Experian Flaw Just Revealed PIN-kode Beskyttelse av kredittdata

Kredittfrysing er den beste måten å forhindre ny konto svindel på, hvor kriminelle åpner falske kontoer i ditt navn. Men et kredittforetaks nettsted gjorde det vanskelig å omgå sikkerheten som skal holde kredittrapporteringene dine trygge.

Experians nettsted avslørte de personlige identifikasjonsnumrene - PIN-kodene som trengs for å tine kredittfryses - etter at brukere har besvart sine sikkerhetsspørsmål med et svar på svaret: Ingen av de ovennevnte.

For mer enn et år siden rapporterte sikkerhetsekspert Brian Krebs en lignende feil. På det tidspunktet måtte folk svare på de fire spørsmålene "kunnskapsbasert autentisering" som ble brukt til å identifisere dem. Problemet med denne metoden, ifølge Krebs, er at den personlige informasjonen som trengs for å kunne gjette svarene, er lett tilgjengelig online gjennom kommersielle og kriminelle nettsteder.

Men i flere timer torsdag - og for hvem vet hvor lenge før det - du behøvde ikke engang å gjette.

En leser varslet oss om dette problemet, og flere av oss som hadde kredittfrysning, kunne replikere det. Vi spurte våre følgere på Facebook og Twitter og hørte fra andre som også fikk tilgang til sine PIN-koder.

Feil i normal prosess

For å få tallene, fylte folk ut skjemaet på Experians PIN-kode med personens navn, adresse, personnummer og fødselsdato - akkurat den typen informasjon som ble kompromittert i fjorårets Equifax-brudd, og det er lett tilgjengelig for salg på den mørke banen. Skjemaet krevde en e-postadresse, som ikke nødvendigvis måtte være den som er tilknyttet personens Experian-konto. Svar på "ingen av de ovennevnte" til sikkerhetsspørsmålene - selv om noen av de svarene som ble gitt var korrekte - ga tilgang til den personenes PIN-kode.

Med PIN-koden kan enhver tine personens kredittfrysing og søke om kreditt i deres navn.

Forbrukerforesøker Mike Litt var også i stand til å hente sin PIN-kode ved hjelp av feilen. "Det er absolutt ingen unnskyldning for dette," sier Litt, kampanjedirektør for U.S. PIRG, en offentlig interesseforeningsorganisasjon. "Hvordan legger du bare nøklene til døren på toppen av velkomstmatten?"

En ekspert talsmann utstedte en uttalelse torsdag ettermiddag som sa: "Selv om vi er sikre på at vår godkjenning er sikker og ingen kredittfiler er i fare, har vi tatt ytterligere skritt for å gjøre prosessen mer sikker. Vi fortsetter å regelmessig overvåke våre systemer, og tar øyeblikkelig handling når det er nødvendig for å styrke datasikkerheten."

Feilmeldinger sparke inn

Ved slutten av torsdag begynte mange av oss å få feilmeldingene som svarene våre burde ha generert i utgangspunktet. Vi ble sendt til mail Experian vår identifiserende informasjon, for eksempel kopier av vårt førerkort, bruksregninger og trygdekort.

Den amerikanske posten, hvis dette må sies, er ikke en trygg måte å overføre slik informasjon til. Men siden disse detaljene sannsynligvis er i kriminelle hender, vil vi forlate det for nå.

Dette er enda en påminnelse om at vi må fortsette å overvåke våre kredittrapporter og poeng for falske kontoer, selv om vi har kredittfrysing på plass - som vi fortsatt skulle.

Det som er veldig foruroligende er at sikkerhetsfrysene skal være en av de få effektive bulwarkene som folk kan gjøre mot svindel. Derfor har sikkerhetseksperter anbefalt dem i årevis, og hvorfor Kongressen endelig gjorde fryser og tiner fri fra 21. september.

Enkelheten som denne viktige beskyttelsen kunne motvirke, forteller oss at kredittbyråene fortsatt ikke tar sikkerhet for vår informasjon alvorlig nok.

Staff skribent Bev O'Shea bidro til denne rapporten.