Treasure Trove PII Experian Dilanggar Kanthi Mung Ngganti URL

saka ngumpulake-kabeh-mung-kanggo-menehi departemen

Makelar data kaya Experian lan Equifax nggawe target nggodho kanggo peretas sing jahat sing pengin golek sumber liyane kanggo informasi pribadhi sing bisa didol online menyang wong jahat liyane. Sing sedhih, ora ana sing kudu hack database. Padha luwih saka gelem mung ninggalake wong kapapar.

Ing 2017, Equifax bocor informasi pribadhi babagan meh setengah negara (143 yuta wong). Agensi pelaporan kredit ngerti babagan pelanggaran kasebut wiwit wulan Juli nanging ora bisa menehi kabar marang wong sing kena pengaruh sajrone sawetara wulan liyane. Sawetara tamparan bangkekan mengko lan Equifax isih nggawe jutaan nalika warga AS sing kena pengaruh dijaluk nggawe [squints at recently received Equifax settlement check] $7.85.

Experian duwe sejarah sordid dhewe. Ora mung wis didenda kaping pirang-pirang kanggo mblusukake wong bab akses kanggo free laporan kredit prentah dening hukum federal, iku kejiret sade info pribadhi kanggo fraudster Vietnam sing didol iki illicitly dijupuk stash saka PII kanggo wong liya.

Brian Krebs minangka salah sawijining sing nyuwil crita kasebut ing taun 2013. Dheweke uga ana ing sisih ndhuwur, sing nuduhake Experian durung entuk luwih apik kanggo nglindhungi informasi pribadi sing akeh banget sing dipikolehi saka mayuta-yuta wong Amerika sing ora ujar. ing prakara.

maling identitas wis eksploitasi kelemahan keamanan glaring ing website saka eksperian, salah siji saka telung biro laporan kredit konsumen gedhe. Biasane, Experian mbutuhake sing golek salinan laporan kredit kanthi sukses mangsuli sawetara pitakon pilihan babagan sejarah finansial. Nanging nganti pungkasan taun 2022, situs web Experian ngidini sapa wae ngliwati pitakon kasebut lan langsung menyang laporan konsumen. Kabeh sing dibutuhake yaiku jeneng, alamat, tanggal lahir lan nomer Jaminan Sosial.

Njaluk wong kanggo input Big Four saka PII kanggo ngakses laporan kredit liwat formulir online wis careless. Iki minangka rasa ora seneng Experian kanggo ngrampungake kewajiban federal kanggo nyedhiyakake laporan kredit gratis. Bocor data kasebut kalebu proses verifikasi Experian sing dipicu dening pengunjung menyang freecreditreport.com, situs web sing bisa diakses wong Amerika kanggo laporan kredit gratis sing diwajibake federal.

Brian Krebs diwenehi tandha babagan bocor iki dening Jenya Kushnir, peneliti keamanan Ukraina sing nemoni bolongan keamanan nalika ngintip ing saluran obrolan Telegram sing digunakake dening penipu identitas. Dheweke mutusake kanggo njupuk pelanggaran sing dilaporake, diwiwiti kanthi mandheg ing freecreditreport.com. Saka ing kono, dheweke dikirim menyang situs Experian kanggo validasi ID, ing ngendi masalah wiwit berkembang.

[W]Nalika aku nyoba njupuk laporan saka Experian liwat annualcreditreport.com, situs web Experian ujar manawa ora duwe informasi sing cukup kanggo ngesyahke identitasku. Iku malah ora bakal nuduhake kula papat pitakonan multi-guess. Experian kandha yen aku duwe telung opsi kanggo laporan kredit gratis ing wektu iki: Kirim panjalukan bebarengan karo dokumen identitas, nelpon nomer telpon kanggo Experian, utawa upload bukti identitas liwat situs web.

Nganti saiki, apik banget, dakkira. Iki bakal nyegah penipu nggunakake informasi sing dipikolehi saka pelanggaran liyane kanggo ngakses laporan kredit wong. Yen wis rampung ing kono. Pranyata metu ana workaround, lan iku pancene ora sembarang karya ing kabeh.

Nanging ora mandheg Experian nuduhake laporan kredit lengkapku sawise aku ngganti URL Experian kaya sing diwulangake Kushnir – ngowahi URL mburi kaca kesalahan saka “/acr/OcwError” dadi “/acr/report”.

Situs web Experian banjur langsung nampilake kabeh file kreditku.

Dadi, tanpa kasil nindakake verifikasi ID, Experian ngidini akses menyang laporan kredit lengkap liwat owah-owahan URL. Sing mesthine ora bakal kelakon, nanging iki kedadeyan sing kerep banget. Perusahaan massive sing duwe kabeh keahlian lan dhuwit sing dibutuhake kanggo ngamanake informasi pribadhi piye wae gagal nindakake kanthi frekuensi nguwatirake. Lan nalika lagi kapapar, dheweke kerep nyoba golek cara kanggo njupuk utusan utawa ngukum wong sing sesambungan karo situs kasebut kanthi cara sing ora dikarepake.

Experian diwenehi kabar dening Krebs wulan kepungkur nanging ora nate nanggapi. Cara nglanggar, Nanging, meneng patched metu saka eksistensi ing sawetara titik antarane Krebs ‘eksperimen Experian lan ngakoni laporan pelanggaran kang patang dina mengko. Nambah penghinaan kanggo ciloko, Krebs nyathet laporan sing dipikolehi kebak kesalahan, tegese dheweke kudu sesambungan karo layanan sing gagal nglindhungi informasi kaping pirang-pirang kanggo ndandani laporan kredit.

Lan, sepisan maneh, layanan pelaporan kredit – sing ora bisa dipilih dening wong Amerika supaya ora bisa nuduhake informasi pribadhi – wis muter kanthi cepet lan ngeculake kasugihan PII sing diklumpukake lan adol akses. Laporan lengkap Krebs pancen apik, yen nandhang sungkowo, maca sing menehi katrangan babagan wektu liyane Experian gagal ngamanake data kasebut kanthi bener. Sayange, sing paling akeh wong Amerika bisa ngarep-arep yaiku ora bakal dipotong saka ngakses laporan kredit gratis amarga ora kompeten layanan pelaporan kredit. Yen pelanggaran Equifax minangka indikasi asil ing mangsa ngarep, perusahaan-perusahaan kasebut bakal terus sembrono amarga wis dijamin ora bakal diukum kanthi bener.

Filed Under: pelanggaran data, keamanan, url, verifikasi

Perusahaan: experian

Leave a Comment

Your email address will not be published. Required fields are marked *