En 2017, el portal KrebsOnSecurity ya reportó una vulnerabilidad en uno de los tres burós de crédito más grandes de Estados Unidos. La vulnerabilidad permite a los atacantes cancelar la solicitud de un cliente de Experian para congelar una cuenta de crédito y obtener acceso a sus datos personales. La semana pasada, un cliente les dijo a los empleados de KrebsOnSecurity que aún es posible descongelar una cuenta sin iniciar sesión en la cuenta correspondiente en el sitio web de Experian. Decidí volver a plantear el delicado tema de los problemas con la seguridad de los sistemas de información de los burós de crédito.
Si su cuenta de crédito está congelada y desea recibir un PIN olvidado o perdido, puede solicitarlo aquí. Se requiere un PIN para descongelar y proporcionar al prestamista acceso a su historial crediticio.
Experian tiene una página dedicada donde puede ingresar información para recuperar un PIN olvidado. Los atacantes también pueden aprovechar esta "conveniente" oportunidad para averiguar su PIN. Pero para esto necesitas tener suficiente información sobre ti. Anteriormente, esperábamos que no todas las preguntas pudieran responderse teniendo los datos personales de otra persona con usted, que periódicamente se filtran a la red desde la base de datos de Equifax y otras agencias de informes crediticios.
Historia del cliente
El año pasado, Dune Thomas, un ingeniero de software con sede en Sacramento, California, congeló sus cuentas de crédito en Experian, Equifax y TransUnion después de enterarse de que los estafadores intentaban acceder a fondos en las cuentas utilizando la dirección de su casa vacía (en el estado de Washington). en venta.
Pero después de un tiempo, los estafadores volvieron a tomarlo. A principios de abril, descongelaron la cuenta Experian de Thomas e inmediatamente solicitaron nuevas líneas de crédito a su nombre, nuevamente usando la misma dirección de Washington DC. Thomas no ha recibido ninguna notificación de nuevos préstamos. Solo se enteró porque estaba usando un servicio gratuito de monitoreo de crédito de la compañía de su tarjeta de crédito.
Después de unos días de conversación telefónica con Experian, un representante de la empresa admitió que alguien había utilizado la función de solicitud de su PIN en el sitio web de Experian y recibió su PIN, y luego descongeló la cuenta.
Thomas y su amigo decidieron pasar por el proceso de recuperación del PIN de Experian y se sorprendieron: solo una de las cinco preguntas de opción múltiple (que les hicieron después de ingresar su dirección, número de seguro social y fecha de nacimiento) era el último bastión de la seguridad. . Es poco probable que un cheque tan débil pueda atar las manos de los estafadores durante mucho tiempo.
Investigación de KrebsOnSecurity
Un empleado de KrebsOnSecurity pasó por el mismo procedimiento y encontró resultados similares. La primera pregunta sobre una nueva hipoteca, que supuestamente tomé en 2019 (no hice esto), naturalmente se volvió loca. La segunda pregunta, no menos extraña, también llegó allí.
Las siguientes dos preguntas resultaron inútiles, porque ya habían sido formuladas y respondidas (bueno, estos datos generalmente se encuentran en las bases de datos fusionadas en la red):
- « ?»
- « , ?»
Solo había una pregunta sobre el caso y relacionada con mi historial crediticio (se trataba de los últimos cuatro dígitos del número de cuenta corriente).
Y la cereza de este pastel de autenticación estropeado es que puede ingresar cualquier dirección de correo electrónico para obtener un PIN; es posible que no esté asociado con una cuenta existente en el sistema Experian de ninguna manera. Además, al enviar un PIN, Experian no se preocupa por enviar notificaciones apropiadas a otras direcciones de correo electrónico ya asociadas con este cliente.
Finalmente, una cuenta con funcionalidad básica (leer: gratis) evita que los usuarios de Experian habiliten la autenticación multifactor. Aunque podría haber evitado un robo de PIN similar.
Resulta que puede comprar una suscripción al servicio CreditLock publicitado con una descripción confusa. Debe pagar entre $ 14,99 y $ 24,99 por mes para poder "bloquear y desbloquear fácil y rápidamente su historial [crediticio] sin retrasar el proceso de solicitud". Los usuarios de CreditLock pueden usar la autenticación multifactor y también recibir notificaciones cuando alguien intenta acceder a su cuenta.
Thomas está indignado de que Experian brinde seguridad solo para aquellos clientes que la pagan todos los meses:
“Experian tenía la capacidad de proteger de forma segura a las personas con autenticación adicional, pero no lo hizo porque podrían pedir $ 25 al mes por dicho servicio. No cierran intencionalmente este agujero de seguridad para obtener ganancias. Y esto ha estado sucediendo durante al menos cuatro años ".
¿Mentira de marketing?
Cuando un cliente con una cuenta de crédito congelada inicia sesión en el sitio web de Experian, se le redirige inmediatamente a un mensaje sobre uno de los servicios de pago de Experian, en este caso CreditLock. El mensaje que vi cuando inicié sesión confirma las palabras de Thomas: a pesar de que tuve un congelamiento, mi "nivel de protección" actual era "bajo", porque supuestamente mi historial crediticio estaba disponible para su visualización:
"Cuando se desbloquea su historial crediticio, es más vulnerable al robo de identidad y al fraude", escribe Experian. “No verá notificaciones si alguien intenta acceder a su historial. Los bancos pueden verlo si está solicitando un préstamo o préstamo. Su historial crediticio [también] puede ser visto por proveedores de servicios públicos y otros proveedores ".
Experian me asusta porque todavía no me he registrado en su servicio de pago CreditLock.
Suena aterrador, ¿verdad? Pero la verdad es que, con la excepción de la frase de no notificación, ninguna de las declaraciones anteriores es cierta si su cuenta de crédito ya está congelada. La congelación, de hecho, ya bloquea la capacidad de ver su historial crediticio.
Si su cuenta de crédito está congelada, los atacantes pueden solicitar tanto como quieran en su nombre, pero no podrán abrir nuevas líneas de crédito. Es poco probable que algún prestamista apruebe este préstamo sin poder evaluar qué tan arriesgado es otorgarlo (es decir, deben revisar su historial crediticio). Ahora puedes congelar un préstamo gratis en cualquier estado de los Estados Unidos.
Experian, al igual que otras agencias de crédito, utiliza deliberadamente el confuso término "bloqueo" para intimidar a los consumidores para que paguen por servicios de suscripción mensual. El único argumento a favor de tales servicios es que los prestamistas podrán ver su historial más rápido cuando soliciten un nuevo préstamo. En la práctica, esto puede ser cierto o no. Mientras tanto, considere por qué es tan importante para Experian convencer a los consumidores de que se suscriban a su servicio CreditLock .
Nada personal, solo negocios
La verdadera razón es que Experian gana dinero cada vez que alguien solicita un historial crediticio en su nombre y no quiere interponerse. La suscripción al servicio de "bloqueo" permite a Experian seguir vendiendo información crediticia a terceros. En la sección de preguntas frecuentes, los empleados de Experian escriben que después de bloquear su historial crediticio sigue estando disponible para muchas empresas, entre ellas:
- empleadores potenciales o compañías de seguros;
- agencias de cobranza que actúan en nombre de sus acreedores;
- empresas que ofrecen ofertas de tarjetas de crédito preaprobadas;
- empresas que tienen una relación crediticia existente con usted (incluidos préstamos congelados);
- y también está disponible para ofertas especiales de Experian.
Es una pena que al ofrecer protección adicional solo a aquellas personas que pagan a la empresa una cantidad considerable cada mes para vender sus propios datos personales, Experian pueda evadir la responsabilidad. También es sorprendente que este agujero de seguridad, sobre el que escribí en 2017, aún no se haya cerrado en 2021.
Pero Experian no es el único en esto. En 2019, escribí sobre cómo el nuevo sitio web de la oficina de crédito de Equifax, MyEquifax, facilitó a los ladrones congelar un préstamo al omitir un código PIN. Los atacantes solo necesitaban saber su nombre, número de seguro social y fecha de nacimiento.
También en 2019, los ladrones de identidad pudieron obtener una copia de mi historial crediticio de TransUnion. Adivinaron mis respuestas a las preguntas, similares a las que hizo Experian. Solo me enteré después de que un detective de Washington me lo dijera después del hecho. Se encontró una copia en un disco extraíble de un residente local arrestado bajo sospecha de robo de identidad como parte de una banda de ciberdelincuentes.
Los especialistas de TransUnion llevaron a cabo una investigación y descubrieron que mis datos realmente llegaron a los ciberdelincuentes por culpa de la Oficina. Pero en 2020, se rehabilitaron cuando bloquearon otro intento fraudulento de obtener mi historial crediticio:
“A través de nuestra investigación, hemos establecido que un intento similar de recuperar su historia tuvo lugar en abril de 2020 y fue bloqueado con éxito por controles mejorados que TransUnion ha implementado desde el año pasado. TransUnion está implementando un programa de seguridad de varias capas para combatir la creciente amenaza de fraude, ciberataques y actividades maliciosas. En el entorno dinámico actual, TransUnion está expandiendo y mejorando continuamente nuestros controles para abordar las últimas amenazas de seguridad y, al mismo tiempo, permitir que los clientes accedan a sus datos ”.
Epílogo: piratas informáticos no rusos
Ayer, 28 de abril, los empleados del portal KrebsOnSecurity se enteraron de que el buró de crédito Experian eliminó la vulnerabilidad de un sitio asociado peligroso. Permitió a cualquiera que quisiera conocer la calificación crediticia personal de decenas de millones de estadounidenses simplemente ingresando su nombre y dirección de correo electrónico. Experian dice que ha solucionado la filtración de datos, pero Bill Demirkapi, el experto independiente en ciberseguridad que informó del descubrimiento, teme que la misma vulnerabilidad pueda estar presente en muchos otros sitios asociados que trabajan con el buró de crédito.
Pero qué podemos decir de los socios, cuando algo ... interesante también está pasando con la API del propio sistema de información de Experian.
Demirkapi descubrió que se puede acceder a la API de Experian directamente sin ninguna autenticación. Si ingresa todos ceros en el campo "fecha de nacimiento", se devolverá la calificación crediticia de la persona. Incluso creó una utilidad de consola que llamó la utilidad Cool Credit Score Lookup Utility de Bill.
Nuestras máquinas virtuales se pueden utilizar para el desarrollo y alojamiento de sitios web.
Regístrese usando el enlace de arriba o haciendo clic en el banner y obtenga un 10% de descuento durante el primer mes de alquiler de un servidor de cualquier configuración.
