1 पॉइंट द्वारा GN⁺ 2023-08-23 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • सिर्फ नाम और निवास वाले राज्य से पुराने पते, रिश्तेदारों, फोन नंबर, ईमेल और ड्राइविंग लाइसेंस जानकारी वाली फाइल मिल सकती थी, और lookup की लागत $15 के बराबर Bitcoin थी
  • यह टूल Experian, Equifax और TransUnion के पास मौजूद credit header डेटा तक पहुंचता प्रतीत होता है, और कुछ मामलों में 20 डॉलर में Social Security Number (SSN) भी देता है
  • credit header अमेरिका के कई वयस्कों की credit card से जुड़ी जानकारी से बना personal data है, जो contracts और purchases के जरिए debt collection agencies, insurance companies और law enforcement agencies तक पहुंचता है
  • अपराधियों ने पूर्व law enforcement officer की पहचान चोरी जैसे तरीकों से डेटा सप्लाई चेन तक पहुंच बनाई, और ऑनलाइन अन्य अपराधियों को unrestricted access बेचा
  • इसका इस्तेमाल Elon Musk, Joe Rogan और Joe Biden जैसी मशहूर हस्तियों को lookup करने में भी हुआ; भले ही कुछ डेटा संवेदनशील न हो, कम से कम कुछ डेटा सही पाया गया

Telegram bot के जरिए बेचा जा रहा personal information lookup

  • Telegram पर लक्ष्य व्यक्ति का सिर्फ नाम और निवास वाला राज्य डालने पर थोड़ी देर बाद personal information वाली फाइल बन जाती थी
  • फाइल में वे पते शामिल थे जहां लक्ष्य व्यक्ति अमेरिका में रहा था, और 10 साल से भी पुराने university dorm address तक शामिल थे
  • साथ में दी गई जानकारी पहचान की पुष्टि और tracking में इस्तेमाल हो सकने वाली चीजों से बनी थी
    • रिश्तेदारों के नाम और जन्म वर्ष
    • मोबाइल फोन नंबर और carrier
    • निजी email address
    • ड्राइविंग लाइसेंस जानकारी और unique identification number
  • पूरे lookup की लागत $15 के बराबर Bitcoin थी, और bot कभी-कभी 20 डॉलर में Social Security Number देता था

credit bureau डेटा सप्लाई चेन का दुरुपयोग

  • यह टूल अमेरिका के कई वयस्कों के लिए Experian, Equifax और TransUnion के पास मौजूद credit header डेटा तक पहुंचता प्रतीत होता है
  • credit header डेटा credit card से जुड़ी जानकारी से बना personal data है, और कई contracts और purchases के जरिए दूसरी कंपनियों तक जाता है
  • आगे बढ़ा हुआ यह डेटा debt collection agencies, insurance companies और law enforcement agencies को उपलब्ध होने वाले रास्तों से गुजरता है
  • अपराधी इस सप्लाई चेन तक पहुंच बनाने में सफल रहे, और कुछ मामलों में पूर्व law enforcement officer की पहचान चोरी का इस्तेमाल हुआ
  • परीक्षण किए गए टूल का इस्तेमाल Elon Musk, Joe Rogan और Joe Biden जैसी मशहूर हस्तियों की जानकारी जुटाने में भी हुआ, और यह बिना access restrictions के इस्तेमाल होता दिखा
  • verification में पाया गया कि सभी डेटा हमेशा संवेदनशील नहीं था, लेकिन कम से कम कुछ डेटा सही था

1 टिप्पणियां

 
GN⁺ 2023-08-23
Hacker News की राय
  • Experian, TransUnion, Equifax—इन तीनों पर credit freeze सेट करके रखना वाकई फायदेमंद है
    पहली बार सेट करते समय बहुत सारी निजी जानकारी देनी पड़ती है, इसलिए झुंझलाहट होती है, लेकिन एक बार हो जाने के बाद freeze लगाना और हटाना काफी आसान हो जाता है
    URL, username और password को किसी सुरक्षित note में रख दें, और जब credit के लिए apply करना हो तो सिर्फ एक दिन या एक हफ्ते के लिए freeze हटा दें
    पहले मेरे नाम पर credit खोलने वाली identity theft की समस्या बहुत होती थी, लेकिन credit freeze से वह हल हो गई
    Experian: https://www.experian.com/freeze/center.html
    TransUnion: https://www.transunion.com/credit-freeze
    Equifax: https://www.equifax.com/personal/credit-report-services/cred...
    मैं इन कंपनियों से सचमुच नफरत करता हूं, लेकिन इस संदर्भ प्रक्रिया से गुजरना इसके लायक था और मैं इसे हर किसी को recommend करूंगा

    • लंबे समय से credit freeze इस्तेमाल करने वाले के तौर पर, जब भी मैं freeze हटाने की कोशिश करता हूं, तो लगता है कि तीन संस्थाओं में से किसी एक ने process बदल दिया है और पहले सेट किए username और password से unlock नहीं होता
      पिछली बार 3 साल तक login न करने के कारण account lock हो गया था और काफी extra verification मांगी गई
      verification कभी-कभी पुराने address जैसी वही जानकारी होती है जो पहली बार सेट करते समय पूछी गई थी, इसलिए उल्टा असुरक्षित लगती है, और कभी-कभी और भी जटिल होती है
      समय बीतने पर, सबसे अनपेक्षित समय पर account verification में 60 दिन लगने की बात कहकर freeze हटाने से रोका जा सकता है
    • यह काफी अजीब है कि credit issuer ठीक से due diligence भी न करें, किसी और के नाम पर credit जारी कर दें, और फिर उसका झंझट असली व्यक्ति पर डाल दें
      हर बार ऐसा होने पर issuer पर भारी जुर्माना लगना चाहिए
    • बैंकों द्वारा आगे बढ़ाया गया identity theft शब्द ही भ्रामक है
      इस तरह के fraud में पीड़ित व्यक्ति नहीं, बैंक होता है
      मेरी identity अब भी मेरे पास है; बैंक या creditor ने अपनी लापरवाही से अपना पैसा अपराधी को दे दिया, बस
      जिस व्यक्ति का कोई involvement नहीं था, उसे पीड़ित बना देना एक बेतुकी fantasy है, और कानून को भी इस हकीकत को दर्शाने के लिए बदलना चाहिए
      जब तक बैंक अपनी लापरवाही की लागत निर्दोष लोगों पर डाल सकते हैं, वे ढीला-ढाला रवैया जारी रखेंगे
      सार्वजनिक चर्चा में जब भी यह शब्द आए, “identity theft” वाले इस भ्रम को खारिज करने की सोच फैलनी चाहिए
      संबंधित Mitchell and Webb radio sketch: https://www.youtube.com/watch?v=CS9ptA3Ya9E
    • बहुत लोगों को पता नहीं है, लेकिन https://nctue.com/consumers/ पर भी freeze सेट करना चाहिए
      scammers ने न सिर्फ मेरे नाम पर mobile phone connection लिया, बल्कि अपने apartment की बिजली भी मेरे नाम पर apply की; यह सब संभालना पड़ा, और यहां freeze setting करने से मामला हल हुआ
    • सोच रहा हूं कि अगर मैंने जिंदगी में कभी कर्ज लिया ही नहीं, तब भी क्या मुझे यह करना चाहिए
      क्योंकि मैंने शुरू से ही कुछ शुरू नहीं किया, तो पता नहीं मैं safe हूं या नहीं
  • अगर आपका click बचाना हो, तो secret weapon यह है कि Telegram group में किसी अपराधी को 15 डॉलर देकर किसी का dox करवाया जाए
    article का ज्यादातर हिस्सा इस बारे में है कि वे doxing services data कहां से लाती हैं, और वह source कैसे बदलता रहता है
    फिलहाल TransUnion का TLOxp लोकप्रिय service है

    • यानी शायद इसका मतलब यह है कि जब मैं credit card या job के लिए apply करता हूं तो जिस data तक कोई भी company पहुंच सकती है, वही data उन दूसरे लोगों को भी मिलता है जिन्हें मेरी consent की परवाह नहीं लेकिन पैसे हैं
    • https://www.tlo.com/about-us
      TLOxp उस game-changing technology का latest version है जिसने data fusion के field को खोल दिया था
      TLOxp के उपयोगों में debt collection, legal professionals, in-house legal, licensed investigators, financial services, insurance, corporate risk, investigative journalists, law enforcement, state/local/federal government, asset recovery और repossession गिनाए गए हैं
    • कुछ people search sites पर article में बताए गए data का ज्यादातर हिस्सा free में उपलब्ध है
      उनमें वही गलत जानकारी जैसी errors होती हैं जो financial institutions identity verify करने के लिए पूछती हैं, इसलिए लगता है कि source credit bureau ही होगा
      साल में कुछ बार अपने नाम से search करना और ऐसी sites पर deletion requests डालना अच्छा है
      ज्यादातर sites इसे काफी जल्दी process कर देती हैं
    • यह प्रतिक्रिया article को कुछ ज्यादा ही हल्के में लेती लगती है
      यह किसी clickbait “पकड़े गए” article जैसा दिख सकता है, लेकिन मेरे हिसाब से title ने जो वादा किया था, वही ठीक-ठीक बताया है
      बात यह है कि credit bureaus द्वारा दिए जाने वाले कम regulated lookup tools के जरिए doxing और उससे भी बदतर चीजें बेची जा रही हैं
      क्या ऐसा कुछ था जो इन दावों को कमजोर करता हो?
  • approach ही गलत है
    किसी व्यक्ति की identity और authentication को Social Security number, driver’s license number, address history जैसी अपरिवर्तनीय और सार्वजनिक हो सकने वाली जानकारी पर आधारित नहीं होना चाहिए
    ऐसी जानकारी leak होने के बहुत रास्ते हैं, और एक बार leak हो जाए तो हमेशा के लिए रह जाती है
    सही digital ID, authentication और dispute resolution mechanism की जरूरत है
    यह सस्ता नहीं होगा, लेकिन लंबे समय में विकल्प और महंगे पड़ते हैं

    • असहमत तो नहीं हूं, लेकिन digital ID बना दी गई तो free internet आखिरकार स्थायी रूप से मर जाएगा
    • हाल में bank या brokerage account खोलने में लगता है कि असल में passport की photo लेना, और passport पकड़े हुए selfie या video लेना—इस तरीके की ओर shift हो रहा है
      थोड़ा झंझट है, लेकिन hack करना काफी मुश्किल है
      हां, अगर passport या उसके बराबर की ID नहीं है तो यह काम नहीं करेगा
    • identity thieves को ऐसा system बहुत पसंद आएगा जिसमें एक बार breach हो जाए तो वे किसी की identity पर पूरी तरह कब्जा कर सकें
      कल्पना कीजिए कि आप loan लेने जा रहे हैं और पता चलता है कि आपकी identity cancel हो चुकी है और कोई दूसरा उसे पहले ही ले चुका है
  • TransUnion ने कहा था कि “TLOxp के दुरुपयोग की पुष्टि होने के बेहद दुर्लभ मामलों में, हम law enforcement agencies के साथ मिलकर जिम्मेदार लोगों पर मुकदमा चलाने में मदद करते हैं”, लेकिन यह पूरी तरह झूठ है
    TransUnion ने सिर्फ सार्वजनिक जानकारी रखने वाले hackers को मेरी पूरी credit report दे दी थी, और उन्हें इसकी बिल्कुल परवाह नहीं थी

    • उम्मीद है कि TransUnion के जिम्मेदार लोगों पर मुकदमा चलाने के लिए law enforcement agencies के साथ सहयोग किया जा सकेगा
    • अगर खराब data retention के वास्तविक नतीजे होते—मसलन “माफ़ कीजिए, हम आपको free credit monitoring देंगे” जैसी बकवास नहीं, बल्कि सचमुच चुभने वाले स्तर के जुर्माने—तो credit bureaus भी अपना रवैया बदल चुके होते
      फिलहाल ऐसा कुछ जल्द होता नहीं दिखता
    • अगर आपके पास संसाधन हैं, तो TransUnion की गैरकानूनी हरकतों के खिलाफ civil lawsuit दायर करना उचित हो सकता है
      बेशक, यह बहुत बड़ी झंझट है
    • अगर आप किसी वकील के साथ आगे बढ़ने को तैयार हैं, तो मुझे लगता है कि वे subpoena का पालन करेंगे
    • वे खुद भी कहते हैं, “दुरुपयोग की पुष्टि होने के बेहद दुर्लभ मामलों में”
      वे यह बिल्कुल नहीं बताते कि वे कितनी परवाह करते हैं या पुष्टि के बाद कितनी follow-up कार्रवाई करते हैं
  • credit bureaus के बारे में एक और बात है जो मुझे नापसंद है
    अगर आप किसी commercial real estate brokerage में जाएँ, तो पाएँगे कि हर broker के पास credit bureau license है, और खासकर junior brokers हर दिन property owners को look up करके मोबाइल पर sales calls कर रहे थे
    TLO को भी पता होगा कि commercial real estate brokerage industry का बड़ा हिस्सा उसके product को हर दिन GLBA compliance purposes के लिए नहीं इस्तेमाल कर रहा है, फिर भी वह अनदेखी करके इसे monetize करने का रास्ता ढूँढता है
    यह जानकारी पाने के लिए internet के अंधेरे कोनों में जाने की भी जरूरत नहीं है
    बस सामने के दरवाजे से अंदर चले जाइए

  • “अगर आप अपराधी से data की कीमत लेते हैं, तो वह data breach नहीं है
    तब वह service provision है”
    — credit bureaus

  • अगर कोई आपको call करके कहे कि उसे आपकी काफी personal information पहले से पता है और वह खुद को “असली” साबित करने की कोशिश करे, तो कभी भी personal information न दें
    हमेशा उनके बताए नंबर पर नहीं, बल्कि खुद खोजे हुए नंबर पर वापस call करें

    • अगर landline हो, तो उसी phone से वापस call न करना भी अहम है जिस पर call आई थी
      पहले fraudsters ने bank बनकर call किया था और कहा था कि credit card के पीछे दिए नंबर पर वापस call करें
      victim ने call काटकर फिर receiver उठाया, तो fraudsters line पकड़े रहे, fake dial tone चलाई और किसी दूसरे व्यक्ति के “उठाने” जैसा करके धोखा दिया
    • आजकल call उठाता ही कौन है?
      अनजान नंबर हो तो और भी नहीं
    • यह उस बात से संबंधित नहीं है
      article में जिस समस्या की बात है, उसमें हर कोई vulnerable है
  • आगे चीजें और खराब होने वाली लगती हैं
    data के ढेर लगे हैं जिन्हें इसलिए classify नहीं किया गया क्योंकि किसी ने ध्यान नहीं दिया, और अब अच्छे large language models वह काम कर सकते हैं

  • उस पूरी industry पर ban लगना चाहिए
    courts loan defaults को record करें और वह जानकारी creditors को दें
    report में इसके अलावा कुछ भी नहीं होना चाहिए
    lenders पहले से ही income को independently verify करते हैं, और mortgage loans के मामले में monthly expenses भी check करते हैं
    credit report में जाने वाली और credit score calculate करने में इस्तेमाल होने वाली बाकी जानकारी लोगों को credit cards बनवाने के लिए मजबूर करने और structural racism को जारी रखने के लिए लगती है

  • यह बात 20 साल पहले भी साफ थी, जब private investigators hacker conferences में वह सब तरीके पेश करते थे जिनसे वे चाही गई जानकारी legally हासिल कर सकते थे
    थोड़ी-सी searching से ऐसी करीब 500 online services मिल जाती हैं जो थोड़े पैसे में private information निकाल सकती हैं
    ये hackers नहीं, बल्कि publicly listed companies चलाती हैं
    लगता है अब किसी ने बस ऐसा bot बना दिया है जो यह काम और आसान कर देता है
    hackers को ऐसे articles “door locks सुरक्षित नहीं हैं” वाली खबर जैसे लगते हैं

    • 20 साल से थोड़ा कम पहले, उस समय जिस girlfriend को मैं date कर रहा था, उसके ex-boyfriend का call आया था कि पीछे हट जाओ
      उसके पास सिर्फ मेरा नाम और वह university थी जहाँ मैं पढ़ता था
      मैंने पूछा कि उसे मेरा नंबर कैसे मिला, तो उसने कहा कि उसने ऊपर बताए जैसे किसी service का इस्तेमाल किया
      जो व्यक्ति ठान ले, उसके लिए यह काम खास मुश्किल नहीं था
    • whitepages.com ही 20 डॉलर background check खरीदने पर काफी public data खोलकर इकट्ठा कर देता है
      जरूरत बस उस व्यक्ति के phone number की होती है
    • deep web की बहुत-सी सामग्री करीब 20 डॉलर की paywall के पीछे चली गई है, इसलिए मैंने कुछ समय से नहीं देखा
      फिर भी 20 साल पहले भी यह साफ था कि किसी व्यक्ति के बारे में बहुत थोड़ा जानने पर भी, खासकर अगर उसका नाम आम न हो, तो बहुत बड़ी मात्रा में जानकारी मिल सकती है