Di Experian, siapa pun masih bisa dengan mudah menjadi Anda
(krebsonsecurity.com)- Akun Experian dapat diambil alih dengan mendaftar ulang menggunakan informasi pribadi yang sama dan alamat email berbeda; masalah autentikasi yang terungkap pada 2022 masih ada 16 bulan kemudian
- Pendaftaran ulang dilakukan dengan Social Security number, tanggal lahir, nama, alamat, email, kata sandi, dan pertanyaan keamanan berbasis pengetahuan; verifikasi ponsel dapat dilewati dengan “Continue another way”
- Setelah akun baru dibuat, pengguna dapat melihat seluruh file kredit serta mengaktifkan atau menonaktifkan pembekuan kredit; email lama hanya menerima pemberitahuan perubahan, bukan permintaan persetujuan
- Equifax dan TransUnion meminta verifikasi kode melalui email atau nomor telepon terdaftar saat akun lama diubah, tetapi Experian tidak menyediakan persetujuan perubahan atau sarana pemulihan bagi pengguna lama
- Jika penyerang dapat membuat ulang akun dengan nomor telepon dan email baru, autentikasi multifaktor saat login saja sulit mencegah pengambilalihan akun
Akun Experian yang dapat dibuat ulang dengan email berbeda
- Pada musim panas 2022, ditemukan kasus akun Experian diambil alih setelah didaftarkan ulang dengan alamat email berbeda
- Enam belas bulan kemudian, masalah yang sama masih ada, dan akun Experian milik Krebs sendiri baru-baru ini juga telah diambil alih
- Ia meminta salinan file kredit Experian melalui annualcreditreport.com, tetapi Experian menolak memberikannya dengan alasan tidak dapat memverifikasi identitasnya
- Login langsung ke Experian.com juga gagal, dan situs menampilkan bahwa nama pengguna atau kata sandi tidak dikenali
- Dalam proses permintaan nama pengguna, diperlukan Social Security number lengkap dan tanggal lahir; setelah itu ditampilkan sebagian alamat email yang tidak disetujui atau tidak diketahui Krebs
Kelemahan autentikasi yang terlihat dalam proses pendaftaran ulang
- Beranda Experian meminta Social Security number dan nomor ponsel, serta menyatakan bahwa tautan verifikasi identitas akan dikirim
- Situs web tampaknya tidak memblokir meski diisi dengan nomor telepon sembarang di Amerika Serikat, dan langkah ini dapat dilewati dengan memilih “Continue another way”
- Setelah itu, pembuatan ulang akun meminta informasi berikut
- Nama lengkap
- Alamat
- Tanggal lahir
- Social Security number
- Alamat email
- Kata sandi pilihan
- Pada langkah berikutnya, pengguna harus menjawab 3–5 pertanyaan keamanan pilihan ganda, yang jawabannya sering kali berbasis catatan publik
- Saat Krebs membuat ulang akunnya, dari 5 pertanyaan hanya 2 yang berkaitan dengan informasi sebenarnya, dan keduanya menanyakan alamat tempat tinggal sebelumnya
- Setelah lolos pertanyaan pilihan ganda, pengguna diminta menetapkan PIN 4 digit dan jawaban baru untuk salah satu pertanyaan yang telah ditentukan
- Setelah akun baru dibuat, pengguna dapat masuk ke dasbor Experian, tempat seluruh file kredit dapat dilihat dan pembekuan kredit dapat diaktifkan atau dinonaktifkan
Yang tersisa bagi pengguna lama hanyalah pemberitahuan perubahan
- Ketika data akun berubah, Experian mengirim pesan ke alamat email lama bahwa sebagian profil pengguna telah diubah
- Pesan ini bukan permintaan konfirmasi, melainkan sekadar pemberitahuan perubahan, dan tindakan yang diberikan kepada pengguna lama hanya mengeklik tautan login Experian.com
- Pengguna lama yang menerima pemberitahuan tidak lagi dapat login dengan kredensial akun Experian lama mereka
- PIN dan pertanyaan pemulihan akun juga sudah diubah, sehingga untuk mengambil kembali akun, pengguna lama harus membuat akun lagi di Experian
- Equifax dan TransUnion hanya mengizinkan perubahan pada akun lama setelah pengguna memasukkan kode yang dikirim ke alamat email atau nomor telepon terdaftar
Tanggapan Experian dan kasus verifikasi dari pembaca
- Experian menolak membagikan alamat email lengkap yang ditambahkan tanpa izin ke file kredit Krebs
- Juru bicara Experian Scott Anderson mengatakan perusahaan telah menerapkan dan terus mengembangkan pendekatan keamanan berlapis, termasuk langkah manual dan aktif, untuk melindungi identitas dan informasi konsumen
- Menurut Anderson, langkah tersebut mencakup pertanyaan dan jawaban berbasis pengetahuan serta prosedur verifikasi kepemilikan dan penguasaan perangkat
- Semua konsumen dapat mengaktifkan autentikasi multifaktor yang diminta setiap kali login ke akun, tetapi efektivitasnya terbatas jika akun dapat dibuat ulang dengan nomor telepon dan email baru
- Pembaca yang melihat posting terkait Experian di Mastodon juga mengonfirmasi masalah yang sama
- @Jackerbee mengatakan ia memasukkan nomor telepon kedua dan alamat email baru; email lama hanya menerima satu email bahwa informasi telah diperbarui, tanpa verifikasi email lama
- Tidak ada notifikasi SMS ke nomor telepon lama, dan setelah itu 2FA saat login berjalan melalui nomor telepon baru
- PeteMayo membuat ulang akun Experian dua kali pada minggu yang sama, dan pada percobaan kedua memasukkan nomor telepon rumah acak
- Dalam kasus PeteMayo, setelah muncul 5 pertanyaan tentang riwayat pribadi, akses penuh diberikan bersama pesan “Welcome back, Pete!”
Insiden keamanan Experian yang berulang
- Pengambil alih akun Krebs tidak mencabut pembekuan kredit, atau jika sempat mencabutnya, ia telah membekukannya kembali
- Jika Experian tidak mengubah prosedur autentikasinya, akun Experian milik Krebs dapat diambil alih lagi
- Di Experian, insiden terkait kelemahan autentikasi dasar juga pernah berulang sebelumnya
- Pada Desember 2022, ditemukan metode bypass yang memungkinkan akses ke laporan kredit lengkap konsumen hanya dengan nama, alamat, tanggal lahir, dan Social Security number; Experian mengakui celah tersebut berlangsung hampir 7 minggu, dari 9 November hingga 26 Desember 2022
- Pada April 2021, autentikasi halaman pencarian PIN Experian yang lemah memungkinkan pencuri identitas mencabut pembekuan file kredit konsumen
- Pada bulan yang sama, terungkap kasus API Experian yang mengekspos skor kredit sebagian besar warga Amerika Serikat
- Kasus-kasus sebelumnya yang terkait mencakup gugatan kelompok keamanan akun pada 2022, kebocoran PIN pembekuan kredit pada 2017, pelanggaran terhadap 15 juta pelanggan pada 2015, pemberian akses ke 200 juta catatan konsumen pada 2014, serta penjualan data konsumen ke layanan pencurian identitas pada 2013
1 komentar
Komentar Hacker News
Masalah mendasarnya di sini adalah biaya menjaga keamanan itu besar, dan kadang lebih murah menangani akibatnya setelah diretas
Satu-satunya solusi adalah membuat perusahaan yang diretas membayar biaya yang sangat besar lewat denda dan gugatan dari korban pencurian identitas
Dengan beberapa sen per permintaan laporan kredit, bisa digunakan autentikasi berbasis pengetahuan, misalnya “pernah tinggal di mana”, “apakah merchant ini milik Anda”, dan semacamnya
Verifikasi identitas berbasis kredensial pemerintah seperti ID.me atau Stripe Identity juga sekitar 1,50–2,00 dolar per percobaan
Masalahnya, karena beban kerugian akibat penipuan dialihkan ke konsumen, tidak ada insentif untuk sedikit menambah biaya demi mengurangi penipuan, dan biro kredit juga tidak ingin parit pertahanan bisnis serta sumber pendapatannya tergerus
Singkatnya, kalau ada sistem identitas digital nasional yang lebih baik, masalah ini akan hilang
Saya menangani IAM pelanggan termasuk verifikasi identitas di fintech, dan sebagai aktivis warga juga ikut mengerjakan sebagian hal terkait Login.gov
Jika terlalu mahal untuk dioperasikan dengan aman, maka yang perlu dipertanyakan lebih dulu adalah apakah layanan seperti itu memang layak ada, dan apakah mereka pantas menyimpan begitu banyak informasi pribadi dan privat
GDPR dapat mengenakan denda hingga 4% dari pendapatan global
Tentu saja kita bukan pelanggan perusahaan pengawasan seperti ini
Namun tetap mengejutkan bahwa tingkat keamanannya nyaris tidak ada sama sekali, tetapi bagi pelanggan sebenarnya hal itu bukan alasan untuk menghentikan transaksi
Jika layanan ini pada dasarnya memungkinkan siapa pun menyamar sebagai siapa pun, saya tidak mengerti apa alasan untuk menggunakannya
Perusahaan membayar Experian untuk mengakses informasi tentang individu, dan satu-satunya alasan Experian mengizinkan akun individu adalah karena secara hukum mereka wajib menyediakan hal-hal seperti pembekuan kredit atau laporan kredit tahunan
Jika tidak diwajibkan, mereka sama sekali tidak akan melakukannya, dan tidak ada insentif apa pun untuk meningkatkan pengalaman maupun keamanan
Jika mundur selangkah dan melihat keseluruhan situasinya, masalah sebenarnya adalah ketiadaan undang-undang privasi
Bank, perusahaan, dan pemberi kerja seharusnya dilarang membagikan informasi pribadi kepada pihak ketiga
Di Swiss, tempat saya tinggal, memang demikian, dan bahkan pemerintah pun tidak mendapatkan informasi ini
Jika pemerintah mencurigai penggelapan pajak, mereka harus mendapatkan surat perintah dan mengikuti prosedur yang sama seperti kejahatan lain
Catatan keuangan yang dapat diakses hanyalah catatan prosedur penagihan utang yang sah, yaitu “Betreibungen”
Sebelum memberikan kredit kepada seseorang, Anda bisa memeriksa apakah orang lain sampai harus menggugat untuk menagih uang darinya
Namun tanpa biro kredit pun, semuanya berjalan baik hanya dengan informasi yang sangat sedikit seperti ini
Hanya saja, karena tekanan internasional seperti FATCA, hukum Swiss berubah sehingga bank harus melaporkan pelanggan internasional
Swiss adalah contoh bagus mengapa privasi finansial total tidak adil bagi pembayar pajak biasa
Karena itu memungkinkan orang-orang superkaya menyembunyikan pajak yang seharusnya mereka bayar
Ada keterangan bahwa “sekitar 36% warga Swiss memiliki rumah atau apartemen, salah satu yang terendah di dunia Barat dan jauh lebih rendah dibanding rata-rata Uni Eropa 70% serta AS 67%”
Tentu ada banyak faktor, tetapi jika informasi tentang kelayakan kredit lebih sedikit, rasanya orang akan kurang agresif dalam membiayai pembelian besar seseorang
[1] https://www.nytimes.com/2023/11/06/realestate/zurich-switzer...
Perusahaan tempat saya bekerja, yang tidak akan saya sebut namanya, adalah FAANG, dan ketika perusahaan ini membeli data lalu menerima cookie Experian, data itu digunakan untuk pelacakan dan pembuatan graph yang lebih baik
AS terus mengatakan peduli pada privasi warganya, tetapi kenyataannya tidak
Jika undang-undang privasi ditegakkan dengan kuat, tampaknya dampaknya juga akan terasa di hal-hal seperti rekening bank, karena big tech berada di jajaran atas 500 saham terbesar
Ada petisi Resistbot yang dibuat agar para pembuat undang-undang melihat masalah ini
https://resist.bot/petitions/PONADR
https://resist.bot/petitions
Di Jerman, misalnya, ada Campact, dan biasanya satu petisi mendapatkan lebih dari 200 ribu tanda tangan
Jika hal seperti ini tidak ada di AS, menurut saya seseorang yang punya uang perlu membuatnya, atau mempromosikan solusi yang sudah ada seperti OpenPetition kepada cukup banyak penanda tangan rutin
https://en.wikipedia.org/wiki/Campact
Jika ada tiga lembaga pemeringkat kredit, adakah cara agar kita bisa menghindari memiliki skor kredit di salah satunya?
Menurut saya, sebagai konsumen, itu bisa menjadi cara untuk meningkatkan persaingan di bidang ini
Saya sudah mencari, tetapi tampaknya tidak ada opsi yang mudah
Karena pemberi pinjaman biasanya melaporkan informasi ke ketiga lembaga pemeringkat kredit besar, agar tidak ada informasi yang dilaporkan sama sekali, kamu harus menutup semua kartu kredit dan pinjaman, lalu membekukan laporan kreditmu
Sepertinya “peningkatan persaingan” tidak akan berhasil di sini
Kita bukan pelanggan lembaga pemeringkat kredit, melainkan produknya; pelanggannya adalah pemberi pinjaman dan pihak lain yang membutuhkan informasi kita
Dari sudut pandang pemberi pinjaman, struktur ini berjalan baik, karena tanggung jawab untuk memverifikasi identitas pemohon secara akurat sebelum memberikan kredit tidak berada pada pemberi pinjaman, melainkan dialihkan sebagai beban “pencurian identitas” kepada masyarakat perorangan
Istilah “pencurian identitas” itu sendiri nyaris merupakan penamaan keliru yang dibuat untuk melemparkan tanggung jawab kepada individu
Idealnya, tanggung jawab untuk mencegah penjahat menyalahgunakan informasi saya, dan untuk memperbaiki keadaan ketika penjahat mencoba menggunakan informasi saya secara curang, harus berada pada pemberi pinjaman
Solusi yang lebih baik adalah menaikkan standar verifikasi identitas pemberi pinjaman
Dengan begitu, beban untuk benar-benar memastikan identitas sebelum memberikan kredit berpindah ke pemberi pinjaman
Sebagian pemberi pinjaman memang memeriksa dengan cukup baik, tetapi yang lain tampaknya menerima informasi yang diberikan tanpa sikap kritis
Standar tinggi di seluruh industri, baik sukarela maupun diwajibkan oleh hukum, akan membantu menyelesaikan masalah ini
Lembaga pemeringkat kredit beroperasi seperti perusahaan utilitas publik swasta dengan sangat sedikit pilihan
Kalau ini seperti aplikasi pengelola kata sandi, kita bisa menilai beberapa perusahaan, memilih yang kita mau, lalu pindah kapan saja jika muncul masalah
Mereka menerima data kita dari semua perusahaan tempat kita bertransaksi
Kita harus mengidentifikasi satu per satu semua mata rantai yang terkait dengan lembaga pemeringkat kredit
Mungkin kalau tidak pernah membuat kartu kredit dan tidak pernah mengambil pinjaman, kita bisa agak terlindungi dari “penyelidikan” mereka
Jadi kamu harus menghindari perusahaan yang melapor ke salah satu lembaga, tetapi biasanya mereka melapor ke beberapa lembaga sekaligus
Kalau sebagai perusahaan, kamu bisa melapor ke lembaga yang kamu inginkan
Beberapa hari lalu saya membuat profil dan mencoba login untuk melihat apa yang terjadi di akun saya, tetapi situsnya begitu rusak sampai saya bahkan tidak bisa login
Kalau saya saja tidak bisa menjadi diri saya sendiri, saya tidak paham bagaimana orang lain bisa menyamar sebagai saya
Yang kamu pakai bukan kanal untuk pelanggan Experian, melainkan kanal yang dipakai orang-orang yang menjadi beban bagi Experian
Dalam beberapa minggu terakhir, saya menerima tak terhitung email konfirmasi pembelian dari peritel besar seperti Casas Bahia, Americanas, dan Magazine Luiza
Nama dan CPF saya tercantum pada tagihan beberapa smartphone dan laptop
Saya sudah menghubungi semua peritel, tetapi hanya Magazine Luiza yang tampaknya mengakui penipuan dan menerbitkan peringatan, namun saya masih terus menerima tagihan
Saya menghubungi polisi setempat dan mendapatkan boletim de ocorrência; saya tidak tahu bagaimana menerjemahkannya, tetapi itu adalah dokumen yang menjelaskan masalah dan situasi bahwa saya tidak dapat mengambil langkah penanganan
Saya sangat cemas akan dampak susulan dari hal ini, dan merasa benar-benar tidak berdaya dalam melindungi identitas saya
Coba hubungi ombudsman masing-masing perusahaan, yaitu ouvidoria, dan jelaskan situasinya
Sekalipun mereka tidak benar-benar menyelesaikan masalah, akan ada catatan bahwa kamu berupaya menyelesaikannya secara baik-baik
Dalam skenario terburuk, peritel bisa menyerahkan tagihan penipuan itu ke agen penagihan dan melaporkannya ke lembaga pemeringkat kredit
Jangan pernah membayar satu sen pun untuk utang penipuan ini, dan jangan bernegosiasi
Karena ini penipuan, satu-satunya opsi adalah utangnya hilang
Uang yang dipertaruhkan adalah uang mereka, dan jika kamu membayar, tanggung jawabnya berpindah kepadamu
Karena kamu sudah punya Boletim de Ocorrência dan bukti kontak dengan perusahaan, seperti nomor laporan dan tanggal, jika itu masuk ke lembaga pemeringkat kredit, kamu bisa menggugat dan menuntut ganti rugi
Ini gugatan sederhana dan umum yang baik lembaga pemeringkat kredit maupun peritel akan ingin selesaikan lewat kesepakatan
Mereka sudah membuang waktumu, jadi buat mereka membayar akibatnya
Mereka tidak punya bukti bahwa kamulah yang melakukan transaksi itu
Dan jika peritel, bank, serta perusahaan kartu kredit benar-benar ingin menghindari penipuan, semua pembelian dan pendaftaran akan membutuhkan perlindungan setingkat transaksi properti
Akan dibutuhkan tanda tangan, pertemuan tatap muka, uang muka, bank, pengacara, notaris, hingga tanda tangan kriptografis; e-CPF juga ada, tetapi tidak ada yang memakainya
Namun pencegahan penipuan 100% berarti friksi, dan peritel normal tidak menyukai friksi
Pada akhirnya itu adalah keputusan bisnis mereka, dan mereka menerima risikonya agar lebih mudah menerima uang
Dalam sebagian besar konteks, memberikan informasi palsu dengan cara yang merugikan seseorang adalah fitnah atau pencemaran nama baik
Kita perlu meninjau kembali apakah pelaporan kredit layak mendapat pengecualian dari tanggung jawab semacam itu, dan dalam kondisi apa pengecualian itu seharusnya berlaku
Jika lembaga pemeringkat kredit menyampaikan informasi palsu tentang kita kepada pemberi pinjaman sehingga kita tidak mendapatkan pinjaman atau harus membayar bunga lebih tinggi dari yang semestinya, kita seharusnya bisa menang dalam gugatan ganti rugi finansial
Tidak semestinya penting apakah mereka tahu itu palsu atau tidak
Karena entah itu kelalaian atau niat jahat, kerugian tetap terjadi
Untuk orang yang bukan figur publik, pencemaran nama baik mensyaratkan setidaknya ada kelalaian dalam pengecekan fakta
Artinya, kelalaian baru terjadi jika ada pengetahuan yang wajar untuk meyakini bahwa informasi itu palsu
Jika kamu melaporkan kepada lembaga pemeringkat kredit bahwa akun itu penipuan, itu sama saja memberi tahu mereka bahwa akun tersebut sebenarnya bukan milikmu; dan jika mereka menghapus akun itu dari laporan, mereka terbebas dari tanggung jawab menyebarkan informasi yang mencemarkan nama baik seperti itu di masa depan
Minggu lalu saya menerima pemberitahuan kebocoran data dua kali
Salah satunya dari penyedia layanan kesehatan saya, satu lagi dari bank yang memegang KPR saya
Keduanya menyuruh saya mengunci kredit dan menawarkan pemantauan kredit gratis selama 1 tahun
Ini sangat tidak memadai, jadi menurut saya perlu ada lebih banyak regulasi di bidang ini
Seharusnya disediakan pemantauan kredit seumur hidup, asuransi penuh atas semua penipuan finansial yang terjadi atas nama saya, serta ganti rugi taksiran secara langsung
Akar masalahnya adalah sistem identitas di AS berantakan
Tidak ada pembedaan antara pengenal unik, yaitu SSN, dan nilai rahasia, yang juga SSN
Semua pertanyaan keamanan lainnya pada akhirnya hanyalah variasi dari faktor autentikasi yang sama, yaitu “sesuatu yang diketahui”, yang mudah didapat oleh penipu
Secara harfiah tidak ada cara yang disepakati untuk membuktikan bahwa kamu benar-benar kamu
DMV harus mulai menerbitkan kartu identitas yang fisik sekaligus memiliki fungsi digital, seperti kartu kredit
Kita membutuhkan sesuatu seperti Apple Pay atau Android Pay untuk verifikasi identitas online, dan bank harus diwajibkan mendukung identitas digital
Selain itu, harus ada penegakan yang keras terhadap orang yang menyalahgunakan identitas digital
Menurut saya, akibat mengabaikan masalah ini, setidaknya puluhan miliar dolar PDB hilang setiap tahun karena penipuan
Yang lebih penting, status kita sebagai negara hukum perlahan-lahan terkikis
Penerbitannya sendiri juga sulit, dan negara bagian yang biasanya menutup TPS di wilayah kelas pekerja serta memangkas anggaran DMV akan melawan habis-habisan cara penerapan yang harus gratis untuk semua orang
Jawabannya adalah harus ada semacam nilai rahasia digital yang diberikan untuk memberi akses, seperti saat ini kita memberikan SSN
Maka nilai rahasia digital itu akan berada di tempat-tempat online yang sama seperti SSN sekarang, dan rentan terhadap jenis peretasan yang sama
Saya tidak mengerti apa yang diperbaiki oleh ini
Saya mengikuti saran artikel dan membuat akun agar orang lain tidak bisa mendaftarkannya, lalu tampaknya saya otomatis terdaftar ke rekening giro digital
Saya sama sekali tidak menginginkan hal seperti ini