Eksploitasi rantai pasok data biro kredit yang membocorkan data pribadi warga Amerika seharga 15 dolar
(404media.co)- Hanya dengan nama dan negara bagian tempat tinggal, file berisi alamat lama, kerabat, nomor telepon, email, dan informasi SIM dapat diperoleh, dan biaya pencariannya adalah Bitcoin senilai 15 dolar
- Alat ini tampaknya mengakses data credit header yang dimiliki Experian, Equifax, dan TransUnion, dan dalam beberapa kasus juga menyediakan nomor Jaminan Sosial (SSN) seharga 20 dolar
- credit header adalah informasi pribadi yang dibuat dari data terkait kartu kredit milik banyak orang dewasa di AS, lalu mengalir ke agen penagihan utang, perusahaan asuransi, hingga lembaga penegak hukum melalui kontrak dan pembelian
- Para kriminal mengakses rantai pasok data ini dengan cara seperti mencuri identitas mantan petugas penegak hukum, lalu menjual akses tanpa batas kepada kriminal lain secara online
- Alat ini juga digunakan untuk mencari tokoh terkenal seperti Elon Musk, Joe Rogan, dan Joe Biden, dan meski sebagian datanya tidak sensitif, setidaknya sebagian di antaranya telah dipastikan akurat
Pencarian data pribadi yang dijual lewat bot Telegram
- Di Telegram, cukup masukkan nama dan negara bagian tempat tinggal target, lalu dalam waktu singkat file data pribadi akan dibuat
- File tersebut mencakup alamat-alamat tempat target pernah tinggal di AS, bahkan termasuk alamat asrama kampus lebih dari 10 tahun lalu
- Informasi yang disertakan terdiri dari item-item yang dapat digunakan untuk verifikasi identitas dan pelacakan
- nama kerabat dan tahun lahir
- nomor ponsel dan operator
- alamat email pribadi
- informasi SIM dan nomor identifikasi unik
- Biaya total pencarian adalah Bitcoin senilai 15 dolar, dan bot tersebut kadang-kadang juga menyediakan nomor Jaminan Sosial seharga 20 dolar
Eksploitasi rantai pasok data biro kredit
- Alat ini tampaknya mengakses data credit header yang dimiliki Experian, Equifax, dan TransUnion untuk banyak orang dewasa di AS
- Data credit header adalah informasi pribadi yang dibuat dari data terkait kartu kredit, lalu berpindah ke perusahaan lain melalui berbagai kontrak dan pembelian
- Data yang berpindah itu memiliki jalur distribusi ke agen penagihan utang, perusahaan asuransi, dan lembaga penegak hukum
- Para kriminal berhasil mengakses rantai pasok ini, dan dalam beberapa kasus digunakan metode seperti mencuri identitas mantan petugas penegak hukum
- Alat yang diuji juga digunakan untuk mengumpulkan informasi tokoh terkenal seperti Elon Musk, Joe Rogan, dan Joe Biden, dan tampaknya dapat dipakai tanpa pembatasan akses
- Hasil verifikasi menunjukkan bahwa tidak semua data selalu sensitif, tetapi setidaknya sebagian data memang akurat
1 komentar
Komentar Hacker News
Sangat layak untuk memasang pembekuan kredit di tiga biro kredit: Experian, TransUnion, Equifax
Saat pertama menyiapkannya memang menyebalkan karena harus memberikan banyak data pribadi, tetapi setelah selesai, membekukan dan mencabut pembekuannya jadi cukup mudah
Simpan URL, nama pengguna, dan kata sandi di catatan yang aman, lalu saat perlu mengajukan kredit, cukup cabut pembekuan selama sehari atau sekitar seminggu
Dulu ada banyak masalah pencurian identitas, yaitu orang membuka kredit atas nama saya, tetapi pembekuan kredit menyelesaikannya
Experian: https://www.experian.com/freeze/center.html
TransUnion: https://www.transunion.com/credit-freeze
Equifax: https://www.equifax.com/personal/credit-report-services/cred...
Saya sangat tidak suka perusahaan-perusahaan ini, tetapi menjalani prosedur tersebut memang sepadan dan layak direkomendasikan kepada siapa pun
Terakhir, akun saya dikunci karena tidak login selama 3 tahun dan mereka meminta banyak verifikasi tambahan
Verifikasinya kadang justru terasa tidak aman, karena berupa informasi yang ditanyakan saat pertama kali menyiapkan akun, seperti alamat lama, dan kadang lebih rumit
Seiring waktu, pada momen yang paling tidak terduga, mereka bisa menghalangi pencabutan pembekuan dengan mengatakan verifikasi akun akan memakan waktu 60 hari
Setiap kali hal seperti ini terjadi, penerbitnya harus dikenai denda besar
Dalam penipuan seperti ini, korbannya bukan individu, melainkan bank
Identitas saya tetap ada pada saya, dan bank atau kreditur hanya memberikan uang mereka sendiri kepada penjahat karena kelalaian mereka sendiri
Menjadikan individu yang sama sekali tidak terlibat sebagai korban adalah fantasi yang tidak masuk akal, dan hukum harus diubah agar mencerminkan kenyataan ini
Selama bank bisa membebankan biaya kelalaiannya kepada orang yang tidak bersalah, mereka akan terus bertindak ceroboh
Setiap kali istilah ini muncul di ruang publik, kesadaran harus disebarkan dengan menolak kebohongan bernama “pencurian identitas”
Sketsa radio Mitchell and Webb yang relevan: https://www.youtube.com/watch?v=CS9ptA3Ya9E
Saya pernah harus menangani penipu yang tidak hanya membuka layanan ponsel, tetapi juga mendaftarkan listrik apartemennya atas nama saya, dan memasang pembekuan di sini menyelesaikan masalahnya
Karena sejak awal saya tidak pernah memulai apa pun, saya tidak tahu apakah itu berarti aman
Agar tidak perlu mengeklik: senjata rahasianya adalah membayar penjahat 15 dolar di grup Telegram untuk melakukan doxing terhadap seseorang
Sebagian besar artikel membahas dari mana layanan doxing itu memperoleh data, dan bagaimana sumber tersebut berubah
Saat ini TLOxp milik TransUnion adalah layanan yang populer
TLOxp adalah versi terbaru dari teknologi pengubah permainan yang membuka bidang data fusion
Penggunaan TLOxp yang disebutkan mencakup penagihan utang, profesional hukum, bagian legal internal, penyelidik berlisensi, jasa keuangan, asuransi, risiko perusahaan, jurnalis investigasi, penegak hukum, pemerintah negara bagian, lokal, dan federal, serta pemulihan aset dan penyitaan
Ada kesalahan yang sama seperti informasi keliru yang ditanyakan lembaga keuangan untuk memverifikasi identitas, jadi saya menduga sumbernya adalah biro kredit
Sebaiknya cari nama sendiri beberapa kali setahun dan ajukan permintaan penghapusan ke situs-situs seperti itu
Sebagian besar menanganinya cukup cepat
Memang terlihat seperti artikel clickbait “ketahuan”, tetapi menurut saya judulnya menyampaikan persis apa yang dijanjikan
Isinya bahwa alat pencarian dengan regulasi lemah yang disediakan biro kredit digunakan untuk menjual doxing dan hal-hal yang lebih buruk
Apakah ada sesuatu yang melemahkan klaim-klaim ini?
Pendekatannya keliru
Identitas dan autentikasi seseorang tidak boleh didasarkan pada informasi yang tidak berubah dan bisa diketahui publik seperti nomor Social Security, nomor SIM, atau riwayat alamat
Informasi seperti ini punya banyak cara untuk bocor, dan begitu bocor, akan tetap ada selamanya
Kita membutuhkan identitas digital, autentikasi, dan mekanisme penyelesaian sengketa yang layak
Ini tidak akan murah, tetapi dalam jangka panjang alternatifnya lebih mahal
Agak merepotkan, tetapi cukup sulit diretas
Tentu saja ini tidak berfungsi jika tidak punya paspor atau identitas setara
Bayangkan ketika Anda hendak mengambil pinjaman, lalu mengetahui identitas Anda sudah dibatalkan dan sudah diambil alih orang lain
TransUnion mengatakan bahwa “dalam kasus yang sangat jarang ketika penyalahgunaan TLOxp teridentifikasi, kami bekerja sama dengan penegak hukum untuk membantu menuntut pihak yang bertanggung jawab,” tetapi ini sepenuhnya bohong
TransUnion pernah menyerahkan seluruh laporan kredit saya kepada peretas yang hanya memiliki informasi publik, dan sama sekali tidak peduli
Sepertinya hal seperti itu tidak akan terjadi dalam waktu dekat
Tentu saja itu akan sangat merepotkan
Mereka tidak mengatakan apa pun soal seberapa besar kepedulian mereka atau seberapa banyak tindak lanjut yang mereka lakukan setelah identifikasi
Ada hal lain yang saya benci dari biro kredit
Kalau Anda pergi ke perusahaan pialang properti komersial, semua broker memiliki lisensi biro kredit, dan khususnya para broker junior setiap hari mencari data pemilik properti lalu menelepon mereka ke ponsel untuk penjualan
TLO pasti tahu bahwa mustahil sebagian besar industri pialang properti komersial memakai produknya setiap hari untuk tujuan kepatuhan GLBA, tetapi mereka pura-pura tidak melihat dan mencari cara memonetisasinya
Anda bahkan tidak perlu menggali sudut gelap internet untuk mendapatkan informasi ini
Masuk saja lewat pintu depan
“Kalau Anda menerima pembayaran dari penjahat untuk data, itu bukan kebocoran data
Saat itu namanya menyediakan layanan”
— biro-biro kredit
Jika seseorang menelepon dan mencoba membuktikan bahwa mereka “asli” dengan mengatakan bahwa mereka sudah tahu banyak informasi pribadi Anda, jangan pernah memberikan informasi pribadi
Selalu telepon kembali ke nomor yang Anda cari sendiri, bukan nomor yang mereka berikan
Dulu pernah ada penipu yang menelepon mengaku dari bank, lalu menyuruh korban menelepon balik ke nomor di belakang kartu kredit
Setelah korban menutup telepon dan mengangkatnya lagi, para penipu tetap menahan saluran, memutar nada panggil palsu, lalu menipu korban dengan membuat orang lain “menjawab”
Apalagi kalau nomornya tidak dikenal
Semua orang rentan terhadap masalah yang dibahas dalam artikel
Ke depannya sepertinya akan makin buruk
Ada segunung data yang belum diklasifikasikan karena tidak ada yang tertarik mengurusnya, dan sekarang model bahasa besar yang cukup bagus bisa melakukan pekerjaan itu
Seluruh industri itu harus dilarang
Pengadilan cukup mencatat tunggakan pinjaman dan menyediakan informasi itu kepada kreditur
Laporan tidak boleh memuat apa pun selain itu
Pemberi pinjaman sudah memverifikasi pendapatan secara independen, dan untuk KPR mereka juga memeriksa pengeluaran bulanan
Sisa informasi yang masuk ke laporan kredit dan dipakai untuk menghitung skor kredit tampaknya hanya untuk memaksa orang membuat kartu kredit dan melanggengkan rasisme struktural
Ini sudah jelas 20 tahun lalu, ketika para detektif swasta mempresentasikan berbagai cara mendapatkan informasi yang mereka inginkan secara legal di konferensi peretas
Dengan sedikit pencarian saja, ada sekitar 500 layanan online yang bisa mengorek informasi pribadi dengan biaya kecil
Layanan-layanan itu dioperasikan bukan oleh peretas, melainkan oleh perusahaan publik
Sepertinya seseorang baru saja membuat bot yang mempermudah hal itu
Bagi peretas, artikel seperti ini terbaca seperti artikel yang mengatakan “kunci pintu tidak aman”
Yang ia miliki hanya nama saya dan universitas tempat saya kuliah
Ketika saya bertanya bagaimana ia mendapatkan nomor saya, ia bilang memakai layanan seperti yang disebutkan di atas
Bagi orang yang memang berniat, hal seperti ini tidak terlalu sulit
Yang dibutuhkan hanya nomor telepon orang itu
Namun bahkan 20 tahun lalu pun sudah jelas bahwa dengan mengetahui sedikit saja tentang seseorang, terutama jika namanya tidak umum, Anda bisa menemukan informasi dalam jumlah sangat besar