"En Experian, cualquiera todavía puede convertirse fácilmente en ti"

 (krebsonsecurity.com)
1 puntos por GN⁺ 2023-11-12 | 1 comentarios | Compartir por WhatsApp

Los problemas de seguridad de Experian continúan

  • En el verano de 2022, se reportaron casos en los que cuentas de informes de crédito al consumidor de Experian fueron secuestradas al volver a registrarlas simplemente cambiando la dirección de correo electrónico.
  • Incluso 16 meses después, Experian no ha logrado resolver este grave problema de seguridad.
  • La cuenta de Experian del periodista también fue hackeada recientemente, y para recuperar el acceso tuvo que crear una cuenta nueva.

El fácil proceso de volver a registrar una cuenta

  • Al ingresar el SSN (número de Seguro Social) y la fecha de nacimiento en Experian, el periodista descubrió que estaban vinculados a una dirección de correo electrónico que él no había verificado.
  • El sitio web de Experian solicita el SSN y la fecha de nacimiento para encontrar el nombre de usuario de la cuenta, y muestra parte de una dirección de correo electrónico no verificada.
  • Experian todavía permite recrear una cuenta de archivo crediticio usando información personal y una dirección de correo electrónico distinta.

La fragilidad del proceso de creación de cuentas

  • La página principal de Experian solicita el SSN y un número móvil, y dice que enviará un enlace para verificar la identidad.
  • El usuario puede omitir el paso de ingresar el número de teléfono y luego debe introducir nombre, dirección, fecha de nacimiento, SSN, dirección de correo electrónico y contraseña.
  • También debe responder entre 3 y 5 preguntas de seguridad de opción múltiple, pero la mayoría se basan en registros públicos y son fáciles de encontrar.

Falta de notificación por correo al cambiar la cuenta

  • Cuando se crea una cuenta nueva, Experian envía al correo electrónico anterior una notificación sobre cambios en el perfil del usuario.
  • Esta notificación no solicita verificar los cambios, y el usuario original no puede hacer nada más que seguir un enlace para iniciar sesión en Experian.com.

La importancia de una cuenta de Experian

  • Si no se tiene una cuenta de Experian, se puede crear una para recibir notificaciones por correo electrónico cuando el archivo crediticio sea usurpado.
  • Si la cuenta es secuestrada, se cambian todos los datos de inicio de sesión existentes, el PIN y las preguntas de recuperación, por lo que no queda otra opción que volver a crear la cuenta para recuperarla del impostor.

Comparación con otras agencias de informes crediticios

  • Otras grandes agencias de informes crediticios al consumidor, como Equifax o TransUnion, exigen introducir un código enviado al correo electrónico o número telefónico registrado en el archivo cuando hay cambios en la cuenta.

La respuesta de Experian

  • El portavoz de Experian, Scott Anderson, se negó a compartir información sobre las direcciones de correo electrónico no verificadas.
  • Anderson afirmó que Experian ha implementado un enfoque de seguridad multicapa, que incluye preguntas y respuestas basadas en conocimiento, así como procesos de verificación de propiedad y posesión del dispositivo.

Problemas con la efectividad de los múltiples factores de autenticación

  • Todos los consumidores tienen la opción de activar factores múltiples de autenticación solicitados en cada inicio de sesión, pero eso no sirve de mucho si la cuenta puede recrearse con un nuevo número telefónico y una nueva dirección de correo electrónico.

El experimento de usuarios de Mastodon

  • Usuarios de Mastodon probaron los problemas de seguridad de Experian y validaron lo que descubrió el periodista.
  • Cuando Experian pedía el número de teléfono y los últimos cuatro dígitos del SSN, los usuarios elegían la opción "Ingresar mi información manualmente" y luego introducían un nuevo número telefónico y una nueva dirección de correo electrónico.
  • No se requería ninguna verificación desde la dirección de correo original, y la 2FA (autenticación de dos factores) se realizaba con el nuevo número telefónico.

Los antecedentes de seguridad de Experian

  • En diciembre de 2022, KrebsOnSecurity descubrió una forma sencilla de eludir la seguridad de Experian y acceder al informe crediticio completo de cualquier consumidor.
  • En abril de 2021, KrebsOnSecurity reveló a ladrones de identidad que desbloqueaban archivos crediticios de consumidores al explotar la autenticación débil en la página de recuperación de PIN de Experian.
  • Experian ya ha sido criticada en múltiples ocasiones en el pasado por diversos problemas de seguridad.

La opinión de GN⁺

  • El punto más importante es que Experian todavía no ha solucionado vulnerabilidades de seguridad graves, lo que puede poner en riesgo la información crediticia de los usuarios.
  • Este artículo ofrece a los consumidores una conciencia importante sobre qué medidas deben tomar para proteger su información crediticia.
  • Los problemas de seguridad de Experian están directamente relacionados con la protección de la información personal de los consumidores, y eso es un asunto de gran importancia para todos.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-11-12
Comentarios en Hacker News

  • Los clientes de las empresas de espionaje no somos nosotros, pero sorprende que la falta de seguridad no sea motivo para que sus clientes reales dejen de hacer negocios con ellas.

    • Se cuestiona el sentido mismo de la existencia de estos servicios, ya que la seguridad de las empresas de espionaje es tan débil que se pueden usar para hacerse pasar por otras personas.

  • Si a los ejecutivos de Experian les siguieran hackeando las cuentas de la misma manera, en algún momento habría un cambio.

    • Se especula que, si los ejecutivos de Experian sufrieran repetidos hackeos de cuenta, podría producirse un cambio respecto a este problema.

  • No entiendo cómo Experian puede librarse de demandas después de fallar en proteger a sus clientes.

    • Se expresa incomprensión sobre la base legal que permite que Experian siga operando a pesar de no proteger la información de sus clientes.

  • En las últimas semanas he estado recibiendo constantemente correos de confirmación de compra de smartphones y laptops a mi nombre de grandes minoristas.

    • Explica que ha recibido comprobantes de compra con su nombre y número de identificación, y que, aunque contactó a los minoristas y a la policía, ha tenido dificultades para resolver el problema.

  • Hackearon mi cuenta de Experian, quitaron el congelamiento y la usaron para sacar un préstamo de 100 mil dólares con Ford Credit.

    • Comparte la experiencia de que su cuenta de Experian fue comprometida, lo que derivó en un préstamo por una gran cantidad de dinero, y que resolverlo tomó mucho tiempo.

  • Hay una petición en resistbot para exigir la atención de los legisladores sobre este problema.

    • Se comparte un enlace a una petición en línea para pedir atención legislativa sobre este asunto.

  • Necesitamos una alternativa mejor a los reportes de crédito.

    • Expresa una postura crítica hacia un sistema que, al impedir que bancos y prestamistas discriminen directamente por raza, termina usando la calificación crediticia como método indirecto de discriminación.

  • Me pregunto si hay alguna forma de evitar tener un puntaje de crédito en una de las tres agencias.

    • Busca información sobre cómo evitar tener puntaje de crédito en una de las agencias de crédito para fomentar la competencia como consumidor.

  • Si ocurre un fraude menor (un intento fallido de abrir una cuenta o una filtración de datos), puedes registrar una alerta de fraude y un congelamiento de crédito en todas las agencias, lo que durante cierto tiempo reduce el correo innecesario y el riesgo de cuentas fraudulentas reales.

    • Explica que, mediante alertas de fraude y congelamientos de crédito, se pueden reforzar los procedimientos de verificación adicional y así prevenir varios problemas.

  • Intenté iniciar sesión en el sitio web de Experian, pero era tan inestable que ni siquiera pude entrar.

    • Comparte que tuvo dificultades para acceder a su cuenta debido a problemas de funcionamiento en el sitio web de Experian.