Experian Flaw ha appena rivelato i PIN che proteggono i dati di credito

Il blocco dei crediti è il modo migliore per prevenire nuove frodi nei conti, laddove i criminali aprono account fasulli a tuo nome. Ma il sito di un istituto di credito ha reso dolorosamente facile aggirare la sicurezza che dovrebbe tenere al sicuro i rapporti di credito.

Il sito di Experian ha esposto i numeri di identificazione personale - i PIN necessari per scongelare i blocchi di credito - dopo che gli utenti hanno risposto alle loro domande di sicurezza con una risposta globale: Nessuno dei precedenti.

Più di un anno fa, l'esperto di sicurezza Brian Krebs ha riportato un errore simile. A quel punto, le persone dovevano rispondere correttamente alle quattro domande di "autenticazione basata sulla conoscenza" utilizzate per identificarle. Il problema con questo metodo, secondo Krebs, è che le informazioni personali necessarie per indovinare con successo le risposte sono prontamente disponibili online attraverso siti commerciali e criminali.

Ma per diverse ore giovedì - e per chissà quanto tempo prima - non hai nemmeno dovuto indovinare.

Un lettore ci ha avvisato di questo problema, e molti di noi che hanno avuto il blocco dei crediti sono riusciti a replicarlo. Abbiamo chiesto ai nostri follower su Facebook e Twitter e ascoltato da altri che hanno avuto accesso ai loro PIN.

Difetto nel normale processo

Per ottenere i numeri, le persone hanno compilato il modulo sulla pagina di recupero PIN di Experian con il nome, l'indirizzo, il numero di previdenza sociale e la data di nascita di una persona - esattamente il tipo di informazioni che è stato compromesso nella violazione Equifax dello scorso anno e che è prontamente disponibile per la vendita sulla rete oscura. Il modulo richiedeva un indirizzo email, che non doveva necessariamente essere quello associato all'account Experian della persona. Rispondendo a "nessuna delle precedenti" alle domande di sicurezza - anche se alcune delle risposte fornite erano corrette - si dava accesso al PIN di quella persona.

Con il PIN, chiunque può scongelare il credito di quella persona e richiedere il credito nel proprio nome.

Il difensore dei consumatori Mike Litt è stato anche in grado di recuperare il suo PIN usando il difetto. "Non c'è assolutamente alcuna scusa per questo", dice Litt, direttore della campagna per gli UIRU PIRG, un'organizzazione di difesa di interesse pubblico. "Come lasci le chiavi della porta in cima al tappetino di benvenuto?"

Un portavoce di Experian ha rilasciato una dichiarazione giovedì pomeriggio che ha dichiarato: "Mentre siamo fiduciosi che la nostra autenticazione è sicura e nessun file di credito è a rischio, abbiamo preso ulteriori misure per rendere il processo più sicuro. Continuiamo a monitorare regolarmente i nostri sistemi, adottando misure immediate quando è necessario rafforzare la sicurezza dei dati."

I messaggi di errore entrano in azione

Alla fine di giovedì, molti di noi hanno iniziato a ricevere i messaggi di errore che le nostre risposte avrebbero dovuto generare in primo luogo. Siamo stati indirizzati a inviare a Experian le nostre informazioni identificative, come le copie della nostra patente di guida, le bollette delle utenze e la carta di sicurezza sociale.

La posta degli Stati Uniti, nel caso in cui sia necessario dirlo, non è un modo sicuro per trasmettere tali informazioni. Ma dal momento che questi dettagli sono probabilmente già in mani criminali, lo lasceremo per ora.

Questo è un altro promemoria sul fatto che dobbiamo continuare a monitorare i nostri rapporti di credito e i punteggi per i conti fraudolenti, anche se abbiamo bloccato i blocchi di credito, come dovremmo ancora.

Ciò che è davvero doloroso è che i blocchi di sicurezza dovrebbero essere uno dei pochi efficaci baluardi che le persone possono mettere in atto contro le frodi. Questo è il motivo per cui gli esperti di sicurezza li hanno raccomandati per anni e perché il Congresso ha finalmente congelato e scongelato a partire dal 21 settembre.

La facilità con cui questa protezione essenziale potrebbe essere vanificata ci dice che le agenzie di credito non stanno ancora prendendo abbastanza sul serio la sicurezza delle nostre informazioni.

Lo scrittore Bev O'Shea ha contribuito a questo rapporto.