Experimentální zmrazení kreditu lze porušit pomocí základních informací o uživateli

Vzhledem k skóre úniků a hacků v těchto dnech útočníci na internetu již vidí ve své ústřici svět. Nedávná zjištění naznačují, že zmrazení zabezpečení Experiantu ve zprávě o kreditu může být porušeno, pokud bude k dispozici pouze několik informací o uživateli.




Všichni útočníci, kteří potřebují získat přístup k kreditní zprávě, jsou jméno držitele karty, adresa, datum narození a číslo sociálního zabezpečení. Vzhledem k narůstajícímu počtu porušení údajů nelze tyto základní informace na trzích najít temný web, tak jako zdůraznil Brian Krebs.



Po těchto čtyřech informacích musí být zadána e-mailová adresa a všechny informace musí být potvrzeny. Poté bude vyžadován PIN pro zmrazení kreditu.



Poslední stránka autorizace na serveru Experian požaduje, aby uživatel odpověděl na čtyři otázky založené na ověřování na základě znalostí (KBA).

Více v sekci Novinky: Porušení dat Equifax: Jak zjistit, zda byl váš účet napaden

„Problém spočívající v tom, že se spoléháme na otázky KBA při ověřování online spotřebitelů, spočívá v tom, že tolik informací potřebných k úspěšnému uhodnutí odpovědí na tyto otázky s výběrem z několika odpovědí je nyní indexováno nebo vystaveno pomocí vyhledávačů, sociálních sítí a služeb třetích stran online - jak kriminální, tak komerční, “píše Brian Krebs.

Vzhledem k tomu, že odpovědi na tyto otázky KBA jsou k dispozici online, a stejně tak i další informační parametry potřebné k narušení zmrazení kreditu Experian, jsou taková bezpečnostní opatření bezpochyby nedostatečná.

Experian je další velká agentura pro hlášení spotřebitelských úvěrů, podobná agentuře Equifax. problémy se zabezpečením v Equifaxu začátkem tohoto měsíce bylo jasné, že společnosti musí zvýšit svůj bezpečnostní rámec. V opačném případě jednoduše vystavují svá uživatelská data riziku expozice a možného zneužití.





Jak odvrátit nebezpečí?

Pomohlo by, kdyby informace o obnovení PIN byly zaslány na e-mailovou adresu, která byla předem definována uživatelem v jeho kreditních údajích, a ne na náhodnou e-mailovou adresu zadanou během obnovy.

Vzhledem k tomu, že organizace jako Experian a Equifax, které byly nedávno porušeny, stále nevědí o zabezpečení online, má smysl, pokud zmrazíte své kreditní soubory.

Více v sekci Novinky: Zařízení, která nepoužívají Android 8.0 Oreo, jsou zranitelná proti tomuto malwaru