Source: Slashdot
根据安全研究员 Brian Krebs 报告,2022年夏季,KrebsOnSecurity 记录了几位读者在大型信用报告机构 Experian 的帐户被身份盗窃者用不同的电子邮件地址重新注册而被劫持的困境。16个月后,Experian 显然没有解决这个严重的安全漏洞。我知道这是因为我在 Experian 的帐户最近被黑客入侵,唯一恢复账户的方法是重新创建账户……主页上说我需要提供社会保障号码和手机号码,并很快会收到应该点击验证自己的链接。该网站声称,您提供的手机号码将用于验证您的身份。但在此过程的这一阶段,似乎您可以提供任何美国的电话号码,Experian 的网站都不会阻止。
一位用户说,他们这周重新创建了他们的账户,尽管他们输入的电话号码是一个随机号码。PeteMayo 写道:“唯一的区别是:在宣布‘欢迎回来,Pete!’并授予完全访问权限之前,它问了我 FIVE 个关于我个人历史的问题(上次只问了三个)。我感到很愚蠢为 Experian 保存我的密码;每次都可以新建一个账户。而 Krebs 指出:“无论如何,用户可以通过选择‘继续其他方式’来跳过此步骤。然后 Experian 要求您提供全名、地址、出生日期、社会保障号码、电子邮件地址和选择的密码。
之后,他们要求您成功回答三到五个多选安全问题,其答案往往基于公共记录。当我本周重新创建我的账户时,仅有五个问题中的两个与我的真实信息相关,并且这两个问题都涉及我们之前住过的街道地址——这些信息只要进行谷歌搜索就能找到……Experian 将向与账户绑定的旧电子邮件地址发送一封消息,通知用户个人资料的某些方面发生了更改。但是,此消息并不是一个请求,寻求验证:这只是 Experian 的通知,账户的用户数据已经更改,原始用户除了点击链接登录 Experian.com 外没有任何其他选择。当然,接收到这些通知的用户会发现他们的 Experian 帐户凭证不再有效。
他们的个人识别码(PIN)或账户恢复问题也已更改。此时,您唯一的选择是在 Experian 重新创建您的账户并从身份盗窃者那里夺回它!Experian 发言人 Scott Anderson 坚称,其安全措施“不断演化”——但 Krebs 仍然不满意。Anderson 表示,所有消费者都可以选择激活多因素认证方法,在每次登录账户时都会要求验证。然而,如果有人可以简单地通过新的电话号码和电子邮件地址重新创建您的账户,多因素认证有何用处?。
Experian 的安全漏洞问题仍然存在,而多因素认证可能并不能提供充分的保障。这是否意味着任何人都可以代替你在 Experian 上进行操作呢?