एक्सपेरियन, आपके पास करने के लिए कुछ स्पष्टीकरण है – सुरक्षा पर क्रिप्स

KrebsOnSecurity ने पिछले महीने में दो बार उन पाठकों से सुना है जिनके खाते एक बड़े ट्रिपल क्रेडिट ब्यूरो में हैं एक्सपीरियन हैक किया गया और एक नए ईमेल पते के साथ अपडेट किया गया जो उनका नहीं था। दोनों ही मामलों में, पाठकों ने अपने डेमो खातों के लिए मजबूत और अद्वितीय पासवर्ड चुनने के लिए पासवर्ड प्रबंधकों का उपयोग किया। अनुसंधान इंगित करता है कि पहचान चोर केवल पीड़ित की व्यक्तिगत जानकारी और एक अलग ईमेल पते का उपयोग करके एक्सपीरियन में नए खातों के लिए साइन अप करके खातों को हाईजैक करने में सक्षम थे।

जॉन टर्नर वह साल्ट लेक सिटी में स्थित एक सॉफ्टवेयर इंजीनियर है। टर्नर ने कहा कि उसने अपने क्रेडिट प्रोफाइल पर सुरक्षा फ्रीज लगाने के लिए 2020 में एक्सपेरियन में खाता बनाया था, और उसने अपने एक्सपेरियन खाते के लिए एक मजबूत, अद्वितीय पासवर्ड की पहचान करने और उसे संग्रहीत करने के लिए एक पासवर्ड मैनेजर का उपयोग किया था।

टर्नर ने कहा कि जून 2022 की शुरुआत में उन्हें एक्सपेरियन से एक ईमेल मिला जिसमें कहा गया था कि उनके खाते का ईमेल पता बदल गया है। उस समय एक्सपेरियन का पासवर्ड रीसेट बेकार था क्योंकि कोई भी पासवर्ड रीसेट लिंक नए (स्कैमर) ईमेल पते पर भेजा जाएगा।

एक एक्सपेरियन टर्नर समर्थन व्यक्ति एक लंबी प्रतीक्षा के बाद फोन द्वारा उसके सामाजिक सुरक्षा नंबर (एसएसएन) और जन्म तिथि के साथ-साथ उसके खाते के पिन और उसके गोपनीय सवालों के जवाब के लिए पहुंचा। लेकिन पिन और गुप्त प्रश्न पहले से ही ऐसे किसी भी व्यक्ति द्वारा बदल दिए गए हैं, जिन्होंने एक्सपेरियन के साथ फिर से पंजीकरण कराया है।

टर्नर ने कहा, “मैं क्रेडिट रिपोर्ट के सवालों का सफलतापूर्वक जवाब देने में सक्षम था, जिसने मुझे उनके सिस्टम पर मंजूरी दे दी।” “उस समय, प्रतिनिधि ने मुझे वर्तमान संग्रहीत सुरक्षा प्रश्न और पिन पढ़ा, और वे निश्चित रूप से ऐसी चीजें नहीं थीं जिनका मैंने उपयोग किया होगा।”

टर्नर ने कहा कि वह एक नया खाता बनाकर अपने एक्सपेरियन खाते पर नियंत्रण हासिल करने में सक्षम था। लेकिन अब वह सोच रहा है कि दूसरे अकाउंट को हैक होने से बचाने के लिए वह क्या कर सकता है। ऐसा इसलिए है क्योंकि एक्सपेरिमेंट उपभोक्ता खातों पर किसी भी प्रकार के बहु-कारक प्रमाणीकरण विकल्पों की पेशकश न करें.

“इस पूरी बात के बारे में सबसे निराशाजनक बात यह है कि मुझे बाद में कई ‘यह आपकी लॉगिन जानकारी’ ईमेल मिले, जिसका श्रेय उन्होंने मूल हमलावरों को दिया जो वापस गए और ‘ईमेल/उपयोगकर्ता नाम भूल गए’ प्रवाह का उपयोग करने की कोशिश की, सबसे अधिक संभावना एसएसएन का उपयोग कर और जन्मतिथि, लेकिन यह उनके ईमेल पर नहीं गया जिसकी वे उम्मीद कर रहे थे,” टर्नर ने कहा। “चूंकि एक्सपेरियन किसी भी प्रकार के दो-कारक प्रमाणीकरण का समर्थन नहीं करता है – और मुझे नहीं पता कि वे मेरे खाते में पहली बार में कैसे आए – तब से मैं बहुत असहाय महसूस कर रहा हूं।”

स्पष्ट होने के लिए, प्रयोगकर्ता करना इसकी एक व्यावसायिक इकाई है व्यवसायों को वन-टाइम पासवर्ड सेवाएं बेचता है. लेकिन यह सीधे उन उपभोक्ताओं को प्रदान नहीं करता है जिन्होंने एक्सपेरियन वेबसाइट पर अपनी क्रेडिट प्रोफ़ाइल को प्रबंधित करने के लिए साइन अप किया है।

आर्थर रिची बोस्टन लैंडमार्क ऑर्केस्ट्रा के संगीतकार और सह-कार्यकारी निदेशक। रिची ने कहा कि उन्हें हाल ही में पता चला है कि उनकी (एक्सपेरियन की नहीं) क्रेडिट निगरानी सेवा से अलर्ट प्राप्त करने के बाद उनके एक्सपेरियन खाते को हाईजैक कर लिया गया था कि किसी ने जेपी मॉर्गन चेस में उनके नाम पर एक खाता खोलने की कोशिश की थी।

READ  मार्च के बाद पहली बार अमेरिकी पेट्रोल की कीमतें 4 डॉलर से नीचे आई हैं

ऋषि ने कहा कि अलर्ट ने उन्हें चौंका दिया क्योंकि उस समय उनकी एक्सपेरियन क्रेडिट प्रोफाइल फ्रीज हो गई थी, और एक्सपेरियन ने उन्हें अपने खाते में किसी भी गतिविधि के बारे में सूचित नहीं किया था। ऋषि ने कहा कि चेस अनधिकृत खाता अनुरोध को रद्द करने के लिए सहमत हो गया और यहां तक ​​​​कि उसकी क्रेडिट पूछताछ भी रद्द कर दी (प्रत्येक क्रेडिट पुल आपके क्रेडिट स्कोर को थोड़ा नुकसान पहुंचा सकता है)।

लेकिन कंपनी के फोन-आधारित सिस्टम के माध्यम से आगे बढ़ने की कोशिश कर रहे अनंत काल की तरह लगने वाले खर्च के बावजूद, फोन का जवाब देने के लिए वह कभी भी किसी को भी एक्सपीरियन समर्थन से प्राप्त करने में सक्षम नहीं था। तभी ऋषि ने यह देखने का फैसला किया कि क्या वह एक्सपीरियन में अपने लिए एक नया खाता बना सकते हैं।

“मैं अपने एसएसएन, जन्म तिथि का उपयोग करके और वास्तव में कुछ बुनियादी सवालों के जवाब देने के लिए खरोंच से एक नया एक्सपेरियन खाता खोलने में सक्षम था, जैसे कि मुझे किस तरह की कार के लिए ऋण मिला, या मैं किस शहर में रहता था,” कहा हुआ ऋषि। ।

रिकॉर्डिंग पूरी करने पर ऋषि ने देखा कि उनका बैलेंस जम गया है।

टर्नर की तरह, रिची अब चिंतित है कि पहचान चोर उसके एक्सपेरियन खाते को फिर से हाईजैक कर लेगा, और इस तरह के परिदृश्य को रोकने के लिए वह कुछ भी नहीं कर सकता है। वर्तमान में, ऋषि ने किसी भी संदिग्ध गतिविधि के लिए अपने खाते की बारीकी से निगरानी करने के लिए Experian $25.99 प्रति माह का भुगतान करने का निर्णय लिया है। एक्सपीरियन की सशुल्क सेवा के साथ भी, कोई अतिरिक्त बहु-कारक प्रमाणीकरण विकल्प नहीं थे, हालांकि उन्होंने कहा कि एक्सपीरियन ने हाल ही में लॉग इन करते समय एसएमएस के माध्यम से अपने फोन पर एक बार का कोड भेजा था।

“एक्सपेरियन को अब कभी-कभी मेरे लिए एमएफए की आवश्यकता होती है, अगर मैं एक नए ब्राउज़र का उपयोग कर रहा हूं या अपना वीपीएन चला रहा हूं,” ऋषि ने कहा, लेकिन उन्हें यकीन नहीं था कि एक्सपेरियन की मुफ्त सेवा अलग तरह से काम करेगी।

उन्होंने कहा, “जब मैं यह सब सोचता हूं तो मुझे बहुत गुस्सा आता है।” “मुझे विश्वास नहीं है कि ऐसा दोबारा नहीं होगा।”

एक लिखित बयान में, एक्सपीरियन ने सुझाव दिया कि ऋषि और टर्नर के साथ जो हुआ वह कोई सामान्य घटना नहीं थी, और यह कि उनकी पहचान और सुरक्षा सत्यापन प्रथाएं उपयोगकर्ता के लिए दृश्यमान से परे हैं।

एक्सपेरियन ने एक बयान में कहा, “हमारा मानना ​​है कि ये चोरी की उपभोक्ता जानकारी का उपयोग करके व्यक्तिगत धोखाधड़ी की घटनाएं हैं।” “आपके प्रश्न के लिए विशेष, एक बार एक एक्सपेरियन खाता बन जाने के बाद, यदि कोई दूसरा एक्सपेरियन खाता बनाने का प्रयास करता है, तो हमारे सिस्टम फ़ाइल में मूल ईमेल की रिपोर्ट करेंगे।”

बयान जारी है, “हम व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) या हमारे सिस्टम तक पहुंच प्राप्त करने के लिए ज्ञान-आधारित प्रमाणीकरण प्रश्नों का उत्तर देने की उपभोक्ता की क्षमता पर भरोसा करने से परे जाते हैं।” “हम स्पष्ट सुरक्षा कारणों से अतिरिक्त प्रक्रियाओं का खुलासा नहीं करते हैं; हालांकि, हमारी डेटा और एनालिटिक्स क्षमताएं कई डेटा स्रोतों में पहचान तत्वों को सत्यापित करती हैं और उपभोक्ता को दिखाई नहीं देती हैं। यह हमारे ग्राहकों के लिए एक अधिक सकारात्मक अनुभव बनाने और अतिरिक्त प्रदान करने के लिए डिज़ाइन किया गया है सुरक्षा की परतें। हम उपभोक्ता गोपनीयता और सुरक्षा को बहुत गंभीरता से लेते हैं, और हम धोखेबाजों द्वारा उत्पन्न लगातार और विकसित खतरों से बचाने के लिए अपनी सुरक्षा प्रक्रियाओं की लगातार समीक्षा कर रहे हैं। ”

READ  क्रिप्टो ऋणदाता सेल्सियस ने "कठोर बाजार स्थितियों" का हवाला देते हुए निकासी को रोक दिया - टेकक्रंच

एनालिटिक्स

क्रेब्सऑन सिक्योरिटी ने टर्नर और ऋषि के अनुभव को दोहराने की कोशिश की – यह देखने के लिए कि क्या एक्सपीरियन मुझे अपनी व्यक्तिगत जानकारी के साथ एक अलग ईमेल पते के साथ अपना खाता फिर से बनाने की अनुमति देगा। प्रयोग वर्षों पहले मूल खाता बनाने वाले कंप्यूटर और इंटरनेट पते से भिन्न कंप्यूटर और इंटरनेट पते से किया गया था।

मेरा SSN, जन्मतिथि प्रदान करने और कई बहुविकल्पीय प्रश्नों के उत्तर देने के बाद, जिनके उत्तर लगभग पूरी तरह से सार्वजनिक रिकॉर्ड से लिए गए हैं, Experian ने तुरंत मेरी क्रेडिट प्रोफ़ाइल से जुड़े ईमेल पते को बदल दिया। मैंने यह पहली बार पुष्टि किए बिना किया कि नया ईमेल पता संदेशों का जवाब दे सकता है, या कि पिछला ईमेल पता बदलने के लिए सहमत है।

तब एक्सपेरियन सिस्टम ने मूल पंजीकृत ईमेल पते पर एक स्वचालित संदेश भेजा, जिसमें कहा गया था कि खाते का ईमेल पता बदल दिया गया है। अलर्ट में दिया जाने वाला एकमात्र सहारा एक्सपेरियन लॉग इन करना था या “इस ईमेल पते की अब निगरानी नहीं की जा रही है” के साथ जवाब देने वाले एक एक्सपेरियन मेलबॉक्स को ईमेल करना था।

फिर, एक्सपेरियन ने मुझसे नए गुप्त प्रश्न और उत्तर चुनने के साथ-साथ एक नया खाता पिन – खाते के लिए प्रभावी पिन मिटाने और पुनर्प्राप्ति प्रश्न चुनने के लिए कहा। एक बार जब मैं अपना पिन और सुरक्षा प्रश्न बदल देता हूं, तो एक्सपेरियन ने मुझे मदद से याद दिलाया कि मेरे पास फ़ाइल पर सुरक्षा फ़्रीज़ है, और क्या मैं सुरक्षा फ़्रीज़ को हटाना या अस्थायी रूप से उठाना चाहता हूँ?

कैसे एक्सपेरियन प्रथाओं से अलग है Equifax और यह ट्रांसयूनियनअन्य दो बड़े उपभोक्ता क्रेडिट रिपोर्टिंग ब्यूरो? जब KrebsOnSecurity ने मेरे सामाजिक सुरक्षा नंबर का उपयोग करके एक मौजूदा TransUnion खाते को फिर से बनाने का प्रयास किया, तो TransUnion ने यह कहते हुए आवेदन को अस्वीकार कर दिया कि मेरे पास पहले से ही एक खाता है और खोए हुए पासवर्ड प्रवाह के साथ आगे बढ़ने के लिए कहा। ऐसा भी प्रतीत होता है कि कंपनी पंजीकृत पते पर एक ईमेल भेज रही है ताकि खाता परिवर्तनों के सत्यापन का अनुरोध किया जा सके।

इसी तरह, मेरे मौजूदा खाते से जुड़ी व्यक्तिगत जानकारी का उपयोग करके मौजूदा इक्विफैक्स खाते को फिर से बनाने का प्रयास इक्विफैक्स सिस्टम को यह रिपोर्ट करने के लिए प्रेरित करता है कि मेरे पास पहले से ही एक खाता है, और उनकी पासवर्ड रीसेट प्रक्रिया का उपयोग करने के लिए (जिसमें फ़ाइल पर पते पर एक सत्यापन ईमेल भेजना शामिल है)।

क्रेब्सऑनसिक्योरिटी ने हमेशा अमेरिकी पाठकों से इसे कहीं रखने का आग्रह किया है तीन प्रमुख क्रेडिट ब्यूरो के पास उनकी फाइलों की सुरक्षा फ्रीज. फ्रीज के साथ, संभावित लेनदार आपकी क्रेडिट फ़ाइल को वापस नहीं ले सकते हैं, जिससे यह संभावना कम हो जाती है कि आपके नाम पर किसी को भी क्रेडिट की नई लाइनें दी जाएंगी। मैंने पाठकों को भी सलाह दी उन्होंने तीन मुख्य कार्यालयों में अपना झंडा फहरायापहचान चोरों को आपके लिए खाता बनाने और आपकी पहचान को नियंत्रित करने से रोकने के लिए।

रिची, टर्नर और इस लेखक के अनुभव बताते हैं कि एक्सपीरियन के अभ्यास वर्तमान में इन सक्रिय सुरक्षा उपायों में से प्रत्येक को कमजोर कर रहे हैं। फिर भी, एक सक्रिय Experian खाता होना ही यह पता लगाने का एकमात्र तरीका हो सकता है कि क्या स्कैमर्स ने आपकी पहचान मान ली है. क्योंकि कम से कम उसके बाद आपको Experian की ओर से यह कहते हुए ईमेल आना चाहिए कि उन्होंने आपकी पहचान किसी और को दे दी है।

READ  फ्लोरिडा परिवार इलेक्ट्रिक कार की समस्या में फंस गया: एक प्रतिस्थापन बैटरी की कीमत कार से अधिक होती है

अप्रैल 2021 में, क्रेब्सऑनसिक्योरिटी ने खुलासा किया कि पहचान चोर कैसे थे Experian के पिन पुनर्प्राप्ति पृष्ठ पर ढीले प्रमाणीकरण का शोषण उपभोक्ता क्रेडिट फाइलों को अनफ्रीज करने के लिए। इन मामलों में, फ़्रीज़ पिन प्राप्त होने पर एक्सपेरियन कोई ईमेल सूचना भेजने में विफल रहा, और यह आवश्यक नहीं था कि पिन को उपभोक्ता खाते से पहले से संबद्ध ईमेल पते पर भेजा जाए।

उस अप्रैल 2021 की कहानी के कुछ दिनों बाद, क्रेब्स ऑन सिक्योरिटी ने यह खबर जारी की कि अधिकांश अमेरिकियों के लिए एक्सपेरियन एपीआई क्रेडिट स्कोर का खुलासा कर रहा था.

एमोरी रोनानीति सलाहकार गोपनीयता अधिकार क्लियरिंगहाउसएक्सपेरियन ने कहा कि 2022 में उपभोक्ता खातों के लिए मल्टीफैक्टर प्रमाणीकरण शुरू नहीं करना उचित नहीं है।

रोवन ने कहा, “वे तीसरे पक्ष के डेटा दलालों से अनुमान लगाया जा सकता है या नहीं, या जो पिछले डेटा उल्लंघनों में उजागर हो सकता है, उस जानकारी पर पुनर्प्राप्ति प्रक्रिया को ब्रीफ करके समस्या को कम करता है।” “एक्सपेरियन देश में सबसे बड़ी उपभोक्ता रिपोर्टिंग एजेंसियों में से एक है, और क्रेडिट सिस्टम में कुछ प्रमुख खिलाड़ियों में से एक के रूप में भरोसा किया जाता है जिसमें अमेरिकियों को शामिल होने के लिए मजबूर किया जाता है। उनके लिए, एमएफए (फ्री) के कुछ रूप की पेशकश नहीं करना एक रहस्यमय है और एक्सपेरियन पर बहुत खराब तरीके से प्रतिबिंबित करता है।”

निकोलस वीवरतलाश में है इंटरनेशनल इंस्टीट्यूट ऑफ कंप्यूटर साइंस में यूनिवर्सिटी ऑफ कैलिफोर्निया, बर्केलेउन्होंने कहा कि एक्सपेरियन के पास अपने व्यवसाय के उपभोक्ता पक्ष पर सही काम करने के लिए कोई वास्तविक प्रोत्साहन नहीं है। इसका मतलब है, उन्होंने कहा, जब तक कि एक्सपेरियन ग्राहक – बैंक और अन्य ऋणदाता – अपने पैरों से मतदान करना नहीं चुनते हैं क्योंकि जमे हुए क्रेडिट फ़ाइलों वाले बहुत से लोगों को नए क्रेडिट के लिए अनधिकृत अनुप्रयोगों से निपटना पड़ता है।

वीवर ने कहा, “क्रेडिट सेवा के वास्तविक ग्राहकों को यह नहीं पता कि एक्सपीरियन की स्थिति कितनी खराब है, और यह पहली बार नहीं है जब एक्सपीरियन बुरी तरह विफल हो गया है।” “एक्सपेरियन एक तिकड़ी कंपनी का हिस्सा है, और मुझे यकीन है कि यह उनके वास्तविक ग्राहकों के पैसे खर्च कर रहा है, क्योंकि अगर आपके पास एक क्रेडिट फ्रीज है जो उठा लिया जाता है और किसी ने इसे ऋण दिया है, तो यह ऋणदाता है जो उस धोखाधड़ी की लागत को खाता है।”

उपभोक्ताओं के विपरीत, उन्होंने कहा, उधारदाताओं के पास एक विकल्प होता है कि तीन कंपनियों में से कौन सा क्रेडिट चेक संभालता है।

“मुझे लगता है कि यह ध्यान रखना महत्वपूर्ण है कि वास्तविक ग्राहकों के पास एक विकल्प है, और उन्हें ट्रांसयूनियन और इक्विफैक्स पर स्विच करना चाहिए,” उन्होंने कहा।

Experian से अधिक महानतम गीत:

2017: आपका क्रेडिट फ्रीज करने के लिए एक्सपेरियन किसी को भी आपका पिन दे सकता है
2015: परीक्षण उल्लंघन 15 मिलियन ग्राहकों को प्रभावित करता है
2015: NY-NJ आईडी चोरी प्रकरण से जुड़ा परीक्षण उल्लंघन
2015: एक्सपीरियन में, अधिग्रहण के बीच सुरक्षा नाली
2015: पहचान की चोरी पर बड़े पैमाने पर कार्रवाई सेवा के साथ प्रयोगकर्ता मारा
2014: एक्सपेरियन लैप्स पहचान की चोरी सेवा को 200 मिलियन उपभोक्ता रिकॉर्ड तक पहुंचने की अनुमति देता है
2013: प्रायोगिक उपभोक्ता डेटा पहचान की चोरी सेवा को बेचा गया

प्रातिक्रिया दे

आपका ईमेल पता प्रकाशित नहीं किया जाएगा.