1 điểm bởi GN⁺ 2023-08-23 | 1 bình luận | Chia sẻ qua WhatsApp
  • Chỉ với tên và tiểu bang cư trú, có thể nhận được một tệp chứa địa chỉ cũ, người thân, số điện thoại, email và thông tin bằng lái xe; chi phí tra cứu là Bitcoin trị giá 15 USD
  • Công cụ này dường như truy cập dữ liệu credit header do Experian, Equifax và TransUnion nắm giữ; trong một số trường hợp, nó còn cung cấp số An sinh Xã hội (SSN) với giá 20 USD
  • Credit header là dữ liệu cá nhân được tạo từ thông tin liên quan đến thẻ tín dụng của phần lớn người trưởng thành tại Mỹ, rồi thông qua các hợp đồng và giao dịch mua bán, chảy tới các công ty thu hồi nợ, hãng bảo hiểm và cơ quan thực thi pháp luật
  • Tội phạm đã tiếp cận chuỗi cung ứng dữ liệu bằng các cách như đánh cắp danh tính cựu nhân viên thực thi pháp luật, rồi bán quyền truy cập không giới hạn cho những tội phạm khác trên mạng
  • Công cụ này cũng được dùng để tra cứu các nhân vật nổi tiếng như Elon Musk, Joe Rogan và Joe Biden; dù một số dữ liệu không nhạy cảm, ít nhất một phần đã được xác nhận là chính xác

Tra cứu thông tin cá nhân được bán qua bot Telegram

  • Trên Telegram, chỉ cần nhập tên và tiểu bang cư trú của đối tượng, một tệp thông tin cá nhân sẽ được tạo sau một thời gian ngắn
  • Tệp này bao gồm các địa chỉ mà đối tượng từng sống tại Mỹ, thậm chí có cả địa chỉ ký túc xá đại học từ hơn 10 năm trước
  • Thông tin đi kèm gồm các mục có thể dùng để xác minh danh tính và theo dõi
    • Tên và năm sinh của người thân
    • Số điện thoại di động và nhà mạng
    • Địa chỉ email cá nhân
    • Thông tin bằng lái xe và mã định danh duy nhất
  • Tổng chi phí tra cứu là Bitcoin trị giá 15 USD, và đôi khi bot cung cấp số An sinh Xã hội với giá 20 USD

Lạm dụng chuỗi cung ứng dữ liệu của các công ty chấm điểm tín dụng

  • Công cụ này dường như truy cập dữ liệu credit header do Experian, Equifax và TransUnion nắm giữ về phần lớn người trưởng thành tại Mỹ
  • Dữ liệu credit header là dữ liệu cá nhân được tạo từ thông tin liên quan đến thẻ tín dụng, rồi được chuyển sang các công ty khác thông qua nhiều hợp đồng và giao dịch mua bán
  • Dữ liệu đã được chuyển đi có các kênh cung cấp tới công ty thu hồi nợ, hãng bảo hiểm và cơ quan thực thi pháp luật
  • Tội phạm đã thành công trong việc tiếp cận chuỗi cung ứng này; trong một số trường hợp, chúng dùng cách đánh cắp danh tính cựu nhân viên thực thi pháp luật
  • Công cụ được thử nghiệm cũng đã được dùng để thu thập thông tin về các nhân vật nổi tiếng như Elon Musk, Joe Rogan và Joe Biden, và dường như được sử dụng mà không có hạn chế truy cập
  • Kết quả kiểm chứng cho thấy không phải dữ liệu nào cũng luôn nhạy cảm, nhưng ít nhất một phần dữ liệu là chính xác

1 bình luận

 
GN⁺ 2023-08-23
Ý kiến trên Hacker News
  • Rất đáng để thiết lập đóng băng tín dụng ở cả ba nơi: Experian, TransUnion, Equifax
    Lúc thiết lập ban đầu phải cung cấp rất nhiều thông tin cá nhân nên khá khó chịu, nhưng làm xong một lần thì việc đóng băng/mở đóng băng khá dễ
    Chỉ cần lưu URL, tên người dùng, mật khẩu trong ghi chú an toàn, rồi khi cần nộp đơn xin tín dụng thì mở đóng băng trong khoảng một ngày hoặc một tuần là được
    Trước đây có rất nhiều vấn đề đánh cắp danh tính để mở tín dụng dưới tên tôi, nhưng đóng băng tín dụng đã giải quyết được
    Experian: https://www.experian.com/freeze/center.html
    TransUnion: https://www.transunion.com/credit-freeze
    Equifax: https://www.equifax.com/personal/credit-report-services/cred...
    Tôi thật sự ghét các công ty này, nhưng việc chịu khó làm theo quy trình vẫn rất đáng, và tôi khuyên mọi người nên làm

    • Với tư cách người đã dùng đóng băng tín dụng từ lâu, mỗi lần muốn mở đóng băng, tôi đều có cảm giác một trong ba cơ quan đã đổi quy trình nên không thể mở bằng tên người dùng và mật khẩu đã thiết lập trước đó
      Lần gần nhất, tài khoản bị khóa vì 3 năm không đăng nhập và họ yêu cầu thêm rất nhiều bước xác minh
      Việc xác minh đôi khi còn trông đáng lo hơn hoặc phức tạp hơn, vì đó là những thông tin như địa chỉ cũ mà họ từng hỏi khi thiết lập ban đầu
      Theo thời gian, vào khoảnh khắc ít ngờ nhất, họ có thể chặn việc mở đóng băng bằng cách nói rằng xác minh tài khoản sẽ mất 60 ngày
    • Việc bên cấp tín dụng có thể cấp tín dụng dưới tên người khác mà không làm thẩm định cho đúng, rồi người bị liên quan lại phải gánh việc xử lý hậu quả, thật khá vô lý
      Mỗi khi chuyện này xảy ra, bên cấp tín dụng nên bị phạt thật nặng
    • Chính cách diễn đạt đánh cắp danh tính mà các ngân hàng thúc đẩy đã mang tính lừa dối
      Trong kiểu gian lận này, nạn nhân không phải cá nhân mà là ngân hàng
      Danh tính của tôi vẫn ở với tôi; chỉ là ngân hàng hoặc chủ nợ, do sơ suất của chính họ, đã đưa tiền của họ cho tội phạm
      Biến một cá nhân hoàn toàn không liên quan thành nạn nhân là một ảo tưởng vô lý, và luật pháp cũng cần thay đổi để phản ánh thực tế này
      Chừng nào ngân hàng còn có thể đẩy chi phí do sơ suất của mình sang người vô tội, họ sẽ tiếp tục hành xử lỏng lẻo
      Mỗi khi cách diễn đạt này xuất hiện trong diễn đàn công cộng, nhận thức nên lan rộng theo hướng bác bỏ trò lừa “đánh cắp danh tính” đó
      Một tiểu phẩm radio liên quan của Mitchell and Webb: https://www.youtube.com/watch?v=CS9ptA3Ya9E
    • Nhiều người không biết, nhưng cũng cần thiết lập đóng băng tại https://nctue.com/consumers/
      Tôi từng phải xử lý việc kẻ gian không chỉ mở thuê bao di động mà còn đăng ký điện cho căn hộ của chúng dưới tên tôi, và việc thiết lập đóng băng ở đây đã giải quyết được
    • Tôi thắc mắc liệu có cần làm việc này không dù cả đời chưa từng mắc nợ
      Vì ngay từ đầu tôi chưa từng mở gì cả, nên không biết liệu có ổn không
  • Để tiết kiệm một cú nhấp chuột cho mọi người: vũ khí bí mật là trả 15 đô la cho tội phạm trong một nhóm Telegram để dox ai đó
    Phần lớn bài viết nói về việc các dịch vụ dox đó lấy dữ liệu từ đâu, và nguồn đó thay đổi như thế nào
    Hiện tại, TLOxp của TransUnion là dịch vụ đang được ưa chuộng

    • Vậy có vẻ như dữ liệu mà bất kỳ công ty nào cũng có thể truy cập khi tôi xin thẻ tín dụng hoặc xin việc cũng được cung cấp cho những người khác không quan tâm tôi có đồng ý hay không, miễn là họ có tiền
    • https://www.tlo.com/about-us
      TLOxp là phiên bản mới nhất của một công nghệ mang tính thay đổi cuộc chơi, đã mở ra lĩnh vực hợp nhất dữ liệu
      Các trường hợp sử dụng TLOxp được liệt kê gồm thu hồi nợ, chuyên gia pháp lý, pháp chế nội bộ, điều tra viên có giấy phép, dịch vụ tài chính, bảo hiểm, rủi ro doanh nghiệp, nhà báo điều tra, cơ quan thực thi pháp luật, chính quyền bang/địa phương/liên bang, thu hồi tài sản và tịch thu tài sản
    • Một số trang tìm người có miễn phí phần lớn dữ liệu được nhắc đến trong bài
      Chúng có những lỗi giống như thông tin sai mà các tổ chức tài chính hỏi để xác minh danh tính, nên tôi cho rằng nguồn là các cơ quan đánh giá tín dụng
      Mỗi năm nên tự tìm kiếm tên mình vài lần và gửi yêu cầu xóa tới các trang đó
      Phần lớn xử lý khá nhanh
    • Phản hồi này có vẻ xem nhẹ bài viết quá mức
      Trông giống một bài kiểu “bị bắt quả tang” câu khách, nhưng tôi nghĩ tiêu đề đã truyền tải đúng những gì nó hứa hẹn
      Nội dung là các công cụ tra cứu ít bị quản lý do cơ quan đánh giá tín dụng cung cấp đang được dùng để bán doxing và những việc còn tệ hơn
      Có điều gì làm suy yếu các lập luận này không?
  • Cách tiếp cận này sai rồi
    Danh tính và xác thực cá nhân không nên dựa trên thông tin bất biến và có thể bị công khai như số an sinh xã hội, số bằng lái, lịch sử địa chỉ
    Những thông tin này có rất nhiều cách bị rò rỉ, và một khi đã rò rỉ thì sẽ tồn tại mãi
    Cần có định danh số, cơ chế xác thực và giải quyết tranh chấp đúng nghĩa
    Sẽ không rẻ, nhưng về dài hạn các phương án thay thế còn đắt hơn

    • Tôi không hẳn là không đồng ý, nhưng nếu tạo định danh số thì Internet tự do cuối cùng sẽ chết vĩnh viễn
    • Gần đây khi mở tài khoản ngân hàng hoặc chứng khoán, có vẻ thực tế đã chuyển sang cách chụp ảnh hộ chiếu, rồi chụp selfie hoặc quay video đang cầm hộ chiếu
      Hơi phiền, nhưng khá khó để hack
      Tất nhiên sẽ không hoạt động nếu không có hộ chiếu hoặc giấy tờ tùy thân tương đương
    • Những kẻ đánh cắp danh tính hẳn sẽ rất thích một hệ thống mà chỉ cần một vụ xâm phạm là có thể chiếm hoàn toàn danh tính của ai đó
      Cứ tưởng tượng cảnh bạn định vay tiền thì phát hiện danh tính của mình đã bị hủy và người khác đã chiếm mất rồi
  • TransUnion từng nói rằng “trong những trường hợp cực kỳ hiếm khi xác nhận có lạm dụng TLOxp, chúng tôi hợp tác với cơ quan thực thi pháp luật để giúp truy tố người chịu trách nhiệm”, nhưng điều này hoàn toàn sai
    TransUnion đã từng giao toàn bộ báo cáo tín dụng của tôi cho các hacker chỉ có thông tin công khai, và họ chẳng hề bận tâm

    • Tôi hy vọng có thể hợp tác với cơ quan thực thi pháp luật để truy tố những người chịu trách nhiệm ở TransUnion
    • Nếu việc lưu giữ dữ liệu cẩu thả có hậu quả thực sự, chẳng hạn không phải mấy câu nhảm nhí kiểu “xin lỗi, chúng tôi sẽ tặng bạn dịch vụ giám sát tín dụng miễn phí”, mà là những khoản phạt đủ lớn để khiến họ đau, thì các cơ quan đánh giá tín dụng đã thay đổi thái độ rồi
      Tôi không nghĩ chuyện đó sẽ xảy ra ngay
    • Nếu có đủ nguồn lực, việc khởi kiện dân sự đối với hành vi sai trái của TransUnion cũng có thể là phù hợp
      Tất nhiên sẽ vô cùng phiền phức
    • Nếu anh sẵn sàng làm việc cùng luật sư, tôi nghĩ họ sẽ tuân thủ trát đòi hầu tòa
    • Chính họ cũng nói “trong những trường hợp cực kỳ hiếm khi xác nhận có lạm dụng”
      Họ không nói gì về mức độ họ quan tâm hay việc họ theo dõi sau khi xác nhận đến đâu
  • Có một điều khác tôi cũng ghét ở các cơ quan đánh giá tín dụng
    Nếu đến một công ty môi giới bất động sản thương mại, bạn sẽ thấy toàn bộ môi giới đều có giấy phép của cơ quan đánh giá tín dụng, và đặc biệt là các môi giới cấp thấp hằng ngày tra cứu chủ sở hữu bất động sản rồi gọi điện chào hàng vào điện thoại di động của họ
    TLO hẳn cũng biết rằng việc một phần lớn ngành môi giới bất động sản thương mại dùng sản phẩm của họ mỗi ngày không thể là vì mục đích tuân thủ GLBA, nhưng họ giả vờ không thấy và tìm cách kiếm tiền từ đó
    Bạn thậm chí không cần đào bới những góc tối của Internet để có được thông tin này
    Chỉ cần đi vào bằng cửa chính

  • “Nhận tiền từ tội phạm để cung cấp dữ liệu thì không phải là rò rỉ dữ liệu
    Khi đó là cung cấp dịch vụ”
    — các cơ quan đánh giá tín dụng

  • Dù có ai gọi điện và cố chứng minh là “thật” bằng cách nói họ đã biết rất nhiều thông tin cá nhân của bạn, tuyệt đối không được cung cấp thông tin cá nhân
    Luôn gọi lại bằng số tự mình tìm được, không phải số họ cung cấp

    • Nếu là điện thoại cố định, điều quan trọng là cũng không gọi lại bằng chính chiếc điện thoại vừa nhận cuộc gọi
      Trước đây từng có chuyện kẻ lừa đảo gọi tự xưng là ngân hàng, rồi bảo nạn nhân gọi lại số ở mặt sau thẻ tín dụng
      Khi nạn nhân cúp máy rồi nhấc máy lại, bọn lừa đảo vẫn giữ đường dây, phát âm quay số giả và để một người khác “nhấc máy” nhằm lừa họ
    • Thời nay còn ai nghe điện thoại nữa?
      Số lạ thì càng không nghe
    • Điều này không liên quan đến chuyện đó
      Tất cả mọi người đều dễ bị tổn thương trước vấn đề mà bài viết đề cập
  • Tôi nghĩ về sau chuyện sẽ còn tệ hơn
    Có cả núi dữ liệu chưa được phân loại vì không ai quan tâm, và giờ các mô hình ngôn ngữ lớn đủ tốt có thể làm việc đó thay

  • Cần cấm toàn bộ ngành này
    Tòa án chỉ cần ghi nhận các khoản vay quá hạn và cung cấp thông tin đó cho chủ nợ
    Báo cáo không nên có bất cứ thứ gì khác
    Bên cho vay vốn đã xác minh thu nhập một cách độc lập, và với khoản vay thế chấp nhà thì họ cũng kiểm tra chi tiêu hằng tháng
    Phần thông tin còn lại được đưa vào báo cáo tín dụng và dùng để tính điểm tín dụng có vẻ như nhằm ép mọi người mở thẻ tín dụng và duy trì phân biệt chủng tộc mang tính cấu trúc

  • Điều này đã rõ ràng từ 20 năm trước, khi các thám tử tư trình bày tại các hội nghị hacker đủ mọi cách hợp pháp để lấy thông tin họ muốn
    Chỉ cần tìm kiếm một chút là có khoảng 500 dịch vụ trực tuyến có thể moi thông tin riêng tư với khoản phí nhỏ
    Đó là các dịch vụ do công ty niêm yết vận hành, không phải hacker
    Có vẻ như giờ ai đó mới tạo ra một bot giúp việc đó dễ hơn
    Những bài kiểu này đọc với hacker giống như bài “ổ khóa cửa không an toàn” vậy

    • Gần 20 năm trước, tôi từng nhận được cuộc gọi từ bạn trai cũ của cô gái tôi đang hẹn hò khi đó, bảo tôi tránh xa ra
      Những gì anh ta có chỉ là tên tôi và trường đại học tôi đang học
      Khi tôi hỏi làm sao biết được số điện thoại, anh ta nói đã dùng một dịch vụ kiểu như đã nói ở trên
      Với người đã quyết tâm, chuyện này không đặc biệt khó
    • Chỉ riêng whitepages.com, nếu mua dịch vụ tra cứu danh tính 20 đô la, nó đã tiết lộ và tổng hợp khá nhiều dữ liệu công khai
      Tất cả những gì cần là số điện thoại của người đó
    • Rất nhiều tài liệu trên deep web đã được đưa sau một rào thanh toán khoảng 20 đô la nên tôi đã không xem một thời gian
      Dù vậy, ngay cả 20 năm trước cũng đã rõ rằng chỉ cần biết rất ít về một người, đặc biệt nếu tên người đó không quá phổ biến, bạn có thể tìm được một lượng thông tin khổng lồ