Experian'da hâlâ herkes kolayca sizin yerinize geçebiliyor
(krebsonsecurity.com)- Experian hesabı, aynı kişisel bilgiler ve farklı bir e-posta adresiyle yeniden kaydedilerek ele geçirilebiliyordu ve 2022'de ortaya çıkan kimlik doğrulama sorunu 16 ay sonra da devam ediyordu
- Yeniden kayıt; Social Security number, doğum tarihi, ad, adres, e-posta, parola ve bilgiye dayalı güvenlik soruları ile ilerliyordu; cep telefonu doğrulaması ise “Continue another way” ile atlatılabiliyordu
- Yeni hesap oluşturulduğunda tam kredi dosyası görüntülenebiliyor, kredi dondurma ayarlanıp kaldırılabiliyordu; mevcut e-postaya ise onay isteği değil yalnızca değişiklik bildirimi gönderiliyordu
- Equifax ve TransUnion, mevcut hesap değişikliklerinde kayıtlı e-posta ya da telefon numarasına gönderilen kodun doğrulanmasını isterken, Experian mevcut kullanıcılara değişikliği onaylama veya hesabı kurtarma yöntemi sunmuyordu
- Saldırgan yeni telefon numarası ve e-postayla hesabı yeniden oluşturabiliyorsa, oturum açma anındaki çok faktörlü kimlik doğrulama tek başına hesap ele geçirmeyi durdurmakta yetersiz kalabiliyor
Farklı bir e-postayla hesabın yeniden oluşturulabildiği Experian
- 2022 yazında, Experian hesabının farklı bir e-posta adresiyle yeniden kaydedilerek ele geçirildiği bir vaka doğrulandı
- 16 ay sonra da aynı sorun devam ediyordu ve Krebs'in kendi Experian hesabı da yakın zamanda ele geçirilmişti
- annualcreditreport.com üzerinden Experian kredi dosyasının bir kopyası istendi ancak Experian, kimlik doğrulaması yapılamadığını söyleyerek bunu sağlamadı
- Experian.com üzerinden doğrudan giriş de başarısız oldu ve site, kullanıcı adını veya parolayı tanımadığını gösterdi
- Kullanıcı adı talep sürecinde tam Social Security number ve doğum tarihi gerekiyordu; ardından Krebs'in onaylamadığı ve bilmediği bir e-posta adresinin bir bölümü gösterildi
Yeniden kayıt sürecinde ortaya çıkan kimlik doğrulama zayıflıkları
- Experian ana sayfası Social Security number ve telefon numarası istiyor, kimlik doğrulama bağlantısı alınacağını belirtiyordu
- ABD içindeki rastgele herhangi bir telefon numarası girildiğinde sitenin bunu engellemediği görülüyordu ve “Continue another way” seçildiğinde bu adım atlanabiliyordu
- Sonrasında hesabın yeniden oluşturulması için şu bilgiler isteniyordu
- Tam ad
- Adres
- Doğum tarihi
- Social Security number
- E-posta adresi
- Seçilen parola
- Sonraki adımda 3 ila 5 çoktan seçmeli güvenlik sorusu yanıtlanıyordu ve bu yanıtlar çoğu zaman kamu kayıtlarına dayanıyordu
- Krebs hesabı yeniden oluştururken 5 sorudan yalnızca 2'si gerçek bilgileriyle ilişkiliydi ve ikisi de geçmişte yaşadığı adreslerle ilgiliydi
- Çoktan seçmeli sorular geçildiğinde yeni bir 4 haneli PIN ve önceden tanımlı sorulardan biri için yeni bir yanıt belirleniyordu
- Yeni hesap oluşturulduktan sonra Experian panosuna geçilebiliyor, burada tam kredi dosyası görüntülenebiliyor ve kredi dondurma açılıp kapatılabiliyordu
Mevcut kullanıcıya kalan tek şey değişiklik bildirimi
- Hesap verileri değiştiğinde Experian, mevcut e-posta adresine kullanıcı profilinin bir bölümünün değiştiğini belirten bir mesaj gönderiyor
- Bu mesaj bir doğrulama isteği değil, yalnızca değişiklik bildirimi; mevcut kullanıcıya sunulan tek işlem Experian.com giriş bağlantısına tıklamak
- Bildirimi alan mevcut kullanıcı artık eski Experian hesap bilgileriyle giriş yapamıyor
- PIN ve hesap kurtarma sorusu da zaten değiştirilmiş olduğundan, mevcut kullanıcının hesabı geri alabilmesi için Experian'da hesabı yeniden oluşturması gerekiyor
- Equifax ve TransUnion, mevcut hesap değişikliklerinde kayıtlı e-posta adresine ya da telefon numarasına gönderilen kod girilmeden değişikliğe izin vermiyor
Experian'ın yanıtı ve okur doğrulama örnekleri
- Experian, Krebs'in kredi dosyasına izinsiz eklenen tam e-posta adresini paylaşmayı reddetti
- Experian sözcüsü Scott Anderson, tüketici kimliğini ve bilgilerini korumak için manuel ve proaktif önlemler de içeren çok katmanlı bir güvenlik yaklaşımını hayata geçirdiklerini ve bunu geliştirmeyi sürdürdüklerini söyledi
- Anderson'a göre bu önlemler arasında bilgiye dayalı soru-cevaplar ile cihaz sahipliği ve elde bulundurma doğrulama süreçleri bulunuyor
- Tüm tüketiciler, her hesap girişinde istenen çok faktörlü kimlik doğrulamayı etkinleştirebiliyor; ancak hesap yeni telefon numarası ve e-postayla yeniden oluşturulabiliyorsa bunun etkisi sınırlı kalıyor
- Mastodon'da Experian ile ilgili gönderiyi gören okurlar da aynı sorunu doğruladı
- @Jackerbee, ikinci bir telefon numarası ve yeni bir e-posta adresi girdiğini; mevcut e-postaya yalnızca bilgilerin güncellendiğini belirten tek bir e-posta geldiğini ve mevcut e-posta için doğrulama yapılmadığını söyledi
- Mevcut telefon numarasına SMS bildirimi de gelmedi ve sonrasında giriş sırasında 2FA yeni telefon numarası üzerinden çalıştı
- PeteMayo, aynı hafta içinde Experian hesabını iki kez yeniden oluşturduğunu, ikincisinde rastgele bir sabit hat numarası girdiğini söyledi
- PeteMayo örneğinde, kişisel geçmişine ilişkin 5 sorunun ardından “Welcome back, Pete!” mesajıyla birlikte tam erişim verildi
Tekrarlanan Experian güvenlik olayları
- Krebs'in hesabını ele geçiren kişi kredi dondurmayı kaldırmamıştı ya da kaldırdıysa yeniden dondurmuştu
- Experian kimlik doğrulama sürecini değiştirmezse Krebs'in Experian hesabı yeniden ele geçirilebilir
- Experian'da geçmişte de temel kimlik doğrulama zayıflıkları ile ilgili olaylar tekrar tekrar yaşandı
- 2022 Aralık'ta, yalnızca ad, adres, doğum tarihi ve Social Security number ile tüketicinin tam kredi raporuna erişim sağlayan bir bypass yöntemi bulundu; Experian bu açığın 9 Kasım 2022'den 26 Aralık'a kadar yaklaşık 7 hafta sürdüğünü kabul etti
- 2021 Nisan'da, Experian'ın PIN arama sayfasındaki zayıf kimlik doğrulama nedeniyle kimlik hırsızları tüketici kredi dosyası dondurmalarını kaldırabildi
- Aynı ay, Experian API'sinin ABD'lilerin büyük bölümünün kredi puanlarını açığa çıkardığı bir vaka kamuya yansıdı
- İlgili geçmiş vakalar arasında 2022'de hesap güvenliğine dair toplu dava, 2017'de kredi dondurma PIN'lerinin ifşası, 2015'te 15 milyon müşterinin ihlali, 2014'te 200 milyon tüketici kaydına erişim izni ve 2013'te tüketici verilerinin kimlik hırsızlığı hizmetine satılması yer alıyor
1 yorum
Hacker News yorumları
Buradaki temel sorun, güvenliği sağlamanın maliyetinin yüksek olması ve bazen hacklendikten sonra bununla uğraşmanın daha ucuz olması
Tek çözüm, para cezaları ve kimlik hırsızlığı mağdurlarının davaları yoluyla, hacklenen şirketin çok büyük bir bedel ödemesini sağlamak
Kredi raporu sorgusu başına birkaç sent karşılığında, “nerede yaşadın”, “bu ticari ilişki sana mı ait” gibi bilgiye dayalı kimlik doğrulama yöntemleri kullanılabilir
ID.me veya Stripe Identity gibi devlet kimlik bilgilerine dayalı kimlik doğrulama da deneme başına 1,50–2,00 dolar düzeyinde
Sorun, dolandırıcılık yükünün tüketiciye aktarılması nedeniyle, maliyeti biraz artırıp dolandırıcılığı azaltmak için bir teşvik olmaması ve kredi bürolarının da kendi hendeklerinin ve gelir kaynaklarının aşınmasını istememesi
Özetle, daha iyi bir ulusal dijital kimlik sistemi olsaydı bu sorun ortadan kalkardı
Fintech’te kimlik doğrulamayı da içeren müşteri IAM’inden sorumluyum ve bir yurttaş aktivisti olarak Login.gov ile ilgili bazı çalışmalarda da yer alıyorum
Güvenli şekilde işletmek için fazla pahalıysa, böyle bir hizmetin var olmasına izin verilip verilmemesi ve bu kadar çok kişisel ve özel bilgiyi saklama hakkı olup olmadığı sorgulanmalı
GDPR, küresel cironun %4’üne kadar para cezası uygulayabiliyor
Elbette biz bu gözetim şirketlerinin müşterisi değiliz
Yine de güvenliğin neredeyse tamamen yok denecek düzeyde olmasına rağmen bunun gerçek müşteriler için işlem kesme nedeni olmaması şaşırtıcı
Bu hizmetle fiilen herhangi biri bir başkasının kimliğine bürünebiliyorsa, kullanmak için nasıl bir gerekçe olabilir bilmiyorum
Şirketler, kişiler hakkındaki bilgilere erişmek için Experian’a para ödüyor; Experian’ın bireysel hesaplara izin vermesinin tek nedeni ise kredi dondurma veya yıllık kredi raporu gibi şeyleri yasalar gereği sunmak zorunda olması
Zorunlu olmasaydı bunu hiç yapmazdı ve deneyimi ya da güvenliği iyileştirmek için hiçbir teşviki yok
Bir adım geri çekilip tabloya bütün olarak bakınca asıl sorun mahremiyet yasalarının olmaması
Bankaların, şirketlerin ve işverenlerin kişisel bilgileri üçüncü taraflarla paylaşması yasaklanmalı
Yaşadığım İsviçre’de gerçekten durum böyle ve hükümet bile bu bilgileri alamıyor
Hükümet vergi kaçakçılığından şüpheleniyorsa arama emri almalı ve diğer suçlarla aynı prosedürü izlemeli
Erişilebilir finansal kayıtlar yalnızca yasal borç tahsilatı süreçlerinin kayıtları olan “Betreibungen”den ibaret
Birine kredi vermeden önce, başka birinin parasını almak için dava açmaya kadar gitmek zorunda kalıp kalmadığı kontrol edilebiliyor
Buna rağmen kredi büroları olmadan, bu kadar az bilgiyle her şey yolunda işliyor
Ancak FATCA gibi uluslararası baskılar nedeniyle İsviçre yasaları değişti ve bankalar uluslararası müşteriler hakkında bildirim yapmaya başladı
İsviçre, tam finansal mahremiyetin sıradan vergi mükellefi için neden adil olmadığını iyi gösteriyor
Çünkü ultra zenginlerin ödemeleri gereken vergileri gizleyebilmesine imkân tanıyor
“İsviçrelilerin yaklaşık %36’sı bir ev veya daireye sahip; bu, Batı dünyasındaki en düşük oranlardan biri ve Avrupa Birliği ortalaması olan %70 ile ABD’deki %67’nin çok altında” deniyor
Pek çok etken vardır ama kredi değerliliğine dair daha az bilgi varsa, birinin büyük bir satın almasını finanse etmeye daha az istekli olunacağını düşünüyorum
[1] https://www.nytimes.com/2023/11/06/realestate/zurich-switzer...
Çalıştığım şirketin adını vermeyeceğim ama FAANG’den biri; bu şirket Experian çerezleri almak için veri satın alıyor ve bunları daha iyi izleme ve grafik oluşturma için kullanıyor
ABD sürekli vatandaşlarının mahremiyetini önemsediğini söylüyor ama gerçekte umursamıyor
Mahremiyet yasaları sıkı biçimde uygulanırsa, en büyük 500 hisse içinde büyük teknoloji şirketleri üst sıralarda olduğu için banka hesapları gibi alanlara da etkisi olacağını düşünüyorum
Bu sorunu yasa koyucuların görmesini sağlamaya yönelik bir Resistbot dilekçesi yayınlanmış
https://resist.bot/petitions/PONADR
https://resist.bot/petitions
Almanya’da örneğin Campact var ve genelde her dilekçe 200 bin imzayı aşıyor
ABD’de böyle bir şey yoksa, parası olan birinin bunu kurması ya da OpenPetition gibi mevcut bir çözümü yeterli sayıda düzenli imzacıya tanıtması gerektiğini düşünüyorum
https://en.wikipedia.org/wiki/Campact
Üç kredi derecelendirme kuruluşu varsa, bunlardan birinde kredi puanınız olmamasını sağlamanın bir yolu var mı?
Bir tüketici olarak bu alandaki rekabeti artırmanın bir yolu olabilir diye düşünüyorum
Aradım ama kolay bir seçenek görünmüyor
Kredi verenler genelde bilgileri üç büyük kredi derecelendirme kuruluşunun tamamına raporladığı için, hiçbir bilginin raporlanmamasını istiyorsanız tüm kredi kartlarını ve kredileri kapatıp kredi raporunuza dondurma koymanız gerekir
Burada “rekabeti artırma”nın işe yarayacağını sanmıyorum
Biz kredi derecelendirme kuruluşlarının müşterisi değil, ürünüyüz; müşteriler kredi verenler ve bilgilerimize ihtiyaç duyan diğer kişiler
Kredi verenler açısından bu yapı iyi işliyor; çünkü kredi vermeden önce başvuru sahibinin kimliğini doğru biçimde doğrulama sorumluluğu kredi verene değil, “kimlik hırsızlığı” yükü olarak bireylere ve kamuya aktarılıyor
“Kimlik hırsızlığı” ifadesinin kendisi bile sorumluluğu bireye yıkmak için uydurulmuş yanlış bir adlandırmaya yakın
İdeal durumda, suçluların bilgilerimi kötüye kullanmasını engelleme ve bir suçlu bilgilerimi hileli biçimde kullanmaya çalıştığında bunu düzeltme sorumluluğu kredi verenlerde olmalı
Daha iyi çözüm, kredi verenlerin kimlik doğrulama standartlarını yükseltmek
Böylece kredi vermeden önce kimliği gerçekten doğrulama yükü kredi verenlere geçer
Bazı kredi verenler bunu gerçekten epey iyi yapıyor, ama diğerleri aldıkları bilgileri hiç sorgulamadan kabul ediyor gibi görünüyor
Sektör genelinde yüksek standartlar, ister gönüllü ister yasal zorunluluk olsun, bu sorunun çözümüne yardımcı olur
Kredi derecelendirme kuruluşları, neredeyse seçeneği olmayan özel sektör kamu hizmeti şirketleri gibi çalışıyor
Eğer bir parola yöneticisi uygulaması gibi olsaydı, birden fazla şirketi değerlendirip istediğimizi seçer, sorun çıkarsa istediğimiz zaman başka yere geçebilirdik
Bizim verilerimizi, işlem yaptığımız tüm şirketlerden alıyorlar
Kredi derecelendirme kuruluşlarıyla ilgili tüm bağlantı halkalarını tek tek tespit etmek gerekir
Muhtemelen kredi kartı çıkarmamış ve kredi almamış olsaydınız, onların “araştırmasından” bir ölçüde korunabilirdiniz
Dolayısıyla tek bir kuruluşa raporlayan şirketlerden kaçınmanız gerekir; ama genelde aynı anda birden fazla kuruluşa raporlarlar
Şirket olsaydınız istediğiniz kuruluşa raporlayabilirdiniz
Birkaç gün önce profilimi oluşturup hesabımda neler olduğunu görmek için giriş yapmaya çalıştım, ama site o kadar bozuktu ki giriş bile yapamadım
Ben kendim bile olamıyorken, birinin nasıl benim yerime geçebildiğini anlamıyorum
Senin kullandığın kanal Experian müşterilerine yönelik kanal değil, Experian’a yük olan insanların kullandığı kanal
Son haftalarda Casas Bahia, Americanas, Magazine Luiza gibi büyük perakendecilerden sayısız satın alma onay e-postası alıyorum
Çeşitli akıllı telefon ve dizüstü bilgisayar faturalarında adım ve CPF’im yazıyor
Tüm perakendecilerle iletişime geçtim ama yalnızca Magazine Luiza dolandırıcılığı kabul edip bir uyarı yayımlamış gibi göründü; buna rağmen hâlâ fatura alıyorum
Yerel polise başvurup boletim de ocorrência aldım; nasıl çevirmeliyim bilmiyorum ama sorunu ve gerekli karşı önlemleri alamadığım durumu açıklayan bir belge
Bunun ardından gelecek sonuçlar yüzünden çok endişeliyim ve kimlik korumam konusunda tamamen çaresiz hissediyorum
Her şirketin ombudsmanına, yani ouvidoria’ya ulaşıp durumu anlat
Sorunu gerçekten çözmeseler bile, iyi niyetle çözmeye çalıştığına dair kayıt kalır
En kötü durumda perakendeci sahte faturayı tahsilat şirketine devredip kredi derecelendirme kuruluşlarına raporlayabilir
Bu sahte borç için kesinlikle tek kuruş ödeme yapmamalısın, pazarlık da etmemelisin
Bu dolandırıcılık olduğu için tek seçenek borcun ortadan kalkmasıdır
Ortada söz konusu olan para onların parası; ödeme yaparsan sorumluluk sana geçer
Zaten Boletim de Ocorrência ve şirketlerle iletişim kanıtların, yani kayıt numarası ve tarih gibi belgelerin olduğuna göre, kredi derecelendirme kuruluşlarına girerse dava açıp tazminat talep edebilirsin
Hem kredi derecelendirme kuruluşlarının hem de perakendecinin uzlaşmak isteyeceği basit ve yaygın bir dava
Zamanını harcattılar; bunun bedelini ödemeliler
O işlemi senin yaptığını gösteren kanıtları yok
Ayrıca perakendeciler, bankalar ve kredi kartı şirketleri gerçekten dolandırıcılıktan kaçınmak isteseydi, her satın alma ve üyelik için gayrimenkul işlemi seviyesinde koruma gerekirdi
İmza, yüz yüze görüşme, peşinat, banka, avukat, noter, kriptografik imza bile gerekirdi; e-CPF de var ama kimse kullanmıyor
Ama dolandırıcılığı %100 önlemek sürtünme demek ve normal perakendeciler sürtünmeyi sevmez
Sonuçta bu onların iş kararı; parayı daha kolay almak için riski kabul ediyorlar
Çoğu bağlamda, birine zarar verecek şekilde yanlış bilgi vermek iftira ya da karalamadır
Kredi raporlamasının böyle bir sorumluluktan muaf olmayı hak edip etmediğine ve hangi koşullarda hak etmesi gerektiğine yeniden bakmak gerekiyor
Kredi derecelendirme kuruluşu kredi verenlere hakkımızda yanlış bilgi iletip kredi alamamamıza ya da hak ettiğimizden daha yüksek faiz ödememize neden olursa, parasal tazminat davasını kazanabilmeliyiz
Bunun yanlış olduğunu bilip bilmemeleri önemli olmamalı
Çünkü ister ihmal olsun ister kötü niyet, zarar meydana geliyor
Ünlü biri değilseniz, bir şeyin iftira sayılması için doğruluk kontrolünde en azından ihmal olması gerekir
Yani bilginin yanlış olduğuna inanmak için makul bir bilgi olduğunda ancak ihmal oluşur
Bir hesabın dolandırıcılık olduğunu kredi derecelendirme kuruluşuna bildirirseniz, o hesabın gerçekten size ait olmadığına dair bildirim yapmış olursunuz; hesabı rapordan kaldırırlarsa gelecekte bu tür karalayıcı bilgileri yayma sorumluluğundan kurtulurlar
Geçen hafta iki kez veri ihlali bildirimi aldım.
Biri sağlık hizmeti sağlayıcımdan, diğeri de konut kredimi elinde bulunduran bankadan geldi.
İkisi de kredimi kilitlememi söyledi ve 1 yıllık ücretsiz kredi izleme sundu.
Bu gülünç derecede yetersiz; bence bu alanda çok daha fazla düzenleme gerekiyor.
Ömür boyu kredi izleme, adıma gerçekleşen tüm finansal dolandırıcılıklar için tam sigorta ve derhâl varsayılan tazminat sağlanmalı.
Temel neden, ABD’deki kimlik sisteminin karmakarışık olması.
Benzersiz tanımlayıcı, yani SSN ile gizli değer, yine SSN, birbirinden ayrılmıyor.
Diğer tüm güvenlik soruları da nihayetinde dolandırıcıların kolayca elde edebileceği “bildiğin şey” şeklindeki aynı kimlik doğrulama faktörünün varyasyonlarından ibaret.
Kelimenin tam anlamıyla senin gerçekten sen olduğunu kanıtlamanın üzerinde uzlaşılmış bir yolu yok.
DMV’nin, kredi kartı gibi hem fiziksel hem de dijital özelliklere sahip kimlikler vermeye başlaması gerekiyor.
Çevrimiçi kimlik doğrulama için Apple Pay veya Android Pay benzeri bir şeye ihtiyaç var ve bankaların dijital kimliği desteklemesi zorunlu kılınmalı.
Ayrıca dijital kimliği kötüye kullananlara karşı güçlü yaptırım uygulanmalı.
Bu sorunu görmezden gelmenin sonucu olarak her yıl en az onlarca milyar dolarlık GSYH’nin dolandırıcılık yüzünden yok olduğunu düşünüyorum.
Daha da önemlisi, hukukun üstünlüğüne dayalı bir ülke olma konumu yavaş yavaş aşınıyor.
Bunu çıkarmanın kendisi de zor; genellikle işçi sınıfı bölgelerindeki oy verme merkezlerini kapatan ve DMV bütçelerini kesen eyaletler, bunun herkes için ücretsiz uygulanması gereken modele sonuna kadar karşı çıkacaktır.
Cevap, şu anda SSN verdiğimiz gibi erişim yetkisi veren bir tür dijital gizli değer sağlamanız gerektiği.
O zaman bu dijital gizli değer de şu anda SSN’nin bulunduğu aynı çevrimiçi yerlerde bulunacak ve aynı tür saldırılara açık olacak.
Bunun neyi düzelttiğini anlamıyorum.
Makaledeki tavsiyeye uyarak başkası kaydolamasın diye hesap oluşturdum; görünüşe göre otomatik olarak bir dijital vadesiz mevduat hesabına kaydedilmişim.
Böyle bir şeyi hiç istememiştim.