Missbrauch der Datenlieferkette von Kreditauskunfteien, um für 15 Dollar persönliche Daten von US-Bürgern offenzulegen
(404media.co)- Bereits mit dem Namen und dem Wohnsitz-Bundesstaat ließ sich eine Datei mit früheren Adressen, Verwandtschaftsbeziehungen, Telefonnummern, E-Mail-Adressen und Führerscheindaten erhalten; die Abfrage kostete Bitcoin im Wert von 15 Dollar
- Das Tool scheint auf credit header-Daten zuzugreifen, die von Experian, Equifax und TransUnion gehalten werden; in manchen Fällen wurde auch eine Sozialversicherungsnummer (SSN) für 20 Dollar geliefert
- Credit header sind personenbezogene Daten, die aus kreditkartenbezogenen Informationen vieler US-Erwachsener entstehen und über Verträge und Käufe bis zu Inkassobüros, Versicherern und Strafverfolgungsbehörden weiterfließen
- Kriminelle verschafften sich Zugang zur Datenlieferkette unter anderem durch Identitätsdiebstahl bei ehemaligen Strafverfolgungsbeamten und verkauften online uneingeschränkten Zugang an andere Kriminelle
- Die Abfragen wurden auch für prominente Personen wie Elon Musk, Joe Rogan und Joe Biden genutzt; selbst wenn einige Daten nicht sensibel waren, wurde zumindest ein Teil als korrekt bestätigt
Abfrage persönlicher Daten, verkauft über einen Telegram-Bot
- Auf Telegram reichte die Eingabe von Name und Wohnsitz-Bundesstaat der Zielperson, und kurze Zeit später wurde eine Datei mit persönlichen Daten erstellt
- Die Datei enthielt Adressen, an denen die Zielperson in den USA gelebt hatte, darunter sogar Wohnheimadressen aus Studienzeiten von vor mehr als zehn Jahren
- Die mitgelieferten Informationen bestanden aus Angaben, die zur Identitätsprüfung und Verfolgung genutzt werden können
- Namen von Verwandten und Geburtsjahre
- Mobiltelefonnummern und Mobilfunkanbieter
- private E-Mail-Adressen
- Führerscheininformationen und eindeutige Identifikationsnummern
- Die vollständige Abfrage kostete Bitcoin im Wert von 15 Dollar, und der Bot lieferte gelegentlich auch Sozialversicherungsnummern für 20 Dollar
Missbrauch der Datenlieferkette von Kreditauskunfteien
- Das Tool scheint auf credit header-Daten zuzugreifen, die Experian, Equifax und TransUnion für viele Erwachsene in den USA vorhalten
- Credit header-Daten sind personenbezogene Informationen, die aus kreditkartenbezogenen Daten entstehen und über verschiedene Verträge und Käufe an andere Unternehmen weitergegeben werden
- Die weitergegebenen Daten gelangen unter anderem an Inkassobüros, Versicherer und Strafverfolgungsbehörden
- Kriminelle gelangten erfolgreich an diese Lieferkette; in einigen Fällen wurde dafür Identitätsdiebstahl bei ehemaligen Strafverfolgungsbeamten eingesetzt
- Das getestete Tool wurde auch zum Sammeln von Informationen über prominente Personen wie Elon Musk, Joe Rogan und Joe Biden verwendet und scheint ohne Zugriffsbeschränkungen nutzbar gewesen zu sein
- Die Überprüfung ergab, dass nicht alle Daten immer sensibel waren, aber zumindest ein Teil der Daten korrekt war
1 Kommentare
Meinungen auf Hacker News
Es lohnt sich auf jeden Fall, bei Experian, TransUnion und Equifax eine Kreditsperre einzurichten.
Beim ersten Einrichten ist es nervig, weil man jede Menge persönliche Daten angeben muss, aber wenn das einmal erledigt ist, ist das Sperren und Entsperren ziemlich einfach.
URL, Benutzername und Passwort in einer sicheren Notiz speichern und die Sperre nur für einen Tag oder eine Woche aufheben, wenn man einen Kreditantrag stellen muss.
Früher gab es viele Probleme mit Identitätsdiebstahl, bei denen in meinem Namen Kreditlinien eröffnet wurden; mit der Kreditsperre war das gelöst.
Experian: https://www.experian.com/freeze/center.html
TransUnion: https://www.transunion.com/credit-freeze
Equifax: https://www.equifax.com/personal/credit-report-services/cred...
Ich hasse diese Unternehmen wirklich, aber die Prozedur auf sich zu nehmen, hat sich gelohnt, und ich würde es jedem empfehlen.
Beim letzten Mal wurde mein Konto gesperrt, weil ich mich drei Jahre lang nicht angemeldet hatte, und es wurden viele zusätzliche Verifizierungen verlangt.
Die Verifizierung wirkt manchmal sogar unsicherer oder komplizierter, weil nach Informationen wie früheren Adressen gefragt wird, also genau nach Dingen, die auch schon beim ersten Einrichten abgefragt wurden.
Mit der Zeit kann es im unerwartetsten Moment passieren, dass die Kontobestätigung angeblich 60 Tage dauert und die Aufhebung der Sperre verhindert.
Jedes Mal, wenn so etwas passiert, sollten gegen den Aussteller massive Geldstrafen verhängt werden.
Bei solchen Betrugsfällen ist nicht die Privatperson das Opfer, sondern die Bank.
Meine Identität ist weiterhin bei mir; die Bank oder der Gläubiger hat nur durch eigene Nachlässigkeit sein eigenes Geld an einen Kriminellen gegeben.
Eine Privatperson, die damit nichts zu tun hatte, zum Opfer zu machen, ist eine unsinnige Fantasie, und die Gesetze sollten geändert werden, um diese Realität widerzuspiegeln.
Solange Banken die Kosten ihrer eigenen Nachlässigkeit auf unschuldige Menschen abwälzen können, werden sie weiterhin schlampig handeln.
Jedes Mal, wenn dieser Begriff in der öffentlichen Debatte auftaucht, sollte sich die Erkenntnis verbreiten, dass man die Täuschung durch „Identitätsdiebstahl“ zurückweisen muss.
Dazu passend ein Radio-Sketch von Mitchell and Webb: https://www.youtube.com/watch?v=CS9ptA3Ya9E
Ich musste mich damit herumschlagen, dass Betrüger nicht nur Mobilfunkverträge, sondern sogar den Strom für ihre Wohnung auf meinen Namen angemeldet hatten; nachdem ich dort die Sperre eingerichtet hatte, war das Problem gelöst.
Da ich überhaupt nie etwas gestartet habe, weiß ich nicht, ob ich sicher bin.
Um euch den Klick zu ersparen: Die Geheimwaffe besteht darin, in einer Telegram-Gruppe einem Kriminellen 15 Dollar zu zahlen, damit er jemanden doxt.
Der Großteil des Artikels handelt davon, woher diese Doxing-Dienste ihre Daten bekommen und wie sich diese Quellen verändern.
Derzeit ist TLOxp von TransUnion der beliebte Dienst.
TLOxp ist die neueste Version einer bahnbrechenden Technologie, die das Feld der Datenfusion eröffnet hat.
Als Einsatzbereiche von TLOxp werden Inkasso, Juristen, interne Rechtsabteilungen, lizenzierte Ermittler, Finanzdienstleistungen, Versicherungen, Unternehmensrisiken, investigative Journalisten, Strafverfolgungsbehörden, Behörden auf Bundesstaats-, Kommunal- und Bundesebene sowie Vermögensrückgewinnung und Pfändung aufgeführt.
Dort finden sich Fehler wie falsche Informationen, nach denen Finanzinstitute zur Identitätsprüfung fragen; deshalb vermute ich, dass die Quelle Kreditauskunfteien sind.
Es ist eine gute Idee, ein paarmal im Jahr nach dem eigenen Namen zu suchen und bei solchen Seiten Löschanfragen zu stellen.
Die meisten bearbeiten das ziemlich schnell.
Er sieht zwar wie so ein Clickbait-„erwischt“-Artikel aus, aber meiner Ansicht nach liefert er genau das, was die Überschrift verspricht.
Es geht darum, dass über schwach regulierte Abfragetools von Kreditauskunfteien Doxing und noch Schlimmeres verkauft wird.
Gab es etwas, das diese Behauptungen entkräftet?
Der Ansatz ist falsch.
Identität und Authentifizierung einer Person sollten nicht auf unveränderlichen und potenziell öffentlichen Informationen wie Sozialversicherungsnummer, Führerscheinnummer oder Adresshistorie beruhen.
Solche Informationen können auf viele Arten durchsickern, und wenn sie einmal geleakt sind, bleiben sie für immer draußen.
Wir brauchen ordentliche digitale Ausweise, Authentifizierung und Mechanismen zur Streitbeilegung.
Das wird nicht billig, aber langfristig sind die Alternativen teurer.
Das ist etwas umständlich, aber ziemlich schwer zu hacken.
Natürlich funktioniert es nicht, wenn man keinen Reisepass oder gleichwertigen Ausweis hat.
Man muss sich nur vorstellen, einen Kredit beantragen zu wollen und festzustellen, dass die eigene Identität widerrufen wurde und bereits jemand anderes sie übernommen hat.
TransUnion sagte, man „arbeite in den sehr seltenen Fällen, in denen ein Missbrauch von TLOxp festgestellt wird, mit Strafverfolgungsbehörden zusammen, um bei der strafrechtlichen Verfolgung der Verantwortlichen zu helfen“ – das ist völlig falsch.
TransUnion hat Hackern, die nur über öffentlich zugängliche Informationen verfügten, einmal meinen vollständigen Kreditbericht ausgehändigt und sich überhaupt nicht darum gekümmert.
Ich glaube nicht, dass das in nächster Zeit passiert.
Natürlich ist das ein enormer Aufwand.
Sie sagen nichts darüber, wie sehr sie sich kümmern oder wie viel Nachverfolgung sie nach einer Feststellung betreiben.
Es gibt noch etwas, das ich an Auskunfteien hasse.
Wenn man in eine Maklerfirma für Gewerbeimmobilien geht, hat dort jeder Makler eine Lizenz der Auskunfteien, und insbesondere Junior-Makler fragten täglich Immobilieneigentümer ab, um sie per Handy mit Kaltakquise anzurufen.
Auch TLO dürfte wissen, dass ein großer Teil der Gewerbeimmobilien-Maklerbranche sein Produkt nicht jeden Tag zu GLBA-Compliance-Zwecken nutzt, tut aber so, als sähe man es nicht, und sucht nach Wegen, das zu monetarisieren.
Man muss nicht einmal in die dunklen Ecken des Internets abtauchen, um an diese Informationen zu kommen.
Man kann einfach durch die Vordertür hineinspazieren.
„Wenn man von Kriminellen Geld für die Daten nimmt, ist das kein Datenleck.
Dann ist es eine Dienstleistung.“
— die Auskunfteien
Wenn jemand anruft und bereits viele meiner personenbezogenen Daten kennt, um zu beweisen, dass er „echt“ ist, sollte man personenbezogene Daten trotzdem niemals herausgeben.
Man sollte immer über eine selbst recherchierte Nummer zurückrufen, nicht über die Nummer, die sie einem nennen.
Früher gab es Fälle, in denen Betrüger anriefen und sich als Bank ausgaben und dann sagten, man solle die Nummer auf der Rückseite der Kreditkarte zurückrufen.
Das Opfer legte auf und hob wieder ab, während die Betrüger die Leitung hielten, einen falschen Wählton abspielten und eine andere Person „abheben“ ließen.
Bei unbekannten Nummern erst recht nicht.
Für das im Artikel behandelte Problem sind alle anfällig.
Ich glaube, es wird künftig noch schlimmer.
Es gibt Berge von Daten, die nicht kategorisiert wurden, weil sich niemand dafür interessiert hat, und jetzt können brauchbare große Sprachmodelle diese Arbeit übernehmen.
Diese ganze Branche sollte verboten werden.
Gerichte können Zahlungsausfälle bei Krediten erfassen und diese Informationen Gläubigern zur Verfügung stellen.
In einem Bericht sollte darüber hinaus nichts stehen.
Kreditgeber prüfen das Einkommen ohnehin bereits unabhängig, und bei Hypotheken prüfen sie auch die monatlichen Ausgaben.
Der Rest der Informationen, die in Kreditberichte einfließen und zur Berechnung von Kredit-Scores verwendet werden, wirkt, als solle er Menschen dazu zwingen, Kreditkarten abzuschließen, und strukturellen Rassismus fortschreiben.
Das war schon vor 20 Jahren offensichtlich, als Privatdetektive auf Hacker-Konferenzen alle möglichen Wege vorstellten, wie man die gewünschten Informationen legal bekommt.
Mit ein bisschen Suchen findet man ungefähr 500 Online-Dienste, die für kleines Geld private Informationen ausgraben.
Das sind Dienste, die nicht von Hackern, sondern von börsennotierten Unternehmen betrieben werden.
Offenbar hat nun jemand einen Bot gebaut, der das nur noch einfacher macht.
Für Hacker liest sich so ein Artikel wie ein Artikel darüber, dass „Türschlösser nicht sicher sind“.
Alles, was er hatte, waren mein Name und die Universität, die ich besuchte.
Als ich fragte, wie er an meine Nummer gekommen sei, sagte er, er habe einen Dienst wie die oben erwähnten genutzt.
Für jemanden, der es wirklich will, war so etwas nicht besonders schwer.
Man braucht nur die Telefonnummer der Person.
Trotzdem war schon vor 20 Jahren klar, dass man mit sehr wenig Wissen über eine Person – besonders wenn der Name nicht häufig ist – eine enorme Menge an Informationen finden kann.