"Di Experian, siapa pun masih bisa dengan mudah menjadi Anda"

 (krebsonsecurity.com)
1 poin oleh GN⁺ 2023-11-12 | 1 komentar | Bagikan ke WhatsApp

Masalah keamanan Experian terus berlanjut

  • Pada musim panas 2022, dilaporkan ada kasus akun laporan kredit konsumen Experian dibajak hanya dengan didaftarkan ulang menggunakan alamat email yang berbeda.
  • Bahkan setelah 16 bulan, Experian belum juga memperbaiki masalah keamanan serius ini.
  • Akun Experian milik jurnalis tersebut juga baru-baru ini diretas, dan untuk memulihkan akses akun ia harus membuat akun baru.

Proses pendaftaran ulang akun yang mudah

  • Saat memasukkan SSN (nomor jaminan sosial) dan tanggal lahir ke Experian, jurnalis itu menemukan bahwa akunnya telah ditautkan ke alamat email yang tidak pernah ia verifikasi.
  • Situs web Experian meminta SSN dan tanggal lahir untuk menemukan nama pengguna akun, lalu menampilkan sebagian alamat email yang belum diverifikasi.
  • Experian masih memungkinkan akun berkas kredit dibuat ulang menggunakan informasi pribadi dan alamat email lain.

Kerapuhan proses pembuatan akun

  • Halaman depan Experian meminta SSN dan nomor ponsel, serta menyatakan akan mengirim tautan untuk verifikasi identitas.
  • Pengguna dapat melewati tahap memasukkan nomor telepon, lalu diminta memasukkan nama, alamat, tanggal lahir, SSN, alamat email, dan kata sandi.
  • Pengguna juga harus menjawab 3 hingga 5 pertanyaan keamanan pilihan ganda, tetapi pertanyaan ini sebagian besar didasarkan pada catatan publik sehingga mudah ditemukan.

Kurangnya notifikasi email saat akun diubah

  • Ketika akun baru dibuat, Experian mengirim pemberitahuan tentang perubahan profil pengguna ke alamat email sebelumnya.
  • Pemberitahuan ini bukan permintaan untuk memverifikasi perubahan tersebut, dan pengguna asli tidak bisa melakukan apa pun selain mengikuti tautan untuk masuk di Experian.com.

Pentingnya akun Experian

  • Jika Anda belum memiliki akun Experian, Anda dapat membuatnya agar menerima notifikasi email saat berkas kredit Anda dibajak.
  • Jika akun dibajak, informasi login lama, PIN, dan pertanyaan pemulihan akun semuanya akan diubah, sehingga satu-satunya pilihan adalah membuat ulang akun untuk merebutnya kembali dari pelaku pembajakan.

Perbandingan dengan lembaga pelaporan kredit lain

  • Lembaga pelaporan kredit konsumen besar lain seperti Equifax dan TransUnion mewajibkan pengguna memasukkan kode yang dikirim ke alamat email atau nomor telepon yang terdaftar di berkas saat akun diubah.

Tanggapan Experian

  • Juru bicara Experian Scott Anderson menolak membagikan informasi tentang alamat email yang belum diverifikasi.
  • Anderson menyatakan bahwa Experian telah menerapkan pendekatan keamanan berlapis, termasuk pertanyaan dan jawaban berbasis pengetahuan, serta proses verifikasi kepemilikan dan penguasaan perangkat.

Masalah efektivitas faktor autentikasi ganda

  • Semua konsumen memiliki opsi untuk mengaktifkan faktor autentikasi ganda yang diminta setiap kali login, tetapi jika akun dapat dibuat ulang dengan nomor telepon dan alamat email baru, hal itu menjadi tidak berguna.

Eksperimen pengguna Mastodon

  • Pengguna Mastodon menguji masalah keamanan Experian dan memverifikasi temuan jurnalis tersebut.
  • Saat Experian meminta nomor telepon dan empat digit terakhir SSN, para pengguna memilih opsi 'masukkan informasi saya secara manual' lalu memasukkan nomor telepon dan alamat email baru.
  • Tidak ada verifikasi apa pun yang diminta pada alamat email asli, dan 2FA (autentikasi dua faktor) dilakukan ke nomor telepon baru.

Riwayat masalah keamanan Experian

  • Pada Desember 2022, KrebsOnSecurity menemukan cara sederhana untuk melewati keamanan Experian dan mengakses laporan kredit lengkap milik konsumen mana pun.
  • Pada April 2021, KrebsOnSecurity mengungkap pencuri identitas yang membuka kunci berkas kredit konsumen dengan memanfaatkan autentikasi longgar pada halaman pencarian PIN Experian.
  • Experian juga telah beberapa kali dikritik di masa lalu terkait berbagai masalah keamanan.

Pendapat GN⁺

  • Poin terpentingnya adalah Experian masih belum mampu mengatasi kerentanan keamanan yang serius, sehingga informasi kredit pengguna dapat berada dalam risiko.
  • Artikel ini memberikan kesadaran penting kepada konsumen tentang langkah-langkah yang perlu diambil untuk melindungi informasi kredit mereka.
  • Masalah keamanan Experian berkaitan langsung dengan perlindungan privasi konsumen, dan ini merupakan isu penting bagi semua orang.

Bacaan terkait

1 komentar

 
GN⁺ 2023-11-12
Komentar Hacker News

  • Pelanggan perusahaan mata-mata bukanlah kita, tetapi mengejutkan bahwa ketiadaan keamanan tidak menjadi alasan bagi pelanggan sebenarnya untuk menghentikan transaksi.

    • Keamanan perusahaan mata-mata sangat lemah sehingga layanannya bisa dipakai untuk menyamar sebagai orang lain, dan hal ini memunculkan pertanyaan tentang alasan keberadaan layanan tersebut.

  • Jika para eksekutif Experian terus mengalami pembobolan akun dengan cara yang sama, suatu saat akan ada perubahan.

    • Dugaan bahwa jika para eksekutif Experian berulang kali mengalami peretasan akun, perubahan terkait masalah ini mungkin akan terjadi.

  • Tidak bisa memahami bagaimana Experian bisa lolos dari gugatan meskipun gagal melindungi pelanggan.

    • Mengungkapkan ketidakpahaman atas dasar hukum yang memungkinkan Experian terus beroperasi walau gagal melindungi informasi pelanggan.

  • Selama beberapa minggu terakhir, saya terus-menerus menerima email konfirmasi pembelian smartphone dan laptop atas nama saya dari peritel besar.

    • Menjelaskan bahwa ia menerima konfirmasi pembelian yang memuat nama dan nomor identitasnya, dan meskipun sudah menghubungi peritel serta polisi, ia kesulitan menyelesaikan masalah tersebut.

  • Akun Experian diretas, pembekuan dibuka, lalu dipakai untuk mendapatkan pinjaman 100 ribu dolar dari Ford Credit.

    • Berbagi pengalaman bahwa akun Experian diretas sehingga memicu pinjaman dalam jumlah besar, dan butuh waktu lama untuk menyelesaikannya.

  • Ada petisi di resistbot yang mendesak perhatian para legislator terhadap masalah ini.

    • Membagikan tautan petisi online untuk mendorong perhatian legislatif terhadap masalah ini.

  • Kita membutuhkan alternatif yang lebih baik untuk laporan kredit.

    • Menyampaikan pandangan kritis bahwa setelah bank dan lembaga pemberi pinjaman tidak bisa lagi melakukan diskriminasi rasial secara langsung, sistem skor kredit menjadi cara tidak langsung untuk tetap melakukan diskriminasi.

  • Bertanya-tanya apakah ada cara untuk menghindari penilaian kredit dari salah satu dari tiga lembaga pemeringkat kredit.

    • Mencari informasi tentang cara menghindari penilaian kredit dari salah satu lembaga pemeringkat kredit demi mendorong persaingan sebagai konsumen.

  • Jika terjadi penipuan ringan (upaya pembukaan akun yang gagal atau kebocoran data), Anda bisa mendaftarkan peringatan penipuan dan pembekuan kredit di semua lembaga, sehingga selama jangka waktu tertentu dapat mengurangi surat yang tidak perlu dan risiko akun penipuan yang benar-benar jadi.

    • Menjelaskan bahwa melalui peringatan penipuan dan pembekuan kredit, prosedur verifikasi tambahan bisa diperkuat, sehingga berbagai masalah dapat dicegah.

  • Saya mencoba login ke situs web Experian, tetapi situsnya sangat tidak stabil sampai-sampai saya bahkan tidak bisa masuk.

    • Berbagi bahwa ia mengalami kesulitan mengakses akunnya karena masalah fungsi pada situs web Experian.