"Experian'da herkes hâlâ kolayca sizin yerinize geçebilir"

 (krebsonsecurity.com)
1 puan yazan GN⁺ 2023-11-12 | 1 yorum | WhatsApp'ta paylaş

Experian'ın güvenlik sorunu sürüyor

  • 2022 yazında, Experian'ın tüketici kredi raporu hesaplarının yalnızca e-posta adresi değiştirilerek ele geçirilebildiği vakalar bildirildi.
  • 16 ay sonra bile Experian bu ciddi güvenlik sorununu çözemedi.
  • Muhabirin Experian hesabı da yakın zamanda ele geçirildi ve hesaba erişimi geri kazanmak için yeni bir hesap oluşturmak zorunda kaldı.

Hesabı yeniden kaydetmenin kolay süreci

  • Muhabir, Experian'a SSN (Sosyal Güvenlik Numarası) ve doğum tarihini girdiğinde, bunların kendisinin doğrulamadığı bir e-posta adresiyle ilişkilendirildiğini fark etti.
  • Experian web sitesi, hesabın kullanıcı adını bulmak için SSN ve doğum tarihini istiyor ve doğrulanmamış e-posta adresinin bir kısmını gösteriyor.
  • Experian, hâlâ kişisel bilgiler ve farklı bir e-posta adresi kullanılarak kredi dosyası hesabının yeniden oluşturulmasına izin veriyor.

Hesap oluşturma sürecindeki zayıflıklar

  • Experian ana sayfası SSN ve mobil numara istiyor, ardından kimliği doğrulamak için bir bağlantı göndereceğini söylüyor.
  • Kullanıcılar telefon numarası girme adımını atlayabiliyor; sonrasında ad, adres, doğum tarihi, SSN, e-posta adresi ve parola girilmesi gerekiyor.
  • 3 ila 5 çoktan seçmeli güvenlik sorusunun yanıtlanması gerekiyor, ancak bu soruların çoğu kamu kayıtlarına dayanıyor ve kolayca bulunabiliyor.

Hesap değişikliklerinde e-posta bildiriminin yetersizliği

  • Yeni bir hesap oluşturulduğunda Experian, kullanıcı profilindeki değişikliklere dair önceki e-posta adresine bildirim gönderiyor.
  • Bu bildirim, değişikliklerin doğrulanmasını istemiyor; asıl kullanıcı da Experian.com'da oturum açma bağlantısı dışında hiçbir işlem yapamıyor.

Experian hesabının önemi

  • Experian hesabınız yoksa, kredi dosyanız ele geçirildiğinde e-posta bildirimi alabilmek için bir hesap oluşturabilirsiniz.
  • Hesap ele geçirildiğinde mevcut giriş bilgileri, PIN ve hesap kurtarma sorularının tamamı değiştiriliyor; bu yüzden hesabı saldırgandan geri almanın tek yolu yeniden hesap oluşturmak oluyor.

Diğer kredi raporlama kuruluşlarıyla karşılaştırma

  • Equifax ve TransUnion gibi diğer büyük tüketici kredi raporlama kuruluşları, hesap değişikliklerinde dosyada kayıtlı e-posta adresine veya telefon numarasına gönderilen bir kodun girilmesini istiyor.

Experian'ın yanıtı

  • Experian sözcüsü Scott Anderson, doğrulanmamış e-posta adreslerine ilişkin bilgi paylaşmayı reddetti.
  • Anderson, Experian'ın bilgi tabanlı soru-cevaplar ile cihaz sahipliği ve elde bulundurma doğrulamasını içeren çok katmanlı bir güvenlik yaklaşımı uyguladığını savundu.

Çok faktörlü kimlik doğrulamanın etkinliği sorunu

  • Tüm tüketiciler, her oturum açmada istenen çok faktörlü kimlik doğrulamayı etkinleştirme seçeneğine sahip; ancak hesap yeni bir telefon numarası ve e-posta adresiyle yeniden oluşturulabiliyorsa bunun pek anlamı kalmıyor.

Mastodon kullanıcılarının deneyi

  • Mastodon kullanıcıları, muhabirin bulgularını doğrulamak için Experian'ın güvenlik sorununu test etti.
  • Kullanıcılar, Experian telefon numarası ve SSN'nin son dört hanesini istediğinde, "bilgilerimi manuel olarak gir" seçeneğini seçip yeni bir telefon numarası ve e-posta adresi girdi.
  • Orijinal e-posta adresinde hiçbir doğrulama istenmedi ve 2FA (iki faktörlü kimlik doğrulama) yeni telefon numarası üzerinden yapıldı.

Experian'ın geçmiş güvenlik sorunları

  • Aralık 2022'de KrebsOnSecurity, Experian güvenliğini aşarak herhangi bir tüketicinin tam kredi raporuna erişmenin basit bir yolunu buldu.
  • Nisan 2021'de KrebsOnSecurity, Experian'ın PIN sorgulama sayfasındaki gevşek kimlik doğrulamayı kötüye kullanarak tüketici kredi dosyalarının kilidini açan kimlik hırsızlarını ortaya çıkardı.
  • Experian geçmişte de çeşitli güvenlik sorunları nedeniyle defalarca eleştirildi.

GN⁺'un görüşü

  • En önemli nokta, Experian'ın hâlâ ciddi güvenlik açıklarını giderememesi ve bunun kullanıcıların kredi bilgilerinin risk altına girmesine yol açabilmesi.
  • Bu yazı, tüketicilere kredi bilgilerini korumak için hangi adımları atmaları gerektiğine dair önemli bir farkındalık sağlıyor.
  • Experian'ın güvenlik sorunları, tüketicilerin kişisel bilgilerinin korunmasıyla doğrudan bağlantılı ve bu herkes için ciddi bir mesele.

İlgili okumalar

1 yorum

 
GN⁺ 2023-11-12
Hacker News görüşleri

  • Casus şirketlerin müşterisi biz değiliz ama güvenlik eksikliğinin gerçek müşteriler için anlaşmayı bozan bir neden olmamasına şaşırıyorum.

    • Casus şirketlerin güvenliği o kadar zayıf ki hizmetleri kullanarak başkalarını taklit etmek mümkün; bu durumda bu hizmetlerin varlık amacı sorgulanıyor.

  • Experian yöneticilerinin hesapları da aynı şekilde sürekli ele geçirilseydi, bir noktada değişim olurdu.

    • Experian yöneticileri tekrarlayan hesap ihlalleri yaşasaydı bu konuda bir değişim yaşanabileceği tahmin ediliyor.

  • Experian'ın müşterileri koruyamadığı halde davalardan nasıl sıyrılabildiğini anlamıyorum.

    • Experian müşteri bilgilerini koruyamadığı halde faaliyetini sürdürmesini mümkün kılan hukuki zeminin anlaşılamadığı ifade ediliyor.

  • Son birkaç haftadır büyük perakendecilerden, adıma alınmış akıllı telefon ve dizüstü bilgisayar satın alımlarına ilişkin durmaksızın onay e-postaları alıyorum.

    • Kendi adı ve kimlik numarasıyla düzenlenmiş satın alma onayları aldığını, perakendeciler ve polisle iletişime geçtiğini ama sorunu çözmekte zorlandığını anlatıyor.

  • Experian hesabım ele geçirildi, dondurma kaldırıldı ve Ford Credit'ten 100 bin dolarlık kredi almak için kullanıldı.

    • Experian hesabının ele geçirilmesi sonucu büyük tutarlı bir kredi çekildiğini ve bunu çözmenin çok uzun sürdüğünü anlatan bir deneyim paylaşılıyor.

  • Bu konuda yasa koyucuların dikkatini çekmeye yönelik bir dilekçe resistbot'ta var.

    • Konuya ilişkin yasal ilgi çağrısı yapan bir çevrimiçi dilekçe bağlantısı paylaşılıyor.

  • Kredi raporlarına daha iyi bir alternatif gerekiyor.

    • Bankalar ve kredi verenler doğrudan ırk ayrımcılığı yapamaz hale gelince, kredi puanı gibi dolaylı bir yöntemle ayrımcılık yapan sisteme eleştirel bir bakış sunuluyor.

  • Üç kredi bürosundan birinde kredi puanından kaçınmanın bir yolu olup olmadığını merak ediyorum.

    • Tüketici olarak rekabeti teşvik etmek için kredi bürolarından birinde kredi puanı sisteminin dışında kalmanın yolunu araştırıyor.

  • Hafif bir dolandırıcılık olayı yaşanırsa (başarısız hesap açma girişimi veya veri sızıntısı gibi), tüm kurumlara dolandırıcılık uyarısı ve kredi dondurma kaydı bırakabiliyorsunuz; bu da bir süre gereksiz postaları ve gerçek dolandırıcılık hesapları riskini azaltabiliyor.

    • Dolandırıcılık uyarıları ve kredi dondurma yoluyla ek doğrulama adımlarının güçlendirilebildiği ve bunun çeşitli sorunları önleyebildiği açıklanıyor.

  • Experian web sitesine giriş yapmayı denedim ama site o kadar kararsızdı ki giriş bile yapamadım.

    • Experian web sitesindeki işlev sorunları nedeniyle kendi hesabına erişmekte zorlandığını paylaşıyor.