"Tại Experian, bất kỳ ai vẫn có thể dễ dàng trở thành bạn"

 (krebsonsecurity.com)
1 điểm bởi GN⁺ 2023-11-12 | 1 bình luận | Chia sẻ qua WhatsApp

Vấn đề bảo mật kéo dài của Experian

  • Vào mùa hè năm 2022, đã có báo cáo về các trường hợp tài khoản báo cáo tín dụng tiêu dùng của Experian bị chiếm đoạt chỉ bằng cách đăng ký lại với một địa chỉ email khác.
  • Ngay cả sau 16 tháng, Experian vẫn chưa khắc phục được lỗ hổng bảo mật nghiêm trọng này.
  • Tài khoản Experian của phóng viên gần đây cũng đã bị xâm nhập, và để khôi phục quyền truy cập tài khoản, người này đã phải tạo một tài khoản mới.

Quy trình đăng ký lại tài khoản quá dễ dàng

  • Khi nhập SSN (Số An sinh Xã hội) và ngày sinh vào Experian, phóng viên phát hiện chúng đã được liên kết với một địa chỉ email mà mình chưa từng xác minh.
  • Trang web của Experian yêu cầu SSN và ngày sinh để tìm tên người dùng của tài khoản, đồng thời hiển thị một phần của địa chỉ email chưa được xác minh.
  • Experian vẫn cho phép tạo lại tài khoản hồ sơ tín dụng bằng thông tin cá nhân và một địa chỉ email khác.

Điểm yếu trong quy trình tạo tài khoản

  • Trang chủ của Experian yêu cầu SSN và số di động, đồng thời cho biết sẽ gửi một liên kết để xác minh danh tính.
  • Người dùng có thể bỏ qua bước nhập số điện thoại, sau đó phải nhập tên, địa chỉ, ngày sinh, SSN, địa chỉ email và mật khẩu.
  • Người dùng phải trả lời 3~5 câu hỏi bảo mật trắc nghiệm, nhưng các câu hỏi này chủ yếu dựa trên hồ sơ công khai nên khá dễ tìm ra.

Thiếu thông báo email khi thay đổi tài khoản

  • Khi một tài khoản mới được tạo, Experian sẽ gửi thông báo về việc thay đổi hồ sơ người dùng tới địa chỉ email trước đó.
  • Tuy nhiên, đây không phải là yêu cầu xác minh thay đổi, và người dùng gốc không thể làm gì ngoài việc nhấp vào liên kết đăng nhập vào Experian.com.

Tầm quan trọng của tài khoản Experian

  • Nếu chưa có tài khoản Experian, người dùng có thể tạo một tài khoản để nhận thông báo qua email khi hồ sơ tín dụng của mình bị lạm dụng.
  • Nếu tài khoản bị chiếm đoạt, toàn bộ thông tin đăng nhập hiện có, PIN và câu hỏi khôi phục tài khoản đều bị thay đổi, khiến lựa chọn duy nhất là tạo lại tài khoản để giành lại từ kẻ chiếm đoạt.

So sánh với các cơ quan báo cáo tín dụng khác

  • Các cơ quan báo cáo tín dụng tiêu dùng lớn khác như Equifax hoặc TransUnion yêu cầu nhập mã được gửi tới địa chỉ email hoặc số điện thoại đã đăng ký trong hồ sơ khi có thay đổi tài khoản.

Phản hồi của Experian

  • Người phát ngôn của Experian, Scott Anderson, từ chối chia sẻ thông tin về các địa chỉ email chưa được xác minh.
  • Anderson cho biết Experian đã áp dụng cách tiếp cận bảo mật nhiều lớp, bao gồm quy trình xác minh câu hỏi và câu trả lời dựa trên kiến thức, cũng như xác minh quyền sở hữu và việc nắm giữ thiết bị.

Vấn đề về hiệu quả của các yếu tố xác thực đa lớp

  • Mọi người dùng đều có tùy chọn bật các yếu tố xác thực bổ sung được yêu cầu mỗi lần đăng nhập, nhưng nếu có thể tạo lại tài khoản bằng số điện thoại và địa chỉ email mới thì điều này trở nên vô nghĩa.

Thử nghiệm của người dùng Mastodon

  • Người dùng Mastodon đã thử nghiệm vấn đề bảo mật của Experian để xác minh phát hiện của phóng viên.
  • Khi Experian yêu cầu số điện thoại và bốn chữ số cuối của SSN, người dùng đã chọn tùy chọn "nhập thông tin của tôi thủ công" rồi nhập số điện thoại và địa chỉ email mới.
  • Không hề có yêu cầu xác minh nào từ địa chỉ email ban đầu, và 2FA (xác thực hai yếu tố) được thực hiện bằng số điện thoại mới.

Các vấn đề bảo mật trước đây của Experian

  • Vào tháng 12 năm 2022, KrebsOnSecurity phát hiện một cách đơn giản để vượt qua lớp bảo mật của Experian và truy cập báo cáo tín dụng đầy đủ của bất kỳ người tiêu dùng nào.
  • Vào tháng 4 năm 2021, KrebsOnSecurity đã vạch trần những kẻ đánh cắp danh tính mở khóa hồ sơ tín dụng tiêu dùng bằng cách khai thác cơ chế xác thực lỏng lẻo trên trang tra cứu PIN của Experian.
  • Experian trước đây cũng nhiều lần bị chỉ trích liên quan đến nhiều vấn đề bảo mật khác nhau.

Ý kiến của GN⁺

  • Điểm quan trọng nhất là Experian vẫn chưa khắc phục được các lỗ hổng bảo mật nghiêm trọng, khiến thông tin tín dụng của người dùng có thể rơi vào rủi ro.
  • Bài viết này mang lại nhận thức quan trọng cho người tiêu dùng về những biện pháp họ nên thực hiện để bảo vệ thông tin tín dụng của mình.
  • Các vấn đề bảo mật của Experian liên quan trực tiếp đến quyền riêng tư của người tiêu dùng, và đây là mối quan tâm nghiêm trọng đối với tất cả mọi người.

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-11-12
Ý kiến trên Hacker News

  • Khách hàng của các công ty gián điệp không phải là chúng ta, nhưng thật ngạc nhiên khi việc thiếu bảo mật lại không trở thành lý do khiến các khách hàng thực sự ngừng giao dịch.

    • Bày tỏ nghi vấn về ý nghĩa tồn tại của các dịch vụ này khi bảo mật của các công ty gián điệp quá yếu, đến mức có thể bị lợi dụng để mạo danh người khác.

  • Nếu các lãnh đạo của Experian cứ tiếp tục bị hack tài khoản theo cùng một cách, thì đến lúc nào đó sẽ có thay đổi.

    • Suy đoán rằng nếu các lãnh đạo của Experian liên tục trải qua việc tài khoản bị xâm nhập lặp đi lặp lại, thì vấn đề này có thể sẽ buộc phải thay đổi.

  • Không thể hiểu nổi vì sao Experian lại có thể thoát khỏi các vụ kiện dù đã thất bại trong việc bảo vệ khách hàng.

    • Thể hiện sự khó hiểu về cơ sở pháp lý cho phép Experian tiếp tục hoạt động dù không bảo vệ được thông tin của khách hàng.

  • Trong vài tuần gần đây, tôi liên tục nhận được email xác nhận mua điện thoại thông minh và laptop đứng tên mình từ các nhà bán lẻ lớn.

    • Mô tả việc nhận được các xác nhận mua hàng có kèm tên và số giấy tờ tùy thân của bản thân, đồng thời cho biết đã liên hệ các nhà bán lẻ và cảnh sát nhưng vẫn gặp khó khăn trong việc giải quyết vấn đề.

  • Tài khoản Experian của tôi bị hack, lệnh đóng băng bị gỡ bỏ, và nó bị dùng để vay 100.000 USD từ Ford Credit.

    • Chia sẻ trải nghiệm tài khoản Experian bị xâm nhập dẫn đến một khoản vay lớn phát sinh, và việc xử lý hậu quả đã mất rất nhiều thời gian.

  • Có một kiến nghị trên resistbot kêu gọi các nhà lập pháp quan tâm đến vấn đề này.

    • Chia sẻ liên kết tới một kiến nghị trực tuyến nhằm thúc đẩy sự quan tâm ở cấp lập pháp đối với vấn đề này.

  • Cần có một giải pháp thay thế tốt hơn cho báo cáo tín dụng.

    • Nêu quan điểm chỉ trích hệ thống trong đó, khi ngân hàng và bên cho vay không thể công khai phân biệt chủng tộc, họ lại dùng điểm tín dụng như một cách gián tiếp để phân biệt đối xử.

  • Tôi tự hỏi liệu có cách nào để tránh bị chấm điểm tín dụng ở một trong ba cơ quan xếp hạng tín dụng hay không.

    • Tìm kiếm thông tin về cách tránh bị một trong các cơ quan xếp hạng tín dụng chấm điểm, với tư cách người tiêu dùng muốn thúc đẩy cạnh tranh.

  • Nếu xảy ra gian lận nhẹ (như nỗ lực mở tài khoản thất bại hoặc rò rỉ dữ liệu), bạn có thể đăng ký cảnh báo gian lận và đóng băng tín dụng tại tất cả các cơ quan, từ đó giảm bớt thư từ không cần thiết và nguy cơ xuất hiện tài khoản gian lận thật trong một thời gian.

    • Giải thích rằng cảnh báo gian lận và đóng băng tín dụng có thể tăng cường các bước xác thực bổ sung, qua đó giúp ngăn ngừa nhiều vấn đề khác nhau.

  • Tôi đã thử đăng nhập vào website của Experian, nhưng trang quá bất ổn nên thậm chí còn không thể đăng nhập được.

    • Chia sẻ việc gặp khó khăn khi truy cập tài khoản của mình do các vấn đề chức năng trên website của Experian.