„Bei Experian kann immer noch jeder ganz leicht Sie werden“

 (krebsonsecurity.com)
1 Punkte von GN⁺ 2023-11-12 | 1 Kommentare | Auf WhatsApp teilen

Anhaltende Sicherheitsprobleme bei Experian

  • Im Sommer 2022 wurde berichtet, dass Konten für Verbraucher-Kreditauskünfte bei Experian übernommen werden konnten, indem sie einfach mit einer anderen E-Mail-Adresse registriert wurden.
  • Auch 16 Monate später hat Experian dieses schwerwiegende Sicherheitsproblem nicht behoben.
  • Auch das Experian-Konto des Journalisten wurde kürzlich gehackt, und um den Zugriff wiederherzustellen, musste er ein neues Konto erstellen.

Der einfache Prozess der erneuten Kontoregistrierung

  • Nach Eingabe von SSN (Sozialversicherungsnummer) und Geburtsdatum bei Experian stellte der Journalist fest, dass das Konto mit einer E-Mail-Adresse verknüpft war, die er nicht verifiziert hatte.
  • Die Experian-Website verlangt SSN und Geburtsdatum, um den Benutzernamen eines Kontos zu finden, und zeigt dabei einen Teil einer nicht verifizierten E-Mail-Adresse an.
  • Experian erlaubt es weiterhin, ein Kreditakten-Konto mit persönlichen Daten und einer anderen E-Mail-Adresse neu zu erstellen.

Schwachstellen im Prozess der Kontoerstellung

  • Die Startseite von Experian verlangt SSN und Mobilnummer und gibt an, einen Link zur Verifizierung der Identität zu senden.
  • Nutzer können den Schritt zur Eingabe der Telefonnummer überspringen und müssen danach Name, Adresse, Geburtsdatum, SSN, E-Mail-Adresse und Passwort eingeben.
  • Anschließend müssen 3 bis 5 Multiple-Choice-Sicherheitsfragen beantwortet werden, die jedoch meist auf öffentlichen Registern basieren und daher leicht herauszufinden sind.

Fehlende E-Mail-Benachrichtigung bei Kontoänderungen

  • Wenn ein neues Konto erstellt wird, sendet Experian an die vorherige E-Mail-Adresse eine Benachrichtigung über Änderungen am Benutzerprofil.
  • Diese Mitteilung fordert jedoch keine Verifizierung der Änderungen an, und der ursprüngliche Nutzer kann außer über einen Link zum Login auf Experian.com nichts unternehmen.

Die Bedeutung eines Experian-Kontos

  • Wer noch kein Experian-Konto hat, kann eines erstellen, um E-Mail-Benachrichtigungen zu erhalten, wenn die eigene Kreditakte missbraucht wird.
  • Wird ein Konto übernommen, werden bestehende Login-Daten, PIN und Fragen zur Kontowiederherstellung allesamt geändert, sodass man praktisch keine andere Wahl hat, als das Konto neu zu erstellen, um es dem Angreifer wieder abzunehmen.

Vergleich mit anderen Kreditauskunfteien

  • Andere große Verbraucherkreditauskunfteien wie Equifax oder TransUnion verlangen bei Kontoänderungen die Eingabe eines Codes, der an die in der Akte hinterlegte E-Mail-Adresse oder Telefonnummer gesendet wird.

Reaktion von Experian

  • Experian-Sprecher Scott Anderson lehnte es ab, Informationen über nicht verifizierte E-Mail-Adressen weiterzugeben.
  • Anderson erklärte, Experian setze auf einen mehrschichtigen Sicherheitsansatz, einschließlich wissensbasierter Fragen und Antworten sowie Verfahren zur Verifizierung von Gerätebesitz und -verfügbarkeit.

Problematische Wirksamkeit mehrerer Authentifizierungsfaktoren

  • Alle Verbraucher haben zwar die Möglichkeit, zusätzliche Authentifizierungsfaktoren zu aktivieren, die bei jedem Login abgefragt werden, doch wenn sich ein Konto mit neuer Telefonnummer und neuer E-Mail-Adresse neu erstellen lässt, ist das praktisch wirkungslos.

Experimente von Mastodon-Nutzern

  • Mastodon-Nutzer testeten die Sicherheitsprobleme von Experian und bestätigten damit die Entdeckungen des Journalisten.
  • Als Experian nach Telefonnummer und den letzten vier Ziffern der SSN fragte, wählten die Nutzer die Option „meine Informationen manuell eingeben“ und trugen eine neue Telefonnummer sowie eine neue E-Mail-Adresse ein.
  • Für die ursprüngliche E-Mail-Adresse war keinerlei Verifizierung erforderlich, während die 2FA (Zwei-Faktor-Authentifizierung) über die neue Telefonnummer erfolgte.

Frühere Sicherheitsprobleme bei Experian

  • Im Dezember 2022 entdeckte KrebsOnSecurity eine einfache Methode, mit der sich die Sicherheit von Experian umgehen und auf den vollständigen Kreditbericht eines beliebigen Verbrauchers zugreifen ließ.
  • Im April 2021 deckte KrebsOnSecurity Identitätsdiebe auf, die durch die lockere Authentifizierung auf der PIN-Abfrageseite von Experian Verbraucherkreditakten entsperrten.
  • Experian wurde auch in der Vergangenheit wiederholt wegen verschiedener Sicherheitsprobleme kritisiert.

Meinung von GN⁺

  • Der wichtigste Punkt ist, dass Experian weiterhin schwerwiegende Sicherheitslücken nicht behebt, wodurch die Kreditinformationen der Nutzer gefährdet sein können.
  • Der Artikel schafft wichtiges Bewusstsein dafür, welche Maßnahmen Verbraucher zum Schutz ihrer Kreditinformationen ergreifen sollten.
  • Die Sicherheitsprobleme von Experian stehen in direktem Zusammenhang mit dem Schutz personenbezogener Daten und sind damit für alle von großer Bedeutung.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-11-12
Hacker-News-Kommentare

  • Die Kunden der Spionagefirmen sind nicht wir, aber es ist erstaunlich, dass das Fehlen von Sicherheit für die eigentlichen Kunden kein Grund ist, Geschäfte abzubrechen.

    • Da die Sicherheit von Spionagefirmen sehr schwach ist und ihre Dienste genutzt werden können, um sich als andere auszugeben, wird der Sinn der Existenz solcher Dienste infrage gestellt.

  • Wenn die Konten von Experian-Führungskräften weiterhin auf dieselbe Weise gehackt werden, wird sich irgendwann etwas ändern.

    • Es wird vermutet, dass es Veränderungen bei diesem Problem geben könnte, wenn Experian-Führungskräfte wiederholt Kontoübernahmen erleben.

  • Ich kann nicht verstehen, wie Experian einer Klage entgehen kann, obwohl das Unternehmen beim Schutz seiner Kunden versagt hat.

    • Es wird Unverständnis darüber ausgedrückt, auf welcher rechtlichen Grundlage Experian weiterarbeiten kann, obwohl es Kundendaten nicht schützen konnte.

  • In den letzten Wochen habe ich ununterbrochen Bestätigungs-E-Mails über den Kauf von Smartphones und Laptops auf meinen Namen von großen Einzelhändlern erhalten.

    • Es wird geschildert, dass Kaufbestätigungen mit dem eigenen Namen und der Ausweisnummer eingegangen sind und dass trotz Kontaktaufnahme mit Händlern und Polizei eine Lösung schwerfällt.

  • Mein Experian-Konto wurde gehackt, die Sperre wurde aufgehoben und es wurde genutzt, um einen Kredit über 100.000 Dollar bei Ford Credit aufzunehmen.

    • Es wird aus eigener Erfahrung berichtet, dass nach dem Hack des Experian-Kontos ein großer Kredit aufgenommen wurde und die Klärung sehr lange dauerte.

  • Bei resistbot gibt es eine Petition, die Gesetzgeber zu Aufmerksamkeit für dieses Problem auffordert.

    • Es wird ein Link zu einer Online-Petition geteilt, die gesetzgeberische Aufmerksamkeit für dieses Problem einfordert.

  • Wir brauchen eine bessere Alternative zu Kreditberichten.

    • Es wird kritisch angemerkt, dass Banken und Kreditgeber, nachdem sie nicht mehr direkt rassistisch diskriminieren konnten, mit dem Kredit-Score ein indirektes Mittel zur Diskriminierung nutzen.

  • Ich frage mich, ob es eine Möglichkeit gibt, sich bei einer der drei Kreditauskunfteien dem Kredit-Score zu entziehen.

    • Es wird nach Informationen gesucht, wie man als Verbraucher bei einer der Kreditauskunfteien aus dem Kredit-Scoring herauskommen könnte, um Wettbewerb zu fördern.

  • Wenn leichter Betrug auftritt (ein gescheiterter Versuch, ein Konto zu eröffnen, oder ein Datenleck), kann man bei allen Auskunfteien einen Betrugsalarm und eine Kreditsperre einrichten, was für eine gewisse Zeit unnötige Post und das Risiko echter Betrugskonten verringern kann.

    • Es wird erklärt, dass sich durch Betrugsalarm und Kreditsperre zusätzliche Verifizierungsschritte erzwingen lassen und dadurch verschiedene Probleme verhindert werden können.

  • Ich habe versucht, mich auf der Experian-Website anzumelden, aber die Seite war so instabil, dass ich mich nicht einmal einloggen konnte.

    • Es wird berichtet, dass es wegen Funktionsproblemen auf der Experian-Website schwierig war, auf das eigene Konto zuzugreifen.