번호를 인식하지 못했다고 합니다.

내 Experian 계정 사용자 이름을 요청하려면 전체 사회보장번호와 생년월일이 필요했는데, 그 이후 웹사이트에는 내가 승인하지도 않았고 인식하지도 못한 이메일 주소의 일부가 표시되었습니다(전체 주소는 Experian에서 수정했습니다).

나는 즉시 Experian이 동일한 개인 정보를 사용하여 다른 사람이 다른 이메일 주소를 사용하여 자신의 신용 파일 계정을 다시 만들 수 있도록 허용하고 있다고 즉시 의심했습니다. 이는 작년 기사인 Experian, You Have Some explaining to Do에서 살펴본 주요 인증 실패입니다. 그래서 다시 한번 Experian에 재등록하려고 했습니다.

홈페이지에는 사회보장번호와 휴대폰 번호를 제공해야 하며 곧 본인 확인을 위해 클릭해야 하는 링크를 받게 될 것이라고 나와 있었습니다. 사이트에서는 귀하가 제공한 전화번호가 귀하의 신원을 확인하는 데 사용될 것이라고 주장합니다. 그러나 이 단계에서는 미국 내 모든 전화번호를 제공할 수 있으며 Experian의 웹사이트는 주저하지 않을 것입니다. 그럼에도 불구하고 사용자는 “다른 방법으로 계속” 옵션을 선택하여 이 단계를 건너뛸 수 있습니다.

Experian은 귀하의 성명, 주소, 생년월일, 사회보장번호, 이메일 주소 및 선택한 비밀번호를 묻습니다. 그 후에는 공개 기록을 기반으로 답변하는 경우가 많은 객관식 보안 질문 3~5개에 성공적으로 답해야 합니다. 이번 주에 내 계정을 다시 만들었을 때 5개의 질문 중 2개만 내 실제 정보와 관련이 있었고 두 질문 모두 이전에 살았던 주소(Google 검색만으로 얻을 수 있는 정보)에 관한 것이었습니다.

객관식 질문을 통과했다고 가정하면 4자리 PIN을 생성하고 미리 선택된 여러 질문 중 하나에 대한 답변을 제공하라는 메시지가 표시됩니다. 그 후, 새 계정이 생성되고 Experian 대시보드로 이동하여 전체 신용 파일을 확인하고 이를 동결하거나 동결 해제할 수 있습니다.

이 시점에서 Experian은 계정에 연결된 이전 이메일 주소로 사용자 프로필의 특정 측면이 변경되었음을 알리는 메시지를 보냅니다. 하지만 이 메시지는 확인을 요청하는 것이 아닙니다. 이는 계정의 사용자 데이터가 변경되었다는 Experian의 알림일 뿐이며 원래 사용자에게는 Experian.com에 로그인하기 위해 링크를 클릭하는 것 외에는 어떠한 방법도 제공되지 않습니다.

Experian 계정이 없다면 계정을 만드는 것이 좋습니다. 왜냐하면 적어도 누군가가 Experian에서 귀하의 신용 파일을 가로채면 이러한 이메일 중 하나를 받게 되기 때문입니다.

물론 이러한 알림 중 하나를 받은 사용자는 Experian 계정의 자격 증명이 더 이상 작동하지 않는다는 사실을 알게 됩니다. PIN이나 계정 복구 질문도 변경되었으므로 해당 질문도 마찬가지입니다. 이 시점에서 유일한 옵션은 Experian에서 계정을 다시 만들고 ID 도둑으로부터 계정을 다시 훔치는 것입니다!

이와 대조적으로, 다른 두 주요 소비자 신용 보고 기관 중 하나에서 기존 계좌를 수정하려고 하면 — 에퀴팩스 또는 트랜스유니온 — 변경이 이루어지기 전에 파일에 있는 이메일 주소나 전화번호로 전송된 코드를 입력하라는 메시지가 표시됩니다.

의견을 요청한 Experian은 승인 없이 내 신용 파일에 추가된 전체 이메일 주소 공유를 거부했습니다.

Experian 대변인은 “소비자의 신원과 정보를 보호하기 위해 우리는 수동적 및 능동적 조치를 포함하는 다층적인 보안 접근 방식을 구현했으며 지속적으로 발전하고 있습니다.”라고 말했습니다. 스캇 앤더슨 이메일로 보낸 성명에서 말했다. “여기에는 지식 기반 질문과 답변, 기기 소유 및 소유권 확인 프로세스가 포함됩니다.”

앤더슨은 모든 소비자가 자신의 계정에 로그인할 때마다 요청되는 다중 요소 인증 방법을 활성화할 수 있는 옵션이 있다고 말했습니다. 하지만 누군가가 새 전화번호와 이메일 주소로 계정을 다시 만들 수 있다면 다단계 인증이 무슨 소용이 있을까요?

이번 주 초 Mastodon에서 Experian에 대한 나의 호언장담을 발견한 몇몇 독자들은 내 발견을 검증해 달라는 요청에 응답했습니다. Mastodon 사용자 @Jackerbee는 생명공학 산업에 종사하는 Michican의 독자입니다. @Jackerbee는 Experian이 자신의 전화번호와 SSN 마지막 4자리를 제공하라는 메시지를 받았을 때 “내 정보를 수동으로 입력”하는 옵션을 선택했다고 말했습니다.

“두 번째 전화번호와 새 이메일 주소를 입력했어요.”라고 그는 설명했습니다. “내가 ‘가입’한 후 내 정보가 업데이트되었다는 내용의 이메일을 원래 계정 받은 편지함에서 한통 받았습니다. 어떤 경우에도 원래 이메일 주소에서 확인이 필요하지 않습니다. 또한 원래 전화번호로 문자 알림도 받지 못했습니다. 특히 흥미롭고 심각한 부분은 로그인하면 새 전화번호로 2FA가 수행된다는 점입니다.”

Mastodon 사용자 PeteMayo는 이번 주에 Experian 계정을 두 번 다시 생성했는데, 두 번째는 임의의 유선 전화 번호를 제공하여 다시 생성했다고 말했습니다.

“유일한 차이점은 ‘Welcome back, Pete!’라고 선언하고 전체 액세스 권한을 부여하기 전에 내 개인 이력에 대해 5개의 질문을 물었습니다(지난번에는 3개만 물었습니다).”라고 @PeteMayo는 썼습니다. “Experian의 비밀번호를 저장하는 것이 어리석은 것 같습니다. 그냥 매번 새 계정을 만드는 게 나을 수도 있어요.”

내 계정을 도용한 사람이 내 신용 동결도 해동하지 않았다는 점에서 다행이었습니다. 또는 그렇게 했다면 작업이 끝나면 정중하게 다시 얼렸습니다. 하지만 Experian이 인증 프로세스에 중요한 변경 사항을 적용하지 않는 한 내 Experian 계정이 다시 도용당할 것으로 예상됩니다.

이와 관련하여 이미 끔찍한 기록을 갖고 있는 Experian에서 이러한 근본적인 인증 약점이 오랫동안 지속되어 왔다는 사실은 마음을 흔들었습니다.

2022년 12월, KrebsOnSecurity는 신원 도용자들이 보안과 액세스를 우회하는 매우 간단한 방법을 고안했다고 Experian에 경고했습니다. 어느 소비자의 전체 신용 보고서 – 개인의 이름, 주소, 생년월일 및 사회보장번호 외에는 아무것도 포함되지 않습니다. Experian은 결함을 수정했으며 2022년 11월 9일부터 2022년 12월 26일까지 거의 7주 동안 결함이 지속되었음을 인정했습니다.

2021년 4월, KrebsOnSecurity는 신원 도용자들이 Experian의 PIN 검색 페이지에서 느슨한 인증을 악용하여 소비자 신용 파일을 동결 해제하는 방법을 공개했습니다. 이 경우 Experian은 동결 PIN이 검색되었을 때 이메일을 통해 어떠한 통지도 보내지 않았으며 소비자 계정과 이미 연결된 이메일 주소로 PIN을 보내도록 요구하지도 않았습니다.

2021년 4월 기사가 나온 지 며칠 후, KrebsOnSecurity는 Experian API가 대부분 미국인의 신용 점수를 노출하고 있다는 소식을 전했습니다.

Experian의 더 많은 히트작:

2022: 집단소송은 계정 보안에 대해 Experian을 표적으로 삼습니다.
2017: Experian 사이트는 누구에게나 귀하의 신용 동결 PIN을 제공할 수 있습니다.
2015: Experian 침해로 1,500만 명의 고객에게 영향을 미침
2015: NY-NJ ID 도용 조직과 연관된 Experian 침해
2015: Experian의 인수로 인한 보안 손실
2015년: Experian은 ID 도용 서비스에 대한 집단 소송을 당했습니다.
2014: Experian Lapse는 2억 건의 소비자 기록에 대한 ID 도용 서비스 액세스를 허용했습니다.
2013년: Experian은 ID 도난 서비스에 소비자 데이터를 판매했습니다.

Leave A Reply

Your email address will not be published.