• 微头条

    让本地生活更美好

打开APP

在 Experian,任何人仍然很容易“假冒你”

2023-11-12 外星人S博士
在 Experian,任何人仍然很容易“假冒你”

Source: Slashdot

根据安全研究员 Brian Krebs 报告,2022年夏季,KrebsOnSecurity 记录了几位读者在大型信用报告机构 Experian 的帐户被身份盗窃者用不同的电子邮件地址重新注册而被劫持的困境。16个月后,Experian 显然没有解决这个严重的安全漏洞。我知道这是因为我在 Experian 的帐户最近被黑客入侵,唯一恢复账户的方法是重新创建账户……主页上说我需要提供社会保障号码和手机号码,并很快会收到应该点击验证自己的链接。该网站声称,您提供的手机号码将用于验证您的身份。但在此过程的这一阶段,似乎您可以提供任何美国的电话号码,Experian 的网站都不会阻止。

一位用户说,他们这周重新创建了他们的账户,尽管他们输入的电话号码是一个随机号码。PeteMayo 写道:“唯一的区别是:在宣布‘欢迎回来,Pete!’并授予完全访问权限之前,它问了我 FIVE 个关于我个人历史的问题(上次只问了三个)。我感到很愚蠢为 Experian 保存我的密码;每次都可以新建一个账户。而 Krebs 指出:“无论如何,用户可以通过选择‘继续其他方式’来跳过此步骤。然后 Experian 要求您提供全名、地址、出生日期、社会保障号码、电子邮件地址和选择的密码。

之后,他们要求您成功回答三到五个多选安全问题,其答案往往基于公共记录。当我本周重新创建我的账户时,仅有五个问题中的两个与我的真实信息相关,并且这两个问题都涉及我们之前住过的街道地址——这些信息只要进行谷歌搜索就能找到……Experian 将向与账户绑定的旧电子邮件地址发送一封消息,通知用户个人资料的某些方面发生了更改。但是,此消息并不是一个请求,寻求验证:这只是 Experian 的通知,账户的用户数据已经更改,原始用户除了点击链接登录 Experian.com 外没有任何其他选择。当然,接收到这些通知的用户会发现他们的 Experian 帐户凭证不再有效。

他们的个人识别码(PIN)或账户恢复问题也已更改。此时,您唯一的选择是在 Experian 重新创建您的账户并从身份盗窃者那里夺回它!Experian 发言人 Scott Anderson 坚称,其安全措施“不断演化”——但 Krebs 仍然不满意。Anderson 表示,所有消费者都可以选择激活多因素认证方法,在每次登录账户时都会要求验证。然而,如果有人可以简单地通过新的电话号码和电子邮件地址重新创建您的账户,多因素认证有何用处?。

Experian 的安全漏洞问题仍然存在,而多因素认证可能并不能提供充分的保障。这是否意味着任何人都可以代替你在 Experian 上进行操作呢?

特别声明:本文及配图均为用户上传或者转载,本文仅代表作者个人观点和立场,不代表平台观点。其原创性以及文中陈述文字和内容未经本站证实, 对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本平台不作任何保证或承诺,请读者仅作参考, 并请自行核实相关内容。如发现稿件侵权,或作者不愿在本平台发布文章,请版权拥有者通知本平台处理。
Copyright Disclaimer: The copyright of contents (including texts, images, videos and audios) posted above belong to the User who shared or the third-party website which the User shared from. If you found your copyright have been infringed, please send a DMCA takedown notice to info@microheadline.com
来源:https://yro.slashdot.org/story/23/11/11/2337223/its-still-too-easy-for-anyone-to-become-you-at-experian?utm_source=rss1.0mainlinkanon&utm_medium=feed https://news.ycombinator.com/item%3Fid%3D38232767 https://krebsonsecurity.com/2023/11/its-still-easy-for-anyone-to-become-you-at-experian/
更多阅读