Lạm dụng chuỗi cung ứng dữ liệu của các công ty chấm điểm tín dụng để phơi bày thông tin cá nhân của người Mỹ chỉ với 15 USD
(404media.co)- Chỉ với tên và tiểu bang cư trú, có thể nhận được một tệp chứa địa chỉ cũ, người thân, số điện thoại, email và thông tin bằng lái xe; chi phí tra cứu là Bitcoin trị giá 15 USD
- Công cụ này dường như truy cập dữ liệu credit header do Experian, Equifax và TransUnion nắm giữ; trong một số trường hợp, nó còn cung cấp số An sinh Xã hội (SSN) với giá 20 USD
- Credit header là dữ liệu cá nhân được tạo từ thông tin liên quan đến thẻ tín dụng của phần lớn người trưởng thành tại Mỹ, rồi thông qua các hợp đồng và giao dịch mua bán, chảy tới các công ty thu hồi nợ, hãng bảo hiểm và cơ quan thực thi pháp luật
- Tội phạm đã tiếp cận chuỗi cung ứng dữ liệu bằng các cách như đánh cắp danh tính cựu nhân viên thực thi pháp luật, rồi bán quyền truy cập không giới hạn cho những tội phạm khác trên mạng
- Công cụ này cũng được dùng để tra cứu các nhân vật nổi tiếng như Elon Musk, Joe Rogan và Joe Biden; dù một số dữ liệu không nhạy cảm, ít nhất một phần đã được xác nhận là chính xác
Tra cứu thông tin cá nhân được bán qua bot Telegram
- Trên Telegram, chỉ cần nhập tên và tiểu bang cư trú của đối tượng, một tệp thông tin cá nhân sẽ được tạo sau một thời gian ngắn
- Tệp này bao gồm các địa chỉ mà đối tượng từng sống tại Mỹ, thậm chí có cả địa chỉ ký túc xá đại học từ hơn 10 năm trước
- Thông tin đi kèm gồm các mục có thể dùng để xác minh danh tính và theo dõi
- Tên và năm sinh của người thân
- Số điện thoại di động và nhà mạng
- Địa chỉ email cá nhân
- Thông tin bằng lái xe và mã định danh duy nhất
- Tổng chi phí tra cứu là Bitcoin trị giá 15 USD, và đôi khi bot cung cấp số An sinh Xã hội với giá 20 USD
Lạm dụng chuỗi cung ứng dữ liệu của các công ty chấm điểm tín dụng
- Công cụ này dường như truy cập dữ liệu credit header do Experian, Equifax và TransUnion nắm giữ về phần lớn người trưởng thành tại Mỹ
- Dữ liệu credit header là dữ liệu cá nhân được tạo từ thông tin liên quan đến thẻ tín dụng, rồi được chuyển sang các công ty khác thông qua nhiều hợp đồng và giao dịch mua bán
- Dữ liệu đã được chuyển đi có các kênh cung cấp tới công ty thu hồi nợ, hãng bảo hiểm và cơ quan thực thi pháp luật
- Tội phạm đã thành công trong việc tiếp cận chuỗi cung ứng này; trong một số trường hợp, chúng dùng cách đánh cắp danh tính cựu nhân viên thực thi pháp luật
- Công cụ được thử nghiệm cũng đã được dùng để thu thập thông tin về các nhân vật nổi tiếng như Elon Musk, Joe Rogan và Joe Biden, và dường như được sử dụng mà không có hạn chế truy cập
- Kết quả kiểm chứng cho thấy không phải dữ liệu nào cũng luôn nhạy cảm, nhưng ít nhất một phần dữ liệu là chính xác
1 bình luận
Ý kiến trên Hacker News
Rất đáng để thiết lập đóng băng tín dụng ở cả ba nơi: Experian, TransUnion, Equifax
Lúc thiết lập ban đầu phải cung cấp rất nhiều thông tin cá nhân nên khá khó chịu, nhưng làm xong một lần thì việc đóng băng/mở đóng băng khá dễ
Chỉ cần lưu URL, tên người dùng, mật khẩu trong ghi chú an toàn, rồi khi cần nộp đơn xin tín dụng thì mở đóng băng trong khoảng một ngày hoặc một tuần là được
Trước đây có rất nhiều vấn đề đánh cắp danh tính để mở tín dụng dưới tên tôi, nhưng đóng băng tín dụng đã giải quyết được
Experian: https://www.experian.com/freeze/center.html
TransUnion: https://www.transunion.com/credit-freeze
Equifax: https://www.equifax.com/personal/credit-report-services/cred...
Tôi thật sự ghét các công ty này, nhưng việc chịu khó làm theo quy trình vẫn rất đáng, và tôi khuyên mọi người nên làm
Lần gần nhất, tài khoản bị khóa vì 3 năm không đăng nhập và họ yêu cầu thêm rất nhiều bước xác minh
Việc xác minh đôi khi còn trông đáng lo hơn hoặc phức tạp hơn, vì đó là những thông tin như địa chỉ cũ mà họ từng hỏi khi thiết lập ban đầu
Theo thời gian, vào khoảnh khắc ít ngờ nhất, họ có thể chặn việc mở đóng băng bằng cách nói rằng xác minh tài khoản sẽ mất 60 ngày
Mỗi khi chuyện này xảy ra, bên cấp tín dụng nên bị phạt thật nặng
Trong kiểu gian lận này, nạn nhân không phải cá nhân mà là ngân hàng
Danh tính của tôi vẫn ở với tôi; chỉ là ngân hàng hoặc chủ nợ, do sơ suất của chính họ, đã đưa tiền của họ cho tội phạm
Biến một cá nhân hoàn toàn không liên quan thành nạn nhân là một ảo tưởng vô lý, và luật pháp cũng cần thay đổi để phản ánh thực tế này
Chừng nào ngân hàng còn có thể đẩy chi phí do sơ suất của mình sang người vô tội, họ sẽ tiếp tục hành xử lỏng lẻo
Mỗi khi cách diễn đạt này xuất hiện trong diễn đàn công cộng, nhận thức nên lan rộng theo hướng bác bỏ trò lừa “đánh cắp danh tính” đó
Một tiểu phẩm radio liên quan của Mitchell and Webb: https://www.youtube.com/watch?v=CS9ptA3Ya9E
Tôi từng phải xử lý việc kẻ gian không chỉ mở thuê bao di động mà còn đăng ký điện cho căn hộ của chúng dưới tên tôi, và việc thiết lập đóng băng ở đây đã giải quyết được
Vì ngay từ đầu tôi chưa từng mở gì cả, nên không biết liệu có ổn không
Để tiết kiệm một cú nhấp chuột cho mọi người: vũ khí bí mật là trả 15 đô la cho tội phạm trong một nhóm Telegram để dox ai đó
Phần lớn bài viết nói về việc các dịch vụ dox đó lấy dữ liệu từ đâu, và nguồn đó thay đổi như thế nào
Hiện tại, TLOxp của TransUnion là dịch vụ đang được ưa chuộng
TLOxp là phiên bản mới nhất của một công nghệ mang tính thay đổi cuộc chơi, đã mở ra lĩnh vực hợp nhất dữ liệu
Các trường hợp sử dụng TLOxp được liệt kê gồm thu hồi nợ, chuyên gia pháp lý, pháp chế nội bộ, điều tra viên có giấy phép, dịch vụ tài chính, bảo hiểm, rủi ro doanh nghiệp, nhà báo điều tra, cơ quan thực thi pháp luật, chính quyền bang/địa phương/liên bang, thu hồi tài sản và tịch thu tài sản
Chúng có những lỗi giống như thông tin sai mà các tổ chức tài chính hỏi để xác minh danh tính, nên tôi cho rằng nguồn là các cơ quan đánh giá tín dụng
Mỗi năm nên tự tìm kiếm tên mình vài lần và gửi yêu cầu xóa tới các trang đó
Phần lớn xử lý khá nhanh
Trông giống một bài kiểu “bị bắt quả tang” câu khách, nhưng tôi nghĩ tiêu đề đã truyền tải đúng những gì nó hứa hẹn
Nội dung là các công cụ tra cứu ít bị quản lý do cơ quan đánh giá tín dụng cung cấp đang được dùng để bán doxing và những việc còn tệ hơn
Có điều gì làm suy yếu các lập luận này không?
Cách tiếp cận này sai rồi
Danh tính và xác thực cá nhân không nên dựa trên thông tin bất biến và có thể bị công khai như số an sinh xã hội, số bằng lái, lịch sử địa chỉ
Những thông tin này có rất nhiều cách bị rò rỉ, và một khi đã rò rỉ thì sẽ tồn tại mãi
Cần có định danh số, cơ chế xác thực và giải quyết tranh chấp đúng nghĩa
Sẽ không rẻ, nhưng về dài hạn các phương án thay thế còn đắt hơn
Hơi phiền, nhưng khá khó để hack
Tất nhiên sẽ không hoạt động nếu không có hộ chiếu hoặc giấy tờ tùy thân tương đương
Cứ tưởng tượng cảnh bạn định vay tiền thì phát hiện danh tính của mình đã bị hủy và người khác đã chiếm mất rồi
TransUnion từng nói rằng “trong những trường hợp cực kỳ hiếm khi xác nhận có lạm dụng TLOxp, chúng tôi hợp tác với cơ quan thực thi pháp luật để giúp truy tố người chịu trách nhiệm”, nhưng điều này hoàn toàn sai
TransUnion đã từng giao toàn bộ báo cáo tín dụng của tôi cho các hacker chỉ có thông tin công khai, và họ chẳng hề bận tâm
Tôi không nghĩ chuyện đó sẽ xảy ra ngay
Tất nhiên sẽ vô cùng phiền phức
Họ không nói gì về mức độ họ quan tâm hay việc họ theo dõi sau khi xác nhận đến đâu
Có một điều khác tôi cũng ghét ở các cơ quan đánh giá tín dụng
Nếu đến một công ty môi giới bất động sản thương mại, bạn sẽ thấy toàn bộ môi giới đều có giấy phép của cơ quan đánh giá tín dụng, và đặc biệt là các môi giới cấp thấp hằng ngày tra cứu chủ sở hữu bất động sản rồi gọi điện chào hàng vào điện thoại di động của họ
TLO hẳn cũng biết rằng việc một phần lớn ngành môi giới bất động sản thương mại dùng sản phẩm của họ mỗi ngày không thể là vì mục đích tuân thủ GLBA, nhưng họ giả vờ không thấy và tìm cách kiếm tiền từ đó
Bạn thậm chí không cần đào bới những góc tối của Internet để có được thông tin này
Chỉ cần đi vào bằng cửa chính
“Nhận tiền từ tội phạm để cung cấp dữ liệu thì không phải là rò rỉ dữ liệu
Khi đó là cung cấp dịch vụ”
— các cơ quan đánh giá tín dụng
Dù có ai gọi điện và cố chứng minh là “thật” bằng cách nói họ đã biết rất nhiều thông tin cá nhân của bạn, tuyệt đối không được cung cấp thông tin cá nhân
Luôn gọi lại bằng số tự mình tìm được, không phải số họ cung cấp
Trước đây từng có chuyện kẻ lừa đảo gọi tự xưng là ngân hàng, rồi bảo nạn nhân gọi lại số ở mặt sau thẻ tín dụng
Khi nạn nhân cúp máy rồi nhấc máy lại, bọn lừa đảo vẫn giữ đường dây, phát âm quay số giả và để một người khác “nhấc máy” nhằm lừa họ
Số lạ thì càng không nghe
Tất cả mọi người đều dễ bị tổn thương trước vấn đề mà bài viết đề cập
Tôi nghĩ về sau chuyện sẽ còn tệ hơn
Có cả núi dữ liệu chưa được phân loại vì không ai quan tâm, và giờ các mô hình ngôn ngữ lớn đủ tốt có thể làm việc đó thay
Cần cấm toàn bộ ngành này
Tòa án chỉ cần ghi nhận các khoản vay quá hạn và cung cấp thông tin đó cho chủ nợ
Báo cáo không nên có bất cứ thứ gì khác
Bên cho vay vốn đã xác minh thu nhập một cách độc lập, và với khoản vay thế chấp nhà thì họ cũng kiểm tra chi tiêu hằng tháng
Phần thông tin còn lại được đưa vào báo cáo tín dụng và dùng để tính điểm tín dụng có vẻ như nhằm ép mọi người mở thẻ tín dụng và duy trì phân biệt chủng tộc mang tính cấu trúc
Điều này đã rõ ràng từ 20 năm trước, khi các thám tử tư trình bày tại các hội nghị hacker đủ mọi cách hợp pháp để lấy thông tin họ muốn
Chỉ cần tìm kiếm một chút là có khoảng 500 dịch vụ trực tuyến có thể moi thông tin riêng tư với khoản phí nhỏ
Đó là các dịch vụ do công ty niêm yết vận hành, không phải hacker
Có vẻ như giờ ai đó mới tạo ra một bot giúp việc đó dễ hơn
Những bài kiểu này đọc với hacker giống như bài “ổ khóa cửa không an toàn” vậy
Những gì anh ta có chỉ là tên tôi và trường đại học tôi đang học
Khi tôi hỏi làm sao biết được số điện thoại, anh ta nói đã dùng một dịch vụ kiểu như đã nói ở trên
Với người đã quyết tâm, chuyện này không đặc biệt khó
Tất cả những gì cần là số điện thoại của người đó
Dù vậy, ngay cả 20 năm trước cũng đã rõ rằng chỉ cần biết rất ít về một người, đặc biệt nếu tên người đó không quá phổ biến, bạn có thể tìm được một lượng thông tin khổng lồ