15 dolarla Amerikalıların kişisel verilerini ifşa eden kredi derecelendirme kuruluşu veri tedarik zinciri istismarı
(404media.co)- Yalnızca isim ve ikamet edilen eyaletle, geçmiş adresler, akrabalar, telefon numaraları, e-posta ve sürücü belgesi bilgilerinin yer aldığı bir dosya alınabiliyordu; sorgu ücreti 15 dolar değerinde Bitcoin idi
- Aracın, Experian, Equifax ve TransUnion’ın elindeki credit header verilerine eriştiği görülüyor; bazı durumlarda Sosyal Güvenlik Numarası (SSN) da 20 dolara veriliyordu
- credit header, ABD’deki yetişkinlerin büyük kısmına ait kredi kartı bağlantılı bilgilerden üretilen kişisel verilerden oluşuyor ve sözleşmeler ile satın almalar yoluyla borç tahsilat şirketlerine, sigorta şirketlerine ve kolluk kuvvetlerine kadar ulaşıyor
- Suçlular, eski kolluk görevlilerinin kimliğine bürünme gibi yöntemlerle veri tedarik zincirine erişti ve çevrimiçi ortamda diğer suçlulara sınırsız erişim sattı
- Elon Musk, Joe Rogan ve Joe Biden gibi tanınmış kişilerin sorgulanmasında da kullanıldı; verilerin bir kısmı hassas olmasa da en azından bir bölümünün doğru olduğu doğrulandı
Telegram botu üzerinden satılan kişisel veri sorguları
- Telegram’da hedef kişinin adı ve yaşadığı eyalet girildiğinde, kısa süre sonra kişisel veri dosyası oluşturuluyordu
- Dosyada, hedef kişinin ABD’de yaşadığı adresler yer alıyordu; 10 yıldan daha eski üniversite yurdu adresleri bile bulunuyordu
- Birlikte verilen bilgiler, kimlik doğrulama ve takip için kullanılabilecek kalemlerden oluşuyordu
- Akrabaların adları ve doğum yılları
- Cep telefonu numaraları ve operatör bilgileri
- Kişisel e-posta adresleri
- Sürücü belgesi bilgileri ve benzersiz kimlik numarası
- Tam sorgu ücreti 15 dolar değerinde Bitcoin idi ve bot zaman zaman Sosyal Güvenlik Numarasını 20 dolara da sağlıyordu
Kredi derecelendirme kuruluşu veri tedarik zincirinin istismarı
- Bu aracın, ABD’deki yetişkinlerin büyük kısmı için Experian, Equifax ve TransUnion’ın elindeki credit header verilerine eriştiği görülüyor
- credit header verisi, kredi kartıyla ilgili bilgilerden üretilen kişisel verilerden oluşuyor ve çeşitli sözleşmeler ile satın almalar üzerinden başka şirketlere aktarılıyor
- Aktarılan veriler, borç tahsilat şirketlerine, sigorta şirketlerine ve kolluk kuvvetlerine sunulan bir akış izliyor
- Suçlular bu tedarik zincirine erişmeyi başardı; bazı vakalarda eski kolluk görevlilerinin kimliğine bürünme yöntemi kullanıldı
- Test edilen araç, Elon Musk, Joe Rogan ve Joe Biden gibi ünlü isimler hakkında bilgi toplamak için de kullanıldı ve herhangi bir erişim kısıtı olmadan çalıştığı görülüyor
- Doğrulama sonuçlarına göre tüm veriler her zaman hassas değildi, ancak verilerin en azından bir kısmı doğruydu
1 yorum
Hacker News yorumları
Experian, TransUnion, Equifax olmak üzere üçünde de kredi dondurma ayarlamak kesinlikle değer
İlk kez ayarlarken bir sürü kişisel bilgi vermek gerektiği için can sıkıcı, ama bir kez bitirince dondurmayı kaldırmak ve yeniden dondurmak epey kolaylaşıyor
URL’yi, kullanıcı adını ve parolayı güvenli bir notta saklayıp, kredi başvurusu gerektiğinde yalnızca bir günlüğüne ya da bir haftalığına kaldırmak yeterli
Eskiden benim adımla kredi açılması gibi kimlik hırsızlığı sorunları çoktu; kredi dondurma bunu çözdü
Experian: https://www.experian.com/freeze/center.html
TransUnion: https://www.transunion.com/credit-freeze
Equifax: https://www.equifax.com/personal/credit-report-services/cred...
Bu şirketlerden gerçekten nefret ediyorum, ama referans prosedüründen geçmek buna değdi ve herkese önerebilirim
En son, 3 yıldır giriş yapmadığım gerekçesiyle hesabım kilitlendi ve çok fazla ek doğrulama istediler
Doğrulama, eski adresler gibi ilk ayarlarken sordukları bilgilerden oluştuğu için bazen tam tersine güvensiz görünüyor, bazen de daha karmaşık oluyor
Zaman geçtikçe, en beklenmedik anda hesap doğrulamasının 60 gün süreceğini söyleyip dondurmayı kaldırmanı engelleyebilirler
Böyle her olayda kredi verenlere devasa cezalar kesilmeli
Bu tür dolandırıcılıkta mağdur birey değil, bankadır
Kimliğim hâlâ bende; banka ya da alacaklı kendi dikkatsizliğiyle kendi parasını suçluya vermiştir sadece
Hiçbir dahli olmayan bireyi mağdur hâline getirmek akıl dışı bir fantezi ve yasaların da bu gerçeği yansıtacak şekilde değişmesi gerekir
Banka kendi dikkatsizliğinin maliyetini masum insanlara yıkabildiği sürece savruk davranmaya devam edecek
Kamuoyunda bu ifade her geçtiğinde “kimlik hırsızlığı” aldatmacasını reddeden bir anlayış yayılmalı
Konuyla ilgili Mitchell and Webb radyo skeçi: https://www.youtube.com/watch?v=CS9ptA3Ya9E
Dolandırıcıların yalnızca cep telefonu hattı açmakla kalmayıp kendi dairelerinin elektriğini de benim adıma başvurarak açtırmasıyla uğraşmak zorunda kaldım; burada dondurma ayarlayınca sorun çözüldü
En başta hiçbir şey başlatmadığım için güvende miyim, bilmiyorum
Size tıklama zahmeti yaşatmayalım: gizli silah, bir Telegram grubunda bir suçluya 15 dolar ödeyip birinin kişisel bilgilerini ortaya döktürmek
Yazının büyük kısmı, bu doxxing hizmetlerinin verileri nereden aldığı ve bu kaynakların nasıl değiştiği hakkında
Şu anda TransUnion’ın TLOxp servisi popüler
TLOxp, veri füzyonu alanını açan oyunu değiştiren teknolojinin en yeni sürümü
TLOxp’nin kullanım alanları arasında tahsilat, hukuk profesyonelleri, kurum içi hukuk birimleri, lisanslı soruşturmacılar, finansal hizmetler, sigorta, kurumsal risk, araştırmacı gazeteciler, kolluk kuvvetleri, eyalet/yerel/federal devlet kurumları, varlık geri kazanımı ve haciz sayılıyor
Finans kurumlarının kimliği doğrulamak için sorduğu yanlış bilgilerle aynı tür hatalar bulunduğundan, kaynağın kredi derecelendirme kuruluşları olduğunu düşünüyorum
Yılda birkaç kez kendi adını aratıp bu sitelere kaldırma talebi göndermek iyi olur
Çoğu bunu epey hızlı işliyor
Sanki tıklama tuzağı bir “yakalandı” haberi gibi görünüyor, ama bence başlığın vaat ettiği şeyi tam olarak aktarıyor
Kredi derecelendirme kuruluşlarının sunduğu, zayıf düzenlenen sorgulama araçları üzerinden doxxing ve daha da kötüsü satılıyor
Bu iddiaları zayıflatan bir şey mi vardı?
Yaklaşım yanlış
Bireylerin kimliği ve kimlik doğrulaması, sosyal güvenlik numarası, ehliyet numarası, adres geçmişi gibi değişmez ve ifşa edilebilir bilgilere dayanmamalı
Bu bilgilerin sızmasının pek çok yolu var ve bir kez sızdıklarında sonsuza kadar kalıyorlar
Doğru dürüst bir dijital kimlik, kimlik doğrulama ve uyuşmazlık çözüm mekanizmasına ihtiyacımız var
Ucuz olmayacak, ama uzun vadede alternatifler daha pahalı
Biraz zahmetli, ama hack’lenmesi epey zor
Elbette pasaport ya da ona denk bir kimlik yoksa çalışmıyor
Kredi almaya çalışırken kimliğinin iptal edildiğini ve başka birinin çoktan onu ele geçirdiğini öğrendiğini hayal etmen yeterli
TransUnion, “TLOxp’nin kötüye kullanıldığını tespit ettiğimiz çok nadir durumlarda, sorumluların yargılanmasına yardımcı olmak için kolluk kuvvetleriyle iş birliği yaparız” demişti; bu tamamen yalan
TransUnion, yalnızca herkese açık bilgilere sahip hacker’lara benim tam kredi raporumu vermişti ve hiç umursamamıştı
Bunun yakın zamanda olacağını sanmıyorum
Elbette bu inanılmaz zahmetli bir iş
Ne kadar önemsedikleri ya da tespitten sonra ne kadar takip yaptıkları hakkında hiçbir şey söylemiyorlar
Kredi derecelendirme kuruluşlarında nefret ettiğim başka bir şey daha var
Ticari gayrimenkul aracılık şirketlerine gittiğinizde, tüm broker’ların kredi derecelendirme kuruluşu lisansı olduğunu ve özellikle junior broker’ların her gün gayrimenkul sahiplerini sorgulayıp cep telefonlarından satış aramaları yaptığını görürdünüz
TLO da ticari gayrimenkul aracılığı sektörünün büyük bir kısmının her gün ürününü kullanmasının GLBA uyumluluğu amacıyla olamayacağını biliyor olmalı; ama görmezden gelip bundan para kazanmanın yolunu arıyor
Bu bilgiyi elde etmek için internetin karanlık köşelerini kazımanıza da gerek yok
Ön kapıdan girmeniz yeterli
“Bir suçludan veri karşılığında ücret alırsanız, bu veri sızıntısı değildir
O zaman hizmet sunmuş olursunuz”
— kredi derecelendirme kuruluşları
Biri sizi arayıp, zaten kişisel bilgilerinizin çoğunu bildiğini söyleyerek “gerçek” olduğunu kanıtlamaya çalışsa bile, asla kişisel bilgi vermemelisiniz
Her zaman onların verdiği numarayı değil, sizin bizzat bulduğunuz numarayı arayıp geri dönmelisiniz
Eskiden dolandırıcıların kendilerini banka gibi tanıtıp aradıktan sonra, kredi kartının arkasındaki numarayı aramalarını söyledikleri olaylar olmuştu
Kurban telefonu kapatıp tekrar ahizeyi kaldırınca dolandırıcılar hattı tutmaya devam ediyor, sahte çevir sesi çalıyor ve başka biri “cevap veriyormuş” gibi kandırıyordu
Bilinmeyen numaraysa hiç bakmıyorum
Makalede ele alınan soruna karşı herkes savunmasız
Bundan sonra işlerin daha da kötüleşeceğini düşünüyorum
Kimsenin ilgilenmediği için sınıflandırılmamış dağ gibi veri var ve artık iyi büyük dil modelleri bu işi bizim yerimize yapabilir
Tüm o sektör yasaklanmalı
Mahkemeler kredi temerrütlerini kaydedip bu bilgiyi alacaklılara sağlayabilir
Raporda bunun dışında hiçbir şey olmamalı
Kredi verenler zaten geliri bağımsız olarak doğruluyor; konut kredilerinde aylık harcamaları da kontrol ediyorlar
Kredi raporlarına giren ve kredi skoru hesaplamasında kullanılan geri kalan bilgiler, insanları kredi kartı almaya zorlamak ve yapısal ırkçılığı sürdürmek için varmış gibi görünüyor
Bu durum, 20 yıl önce özel dedektiflerin hacker konferanslarında istedikleri bilgileri yasal yollardan elde etmenin türlü yollarını sundukları zaman bile zaten açıktı
Biraz aramayla, küçük bir ücret karşılığında özel bilgileri ortaya çıkaran yaklaşık 500 çevrimiçi hizmet bulabilirsiniz
Bunlar hacker’ların değil, halka açık şirketlerin işlettiği hizmetler
Görünüşe göre biri şimdi bunu daha da kolaylaştıran bir bot yapmış
Böyle makaleler, hacker’lar için “kapı kilitleri güvenli değildir” başlıklı bir yazı gibi okunuyor
Elindeki tek şey adım ve okuduğum üniversiteydi
Numaramı nasıl bulduğunu sorduğumda, yukarıda bahsedilen türden bir hizmet kullandığını söyledi
Kafaya koymuş biri için böyle şeyler özellikle zor değildi
Gereken tek şey kişinin telefon numarası
Yine de 20 yıl önce bile, bir kişi hakkında çok az şey bilseniz bile, özellikle adı yaygın değilse, inanılmaz miktarda bilgi bulunabileceği açıktı