$15 में अमेरिकियों की निजी जानकारी उजागर करने के लिए credit bureau डेटा सप्लाई चेन का दुरुपयोग
(404media.co)- सिर्फ नाम और निवास वाले राज्य से पुराने पते, रिश्तेदारों, फोन नंबर, ईमेल और ड्राइविंग लाइसेंस जानकारी वाली फाइल मिल सकती थी, और lookup की लागत $15 के बराबर Bitcoin थी
- यह टूल Experian, Equifax और TransUnion के पास मौजूद credit header डेटा तक पहुंचता प्रतीत होता है, और कुछ मामलों में 20 डॉलर में Social Security Number (SSN) भी देता है
- credit header अमेरिका के कई वयस्कों की credit card से जुड़ी जानकारी से बना personal data है, जो contracts और purchases के जरिए debt collection agencies, insurance companies और law enforcement agencies तक पहुंचता है
- अपराधियों ने पूर्व law enforcement officer की पहचान चोरी जैसे तरीकों से डेटा सप्लाई चेन तक पहुंच बनाई, और ऑनलाइन अन्य अपराधियों को unrestricted access बेचा
- इसका इस्तेमाल Elon Musk, Joe Rogan और Joe Biden जैसी मशहूर हस्तियों को lookup करने में भी हुआ; भले ही कुछ डेटा संवेदनशील न हो, कम से कम कुछ डेटा सही पाया गया
Telegram bot के जरिए बेचा जा रहा personal information lookup
- Telegram पर लक्ष्य व्यक्ति का सिर्फ नाम और निवास वाला राज्य डालने पर थोड़ी देर बाद personal information वाली फाइल बन जाती थी
- फाइल में वे पते शामिल थे जहां लक्ष्य व्यक्ति अमेरिका में रहा था, और 10 साल से भी पुराने university dorm address तक शामिल थे
- साथ में दी गई जानकारी पहचान की पुष्टि और tracking में इस्तेमाल हो सकने वाली चीजों से बनी थी
- रिश्तेदारों के नाम और जन्म वर्ष
- मोबाइल फोन नंबर और carrier
- निजी email address
- ड्राइविंग लाइसेंस जानकारी और unique identification number
- पूरे lookup की लागत $15 के बराबर Bitcoin थी, और bot कभी-कभी 20 डॉलर में Social Security Number देता था
credit bureau डेटा सप्लाई चेन का दुरुपयोग
- यह टूल अमेरिका के कई वयस्कों के लिए Experian, Equifax और TransUnion के पास मौजूद credit header डेटा तक पहुंचता प्रतीत होता है
- credit header डेटा credit card से जुड़ी जानकारी से बना personal data है, और कई contracts और purchases के जरिए दूसरी कंपनियों तक जाता है
- आगे बढ़ा हुआ यह डेटा debt collection agencies, insurance companies और law enforcement agencies को उपलब्ध होने वाले रास्तों से गुजरता है
- अपराधी इस सप्लाई चेन तक पहुंच बनाने में सफल रहे, और कुछ मामलों में पूर्व law enforcement officer की पहचान चोरी का इस्तेमाल हुआ
- परीक्षण किए गए टूल का इस्तेमाल Elon Musk, Joe Rogan और Joe Biden जैसी मशहूर हस्तियों की जानकारी जुटाने में भी हुआ, और यह बिना access restrictions के इस्तेमाल होता दिखा
- verification में पाया गया कि सभी डेटा हमेशा संवेदनशील नहीं था, लेकिन कम से कम कुछ डेटा सही था
1 टिप्पणियां
Hacker News की राय
Experian, TransUnion, Equifax—इन तीनों पर credit freeze सेट करके रखना वाकई फायदेमंद है
पहली बार सेट करते समय बहुत सारी निजी जानकारी देनी पड़ती है, इसलिए झुंझलाहट होती है, लेकिन एक बार हो जाने के बाद freeze लगाना और हटाना काफी आसान हो जाता है
URL, username और password को किसी सुरक्षित note में रख दें, और जब credit के लिए apply करना हो तो सिर्फ एक दिन या एक हफ्ते के लिए freeze हटा दें
पहले मेरे नाम पर credit खोलने वाली identity theft की समस्या बहुत होती थी, लेकिन credit freeze से वह हल हो गई
Experian: https://www.experian.com/freeze/center.html
TransUnion: https://www.transunion.com/credit-freeze
Equifax: https://www.equifax.com/personal/credit-report-services/cred...
मैं इन कंपनियों से सचमुच नफरत करता हूं, लेकिन इस संदर्भ प्रक्रिया से गुजरना इसके लायक था और मैं इसे हर किसी को recommend करूंगा
पिछली बार 3 साल तक login न करने के कारण account lock हो गया था और काफी extra verification मांगी गई
verification कभी-कभी पुराने address जैसी वही जानकारी होती है जो पहली बार सेट करते समय पूछी गई थी, इसलिए उल्टा असुरक्षित लगती है, और कभी-कभी और भी जटिल होती है
समय बीतने पर, सबसे अनपेक्षित समय पर account verification में 60 दिन लगने की बात कहकर freeze हटाने से रोका जा सकता है
हर बार ऐसा होने पर issuer पर भारी जुर्माना लगना चाहिए
इस तरह के fraud में पीड़ित व्यक्ति नहीं, बैंक होता है
मेरी identity अब भी मेरे पास है; बैंक या creditor ने अपनी लापरवाही से अपना पैसा अपराधी को दे दिया, बस
जिस व्यक्ति का कोई involvement नहीं था, उसे पीड़ित बना देना एक बेतुकी fantasy है, और कानून को भी इस हकीकत को दर्शाने के लिए बदलना चाहिए
जब तक बैंक अपनी लापरवाही की लागत निर्दोष लोगों पर डाल सकते हैं, वे ढीला-ढाला रवैया जारी रखेंगे
सार्वजनिक चर्चा में जब भी यह शब्द आए, “identity theft” वाले इस भ्रम को खारिज करने की सोच फैलनी चाहिए
संबंधित Mitchell and Webb radio sketch: https://www.youtube.com/watch?v=CS9ptA3Ya9E
scammers ने न सिर्फ मेरे नाम पर mobile phone connection लिया, बल्कि अपने apartment की बिजली भी मेरे नाम पर apply की; यह सब संभालना पड़ा, और यहां freeze setting करने से मामला हल हुआ
क्योंकि मैंने शुरू से ही कुछ शुरू नहीं किया, तो पता नहीं मैं safe हूं या नहीं
अगर आपका click बचाना हो, तो secret weapon यह है कि Telegram group में किसी अपराधी को 15 डॉलर देकर किसी का dox करवाया जाए
article का ज्यादातर हिस्सा इस बारे में है कि वे doxing services data कहां से लाती हैं, और वह source कैसे बदलता रहता है
फिलहाल TransUnion का TLOxp लोकप्रिय service है
TLOxp उस game-changing technology का latest version है जिसने data fusion के field को खोल दिया था
TLOxp के उपयोगों में debt collection, legal professionals, in-house legal, licensed investigators, financial services, insurance, corporate risk, investigative journalists, law enforcement, state/local/federal government, asset recovery और repossession गिनाए गए हैं
उनमें वही गलत जानकारी जैसी errors होती हैं जो financial institutions identity verify करने के लिए पूछती हैं, इसलिए लगता है कि source credit bureau ही होगा
साल में कुछ बार अपने नाम से search करना और ऐसी sites पर deletion requests डालना अच्छा है
ज्यादातर sites इसे काफी जल्दी process कर देती हैं
यह किसी clickbait “पकड़े गए” article जैसा दिख सकता है, लेकिन मेरे हिसाब से title ने जो वादा किया था, वही ठीक-ठीक बताया है
बात यह है कि credit bureaus द्वारा दिए जाने वाले कम regulated lookup tools के जरिए doxing और उससे भी बदतर चीजें बेची जा रही हैं
क्या ऐसा कुछ था जो इन दावों को कमजोर करता हो?
approach ही गलत है
किसी व्यक्ति की identity और authentication को Social Security number, driver’s license number, address history जैसी अपरिवर्तनीय और सार्वजनिक हो सकने वाली जानकारी पर आधारित नहीं होना चाहिए
ऐसी जानकारी leak होने के बहुत रास्ते हैं, और एक बार leak हो जाए तो हमेशा के लिए रह जाती है
सही digital ID, authentication और dispute resolution mechanism की जरूरत है
यह सस्ता नहीं होगा, लेकिन लंबे समय में विकल्प और महंगे पड़ते हैं
थोड़ा झंझट है, लेकिन hack करना काफी मुश्किल है
हां, अगर passport या उसके बराबर की ID नहीं है तो यह काम नहीं करेगा
कल्पना कीजिए कि आप loan लेने जा रहे हैं और पता चलता है कि आपकी identity cancel हो चुकी है और कोई दूसरा उसे पहले ही ले चुका है
TransUnion ने कहा था कि “TLOxp के दुरुपयोग की पुष्टि होने के बेहद दुर्लभ मामलों में, हम law enforcement agencies के साथ मिलकर जिम्मेदार लोगों पर मुकदमा चलाने में मदद करते हैं”, लेकिन यह पूरी तरह झूठ है
TransUnion ने सिर्फ सार्वजनिक जानकारी रखने वाले hackers को मेरी पूरी credit report दे दी थी, और उन्हें इसकी बिल्कुल परवाह नहीं थी
फिलहाल ऐसा कुछ जल्द होता नहीं दिखता
बेशक, यह बहुत बड़ी झंझट है
वे यह बिल्कुल नहीं बताते कि वे कितनी परवाह करते हैं या पुष्टि के बाद कितनी follow-up कार्रवाई करते हैं
credit bureaus के बारे में एक और बात है जो मुझे नापसंद है
अगर आप किसी commercial real estate brokerage में जाएँ, तो पाएँगे कि हर broker के पास credit bureau license है, और खासकर junior brokers हर दिन property owners को look up करके मोबाइल पर sales calls कर रहे थे
TLO को भी पता होगा कि commercial real estate brokerage industry का बड़ा हिस्सा उसके product को हर दिन GLBA compliance purposes के लिए नहीं इस्तेमाल कर रहा है, फिर भी वह अनदेखी करके इसे monetize करने का रास्ता ढूँढता है
यह जानकारी पाने के लिए internet के अंधेरे कोनों में जाने की भी जरूरत नहीं है
बस सामने के दरवाजे से अंदर चले जाइए
“अगर आप अपराधी से data की कीमत लेते हैं, तो वह data breach नहीं है
तब वह service provision है”
— credit bureaus
अगर कोई आपको call करके कहे कि उसे आपकी काफी personal information पहले से पता है और वह खुद को “असली” साबित करने की कोशिश करे, तो कभी भी personal information न दें
हमेशा उनके बताए नंबर पर नहीं, बल्कि खुद खोजे हुए नंबर पर वापस call करें
पहले fraudsters ने bank बनकर call किया था और कहा था कि credit card के पीछे दिए नंबर पर वापस call करें
victim ने call काटकर फिर receiver उठाया, तो fraudsters line पकड़े रहे, fake dial tone चलाई और किसी दूसरे व्यक्ति के “उठाने” जैसा करके धोखा दिया
अनजान नंबर हो तो और भी नहीं
article में जिस समस्या की बात है, उसमें हर कोई vulnerable है
आगे चीजें और खराब होने वाली लगती हैं
data के ढेर लगे हैं जिन्हें इसलिए classify नहीं किया गया क्योंकि किसी ने ध्यान नहीं दिया, और अब अच्छे large language models वह काम कर सकते हैं
उस पूरी industry पर ban लगना चाहिए
courts loan defaults को record करें और वह जानकारी creditors को दें
report में इसके अलावा कुछ भी नहीं होना चाहिए
lenders पहले से ही income को independently verify करते हैं, और mortgage loans के मामले में monthly expenses भी check करते हैं
credit report में जाने वाली और credit score calculate करने में इस्तेमाल होने वाली बाकी जानकारी लोगों को credit cards बनवाने के लिए मजबूर करने और structural racism को जारी रखने के लिए लगती है
यह बात 20 साल पहले भी साफ थी, जब private investigators hacker conferences में वह सब तरीके पेश करते थे जिनसे वे चाही गई जानकारी legally हासिल कर सकते थे
थोड़ी-सी searching से ऐसी करीब 500 online services मिल जाती हैं जो थोड़े पैसे में private information निकाल सकती हैं
ये hackers नहीं, बल्कि publicly listed companies चलाती हैं
लगता है अब किसी ने बस ऐसा bot बना दिया है जो यह काम और आसान कर देता है
hackers को ऐसे articles “door locks सुरक्षित नहीं हैं” वाली खबर जैसे लगते हैं
उसके पास सिर्फ मेरा नाम और वह university थी जहाँ मैं पढ़ता था
मैंने पूछा कि उसे मेरा नंबर कैसे मिला, तो उसने कहा कि उसने ऊपर बताए जैसे किसी service का इस्तेमाल किया
जो व्यक्ति ठान ले, उसके लिए यह काम खास मुश्किल नहीं था
जरूरत बस उस व्यक्ति के phone number की होती है
फिर भी 20 साल पहले भी यह साफ था कि किसी व्यक्ति के बारे में बहुत थोड़ा जानने पर भी, खासकर अगर उसका नाम आम न हो, तो बहुत बड़ी मात्रा में जानकारी मिल सकती है