1 poin oleh GN⁺ 2023-08-23 | 1 komentar | Bagikan ke WhatsApp
  • Hanya dengan nama dan negara bagian tempat tinggal, file berisi alamat lama, kerabat, nomor telepon, email, dan informasi SIM dapat diperoleh, dan biaya pencariannya adalah Bitcoin senilai 15 dolar
  • Alat ini tampaknya mengakses data credit header yang dimiliki Experian, Equifax, dan TransUnion, dan dalam beberapa kasus juga menyediakan nomor Jaminan Sosial (SSN) seharga 20 dolar
  • credit header adalah informasi pribadi yang dibuat dari data terkait kartu kredit milik banyak orang dewasa di AS, lalu mengalir ke agen penagihan utang, perusahaan asuransi, hingga lembaga penegak hukum melalui kontrak dan pembelian
  • Para kriminal mengakses rantai pasok data ini dengan cara seperti mencuri identitas mantan petugas penegak hukum, lalu menjual akses tanpa batas kepada kriminal lain secara online
  • Alat ini juga digunakan untuk mencari tokoh terkenal seperti Elon Musk, Joe Rogan, dan Joe Biden, dan meski sebagian datanya tidak sensitif, setidaknya sebagian di antaranya telah dipastikan akurat

Pencarian data pribadi yang dijual lewat bot Telegram

  • Di Telegram, cukup masukkan nama dan negara bagian tempat tinggal target, lalu dalam waktu singkat file data pribadi akan dibuat
  • File tersebut mencakup alamat-alamat tempat target pernah tinggal di AS, bahkan termasuk alamat asrama kampus lebih dari 10 tahun lalu
  • Informasi yang disertakan terdiri dari item-item yang dapat digunakan untuk verifikasi identitas dan pelacakan
    • nama kerabat dan tahun lahir
    • nomor ponsel dan operator
    • alamat email pribadi
    • informasi SIM dan nomor identifikasi unik
  • Biaya total pencarian adalah Bitcoin senilai 15 dolar, dan bot tersebut kadang-kadang juga menyediakan nomor Jaminan Sosial seharga 20 dolar

Eksploitasi rantai pasok data biro kredit

  • Alat ini tampaknya mengakses data credit header yang dimiliki Experian, Equifax, dan TransUnion untuk banyak orang dewasa di AS
  • Data credit header adalah informasi pribadi yang dibuat dari data terkait kartu kredit, lalu berpindah ke perusahaan lain melalui berbagai kontrak dan pembelian
  • Data yang berpindah itu memiliki jalur distribusi ke agen penagihan utang, perusahaan asuransi, dan lembaga penegak hukum
  • Para kriminal berhasil mengakses rantai pasok ini, dan dalam beberapa kasus digunakan metode seperti mencuri identitas mantan petugas penegak hukum
  • Alat yang diuji juga digunakan untuk mengumpulkan informasi tokoh terkenal seperti Elon Musk, Joe Rogan, dan Joe Biden, dan tampaknya dapat dipakai tanpa pembatasan akses
  • Hasil verifikasi menunjukkan bahwa tidak semua data selalu sensitif, tetapi setidaknya sebagian data memang akurat

1 komentar

 
GN⁺ 2023-08-23
Komentar Hacker News
  • Sangat layak untuk memasang pembekuan kredit di tiga biro kredit: Experian, TransUnion, Equifax
    Saat pertama menyiapkannya memang menyebalkan karena harus memberikan banyak data pribadi, tetapi setelah selesai, membekukan dan mencabut pembekuannya jadi cukup mudah
    Simpan URL, nama pengguna, dan kata sandi di catatan yang aman, lalu saat perlu mengajukan kredit, cukup cabut pembekuan selama sehari atau sekitar seminggu
    Dulu ada banyak masalah pencurian identitas, yaitu orang membuka kredit atas nama saya, tetapi pembekuan kredit menyelesaikannya
    Experian: https://www.experian.com/freeze/center.html
    TransUnion: https://www.transunion.com/credit-freeze
    Equifax: https://www.equifax.com/personal/credit-report-services/cred...
    Saya sangat tidak suka perusahaan-perusahaan ini, tetapi menjalani prosedur tersebut memang sepadan dan layak direkomendasikan kepada siapa pun

    • Sebagai orang yang sudah lama memakai pembekuan kredit, rasanya setiap kali ingin mencabut pembekuan, salah satu dari tiga lembaga itu sudah mengubah prosedurnya sehingga nama pengguna dan kata sandi yang dulu saya buat tidak lagi bisa dipakai untuk membukanya
      Terakhir, akun saya dikunci karena tidak login selama 3 tahun dan mereka meminta banyak verifikasi tambahan
      Verifikasinya kadang justru terasa tidak aman, karena berupa informasi yang ditanyakan saat pertama kali menyiapkan akun, seperti alamat lama, dan kadang lebih rumit
      Seiring waktu, pada momen yang paling tidak terduga, mereka bisa menghalangi pencabutan pembekuan dengan mengatakan verifikasi akun akan memakan waktu 60 hari
    • Cukup absurd bahwa penerbit kredit bisa menerbitkan kredit atas nama orang lain tanpa melakukan uji tuntas yang memadai, lalu orang yang namanya dipakai harus menanggung beres-beresnya
      Setiap kali hal seperti ini terjadi, penerbitnya harus dikenai denda besar
    • Istilah pencurian identitas yang didorong oleh bank-bank itu sendiri menipu
      Dalam penipuan seperti ini, korbannya bukan individu, melainkan bank
      Identitas saya tetap ada pada saya, dan bank atau kreditur hanya memberikan uang mereka sendiri kepada penjahat karena kelalaian mereka sendiri
      Menjadikan individu yang sama sekali tidak terlibat sebagai korban adalah fantasi yang tidak masuk akal, dan hukum harus diubah agar mencerminkan kenyataan ini
      Selama bank bisa membebankan biaya kelalaiannya kepada orang yang tidak bersalah, mereka akan terus bertindak ceroboh
      Setiap kali istilah ini muncul di ruang publik, kesadaran harus disebarkan dengan menolak kebohongan bernama “pencurian identitas”
      Sketsa radio Mitchell and Webb yang relevan: https://www.youtube.com/watch?v=CS9ptA3Ya9E
    • Banyak orang tidak tahu, tetapi pembekuan juga harus dipasang di https://nctue.com/consumers/
      Saya pernah harus menangani penipu yang tidak hanya membuka layanan ponsel, tetapi juga mendaftarkan listrik apartemennya atas nama saya, dan memasang pembekuan di sini menyelesaikan masalahnya
    • Saya penasaran apakah saya tetap perlu melakukan ini meski seumur hidup tidak pernah berutang
      Karena sejak awal saya tidak pernah memulai apa pun, saya tidak tahu apakah itu berarti aman
  • Agar tidak perlu mengeklik: senjata rahasianya adalah membayar penjahat 15 dolar di grup Telegram untuk melakukan doxing terhadap seseorang
    Sebagian besar artikel membahas dari mana layanan doxing itu memperoleh data, dan bagaimana sumber tersebut berubah
    Saat ini TLOxp milik TransUnion adalah layanan yang populer

    • Jadi maksudnya, data yang bisa diakses perusahaan mana pun saat saya mengajukan kartu kredit atau pekerjaan juga disediakan kepada orang lain yang tidak peduli soal persetujuan saya tetapi punya uang
    • https://www.tlo.com/about-us
      TLOxp adalah versi terbaru dari teknologi pengubah permainan yang membuka bidang data fusion
      Penggunaan TLOxp yang disebutkan mencakup penagihan utang, profesional hukum, bagian legal internal, penyelidik berlisensi, jasa keuangan, asuransi, risiko perusahaan, jurnalis investigasi, penegak hukum, pemerintah negara bagian, lokal, dan federal, serta pemulihan aset dan penyitaan
    • Di beberapa situs pencari orang, sebagian besar data yang disebutkan dalam artikel tersedia gratis
      Ada kesalahan yang sama seperti informasi keliru yang ditanyakan lembaga keuangan untuk memverifikasi identitas, jadi saya menduga sumbernya adalah biro kredit
      Sebaiknya cari nama sendiri beberapa kali setahun dan ajukan permintaan penghapusan ke situs-situs seperti itu
      Sebagian besar menanganinya cukup cepat
    • Tanggapan ini tampaknya terlalu menyepelekan artikelnya
      Memang terlihat seperti artikel clickbait “ketahuan”, tetapi menurut saya judulnya menyampaikan persis apa yang dijanjikan
      Isinya bahwa alat pencarian dengan regulasi lemah yang disediakan biro kredit digunakan untuk menjual doxing dan hal-hal yang lebih buruk
      Apakah ada sesuatu yang melemahkan klaim-klaim ini?
  • Pendekatannya keliru
    Identitas dan autentikasi seseorang tidak boleh didasarkan pada informasi yang tidak berubah dan bisa diketahui publik seperti nomor Social Security, nomor SIM, atau riwayat alamat
    Informasi seperti ini punya banyak cara untuk bocor, dan begitu bocor, akan tetap ada selamanya
    Kita membutuhkan identitas digital, autentikasi, dan mekanisme penyelesaian sengketa yang layak
    Ini tidak akan murah, tetapi dalam jangka panjang alternatifnya lebih mahal

    • Bukannya saya tidak setuju, tetapi jika identitas digital dibuat, internet bebas pada akhirnya akan mati secara permanen
    • Dalam pembukaan rekening bank atau sekuritas belakangan ini, tampaknya praktiknya memang sudah bergeser ke mengambil foto paspor, lalu selfie atau video sambil memegang paspor
      Agak merepotkan, tetapi cukup sulit diretas
      Tentu saja ini tidak berfungsi jika tidak punya paspor atau identitas setara
    • Para pencuri identitas pasti akan sangat menyukai sistem yang memungkinkan mereka mengambil alih identitas seseorang sepenuhnya begitu satu pelanggaran terjadi
      Bayangkan ketika Anda hendak mengambil pinjaman, lalu mengetahui identitas Anda sudah dibatalkan dan sudah diambil alih orang lain
  • TransUnion mengatakan bahwa “dalam kasus yang sangat jarang ketika penyalahgunaan TLOxp teridentifikasi, kami bekerja sama dengan penegak hukum untuk membantu menuntut pihak yang bertanggung jawab,” tetapi ini sepenuhnya bohong
    TransUnion pernah menyerahkan seluruh laporan kredit saya kepada peretas yang hanya memiliki informasi publik, dan sama sekali tidak peduli

    • Saya berharap mereka bisa bekerja sama dengan penegak hukum untuk menuntut para penanggung jawab di TransUnion
    • Jika penyimpanan data yang buruk memiliki konsekuensi yang berarti, misalnya bukan omong kosong seperti “maaf, kami akan memberi Anda pemantauan kredit gratis,” melainkan denda yang benar-benar menyakitkan, biro kredit mungkin akan memperbaiki sikap mereka
      Sepertinya hal seperti itu tidak akan terjadi dalam waktu dekat
    • Jika ada sumber daya, mungkin pantas untuk mengajukan gugatan perdata atas tindakan melawan hukum TransUnion
      Tentu saja itu akan sangat merepotkan
    • Jika bersedia melakukannya bersama pengacara, saya kira mereka akan menanggapi surat panggilan pengadilan
    • Mereka sendiri juga mengatakan “dalam kasus yang sangat jarang ketika penyalahgunaan teridentifikasi”
      Mereka tidak mengatakan apa pun soal seberapa besar kepedulian mereka atau seberapa banyak tindak lanjut yang mereka lakukan setelah identifikasi
  • Ada hal lain yang saya benci dari biro kredit
    Kalau Anda pergi ke perusahaan pialang properti komersial, semua broker memiliki lisensi biro kredit, dan khususnya para broker junior setiap hari mencari data pemilik properti lalu menelepon mereka ke ponsel untuk penjualan
    TLO pasti tahu bahwa mustahil sebagian besar industri pialang properti komersial memakai produknya setiap hari untuk tujuan kepatuhan GLBA, tetapi mereka pura-pura tidak melihat dan mencari cara memonetisasinya
    Anda bahkan tidak perlu menggali sudut gelap internet untuk mendapatkan informasi ini
    Masuk saja lewat pintu depan

  • “Kalau Anda menerima pembayaran dari penjahat untuk data, itu bukan kebocoran data
    Saat itu namanya menyediakan layanan”
    — biro-biro kredit

  • Jika seseorang menelepon dan mencoba membuktikan bahwa mereka “asli” dengan mengatakan bahwa mereka sudah tahu banyak informasi pribadi Anda, jangan pernah memberikan informasi pribadi
    Selalu telepon kembali ke nomor yang Anda cari sendiri, bukan nomor yang mereka berikan

    • Jika menggunakan telepon kabel, penting juga untuk tidak menelepon balik dari pesawat telepon yang sama dengan yang menerima panggilan
      Dulu pernah ada penipu yang menelepon mengaku dari bank, lalu menyuruh korban menelepon balik ke nomor di belakang kartu kredit
      Setelah korban menutup telepon dan mengangkatnya lagi, para penipu tetap menahan saluran, memutar nada panggil palsu, lalu menipu korban dengan membuat orang lain “menjawab”
    • Zaman sekarang siapa yang masih mengangkat telepon?
      Apalagi kalau nomornya tidak dikenal
    • Ini tidak ada hubungannya dengan cerita itu
      Semua orang rentan terhadap masalah yang dibahas dalam artikel
  • Ke depannya sepertinya akan makin buruk
    Ada segunung data yang belum diklasifikasikan karena tidak ada yang tertarik mengurusnya, dan sekarang model bahasa besar yang cukup bagus bisa melakukan pekerjaan itu

  • Seluruh industri itu harus dilarang
    Pengadilan cukup mencatat tunggakan pinjaman dan menyediakan informasi itu kepada kreditur
    Laporan tidak boleh memuat apa pun selain itu
    Pemberi pinjaman sudah memverifikasi pendapatan secara independen, dan untuk KPR mereka juga memeriksa pengeluaran bulanan
    Sisa informasi yang masuk ke laporan kredit dan dipakai untuk menghitung skor kredit tampaknya hanya untuk memaksa orang membuat kartu kredit dan melanggengkan rasisme struktural

  • Ini sudah jelas 20 tahun lalu, ketika para detektif swasta mempresentasikan berbagai cara mendapatkan informasi yang mereka inginkan secara legal di konferensi peretas
    Dengan sedikit pencarian saja, ada sekitar 500 layanan online yang bisa mengorek informasi pribadi dengan biaya kecil
    Layanan-layanan itu dioperasikan bukan oleh peretas, melainkan oleh perusahaan publik
    Sepertinya seseorang baru saja membuat bot yang mempermudah hal itu
    Bagi peretas, artikel seperti ini terbaca seperti artikel yang mengatakan “kunci pintu tidak aman”

    • Sedikit kurang dari 20 tahun lalu, saya pernah menerima telepon dari mantan pacar perempuan yang saat itu saya kencani, menyuruh saya mundur
      Yang ia miliki hanya nama saya dan universitas tempat saya kuliah
      Ketika saya bertanya bagaimana ia mendapatkan nomor saya, ia bilang memakai layanan seperti yang disebutkan di atas
      Bagi orang yang memang berniat, hal seperti ini tidak terlalu sulit
    • whitepages.com saja, jika membeli pemeriksaan identitas 20 dolar, akan menampilkan dan mengumpulkan cukup banyak data publik
      Yang dibutuhkan hanya nomor telepon orang itu
    • Banyak materi di deep web sudah lama tidak saya lihat karena berada di balik pagar pembayaran sekitar 20 dolar
      Namun bahkan 20 tahun lalu pun sudah jelas bahwa dengan mengetahui sedikit saja tentang seseorang, terutama jika namanya tidak umum, Anda bisa menemukan informasi dalam jumlah sangat besar