Experian में अब भी कोई भी आसानी से आपकी पहचान अपना सकता है
(krebsonsecurity.com)- Experian खाते को उसी व्यक्तिगत जानकारी और अलग ईमेल पते से फिर से रजिस्टर करके कब्जे में लिया जा सकता था, और 2022 में सामने आई authentication समस्या 16 महीने बाद भी बनी हुई थी
- दोबारा रजिस्ट्रेशन Social Security number, जन्म तारीख, नाम, पता, ईमेल, पासवर्ड और knowledge-based सुरक्षा प्रश्नों से किया गया, और मोबाइल फोन verification को “Continue another way” से bypass किया जा सकता था
- नया खाता बन जाने पर पूरी credit file देखना और credit freeze सेट/हटाना संभव था, और पुराने ईमेल पर approval request नहीं बल्कि सिर्फ बदलाव की सूचना भेजी गई
- Equifax और TransUnion मौजूदा खाते में बदलाव के समय registered ईमेल या फोन नंबर पर भेजे गए code से verification मांगते हैं, लेकिन Experian ने मौजूदा user को बदलाव approve करने या recovery का साधन नहीं दिया
- अगर attacker नए फोन नंबर और ईमेल से खाता फिर से बना सकता है, तो login के समय की multi-factor authentication मात्र से account takeover रोकना मुश्किल है
अलग ईमेल से खाता फिर से बनाया जा सकता था: Experian
- 2022 की गर्मियों में, Experian खाते अलग ईमेल पते से फिर से रजिस्टर होकर कब्जे में लिए जाने के मामले पाए गए थे
- 16 महीने बाद भी वही समस्या बनी हुई थी, और Krebs का अपना Experian खाता भी हाल ही में कब्जे में लिया जा चुका था
- annualcreditreport.com के जरिए Experian credit file की copy मांगी गई, लेकिन Experian ने कहा कि पहचान verify नहीं हो सकी और उसे उपलब्ध नहीं कराया
- Experian.com पर सीधे login भी विफल रहा, और site ने दिखाया कि username या password पहचाना नहीं जा रहा
- username request प्रक्रिया में पूरा Social Security number और जन्म तारीख चाहिए थी, और इसके बाद ऐसे ईमेल पते का हिस्सा दिखा जिसे Krebs ने approve नहीं किया था और जिसके बारे में उन्हें जानकारी नहीं थी
दोबारा रजिस्ट्रेशन प्रक्रिया में दिखीं authentication कमजोरियां
- Experian homepage Social Security number और मोबाइल फोन नंबर मांगता है, और बताता है कि पहचान verify करने का link भेजा जाएगा
- ऐसा लगा कि अमेरिका के भीतर कोई भी फोन नंबर डालने पर website रोकती नहीं थी, और “Continue another way” चुनने पर यह step छोड़ा जा सकता था
- इसके बाद account फिर से बनाने के लिए निम्न जानकारी मांगी गई
- पूरा नाम
- पता
- जन्म तारीख
- Social Security number
- ईमेल पता
- चुना गया password
- अगले step में 3–5 multiple-choice सुरक्षा प्रश्नों के जवाब देने थे, और जवाब अक्सर public records पर आधारित होते थे
- जब Krebs ने account फिर से बनाया, तो 5 सवालों में से सिर्फ 2 का वास्तविक जानकारी से संबंध था, और दोनों पिछले निवास पतों से जुड़े सवाल थे
- multiple-choice सवाल पास करने पर 4-digit PIN और पहले से तय सवालों में से एक का जवाब नया सेट करना होता था
- नया account बनने के बाद Experian dashboard पर जाया जा सकता था, जहां पूरी credit file देखना और credit freeze लगाना/हटाना संभव था
मौजूदा user के पास केवल बदलाव की सूचना बचती है
- account data बदलने पर Experian पुराने ईमेल पते पर संदेश भेजता है कि user profile का कुछ हिस्सा बदला गया है
- यह संदेश confirmation request नहीं, बल्कि सिर्फ बदलाव की सूचना है, और मौजूदा user को दिया गया action सिर्फ Experian.com login link पर click करना है
- सूचना पाने वाला मौजूदा user अपने पुराने Experian account credentials से अब login नहीं कर पाता
- PIN और account recovery question भी पहले ही बदल चुके होते हैं, इसलिए मौजूदा user को account वापस पाने के लिए Experian में फिर से account बनाना पड़ता है
- Equifax और TransUnion मौजूदा account में बदलाव के समय registered ईमेल address या phone number पर भेजा गया code दर्ज कराए बिना बदलाव की अनुमति नहीं देते
Experian का जवाब और readers द्वारा verification
- Experian ने Krebs की credit file में बिना अनुमति जोड़े गए पूरे ईमेल address साझा करने से इनकार किया
- Experian के spokesperson Scott Anderson ने कहा कि कंपनी ने consumers की पहचान और जानकारी की सुरक्षा के लिए manual और active measures सहित multi-layered security approach लागू की है और उसे लगातार विकसित कर रही है
- Anderson के अनुसार, इन measures में knowledge-based questions and answers, और device ownership/possession verification प्रक्रियाएं शामिल हैं
- सभी consumers account login के हर बार मांगी जाने वाली multi-factor authentication enable कर सकते हैं, लेकिन अगर account को नए phone number और email से फिर से बनाया जा सकता है, तो उसका असर सीमित रह जाता है
- Mastodon पर Experian से संबंधित post देखने वाले readers ने भी वही समस्या confirm की
- @Jackerbee ने बताया कि उन्होंने दूसरा phone number और नया email address डाला, पुराने email पर सिर्फ जानकारी update होने का एक email आया और पुराने email का verification नहीं हुआ
- पुराने phone number पर text alert भी नहीं आया, और बाद में login के समय 2FA नए phone number पर काम कर रहा था
- PeteMayo ने उसी सप्ताह Experian account दो बार फिर से बनाया, और दूसरी बार random landline number डाला
- PeteMayo के मामले में personal history से जुड़े 5 सवालों के बाद “Welcome back, Pete!” message के साथ पूरा access दे दिया गया
Experian में बार-बार हुई security घटनाएं
- Krebs के account hijacker ने credit freeze हटाया नहीं था, या हटाया था तो फिर से freeze कर दिया था
- अगर Experian authentication प्रक्रिया नहीं बदलता, तो Krebs का Experian account फिर से कब्जे में लिया जा सकता है
- Experian में पहले भी basic authentication weaknesses से जुड़े incidents बार-बार हुए हैं
- दिसंबर 2022 में केवल नाम, पता, जन्म तारीख और Social Security number से consumer की पूरी credit report access करने का bypass तरीका मिला था, और Experian ने माना कि यह flaw 9 नवंबर 2022 से 26 दिसंबर तक लगभग 7 हफ्ते तक बना रहा
- अप्रैल 2021 में Experian के PIN search page की authentication कमजोर थी, जिससे identity thieves consumer credit file freeze हटा सकते थे
- उसी महीने Experian API द्वारा अधिकांश Americans के credit scores expose होने का मामला सार्वजनिक हुआ
- संबंधित पुराने मामलों में 2022 account security class-action lawsuit, 2017 credit freeze PIN exposure, 2015 में 1.5 करोड़ customers का breach, 2014 में 20 करोड़ consumer records तक access की अनुमति, और 2013 में consumer data को identity theft service को बेचने की घटना शामिल हैं
1 टिप्पणियां
Hacker News की राय
यहाँ मूल समस्या यह है कि security बनाए रखने की लागत बहुत ज़्यादा है, और कभी-कभी hack होने के बाद उससे निपटना ही अधिक सस्ता पड़ता है
एकमात्र समाधान यह है कि जुर्माने और identity theft के पीड़ितों के मुकदमों के ज़रिए, hack हुई कंपनी को बहुत बड़ी कीमत चुकानी पड़े
credit report query की प्रति जाँच कुछ cents में knowledge-based authentication इस्तेमाल किया जा सकता है, जैसे “आप कहाँ रहते थे”, “क्या यह merchant account आपका है” जैसी विधियाँ
ID.me या Stripe Identity जैसे government credential-आधारित identity verification भी प्रति प्रयास लगभग 1.50~2.00 डॉलर के स्तर पर है
समस्या यह है कि fraud का बोझ consumer पर डाल दिया जाता है, इसलिए थोड़ा खर्च बढ़ाकर fraud घटाने की कोई incentive नहीं है, और credit bureau भी नहीं चाहता कि उसकी अपनी moat और revenue stream कमज़ोर हो
संक्षेप में, अगर बेहतर राष्ट्रीय digital identity system होता तो यह समस्या गायब हो जाती
मैं fintech में identity verification सहित customer IAM संभालता हूँ, और civic activist के रूप में Login.gov से जुड़े कुछ काम भी करता हूँ
अगर इसे सुरक्षित रूप से चलाना बहुत महँगा है, तो पहले यह पूछना चाहिए कि क्या ऐसी service का अस्तित्व होना भी चाहिए, और क्या उसे इतनी अधिक personal और private information store करने का अधिकार है
GDPR दुनिया भर के revenue का अधिकतम 4% तक जुर्माना लगा सकता है
बेशक, हम ऐसी surveillance company के ग्राहक नहीं हैं
फिर भी यह हैरान करने वाला है कि security लगभग पूरी तरह नदारद होने के स्तर पर है, लेकिन वास्तविक customers के लिए यह deal breaker नहीं बनता
अगर इस service से व्यावहारिक रूप से कोई भी किसी का impersonation कर सकता है, तो फिर इसे इस्तेमाल करने की वजह ही क्या है, समझ नहीं आता
कंपनियाँ व्यक्तियों की जानकारी तक पहुँच पाने के लिए Experian को पैसे देती हैं, और Experian सिर्फ इसलिए individual accounts की अनुमति देता है क्योंकि उसे credit freeze या annual credit report जैसी चीज़ें कानूनन देनी पड़ती हैं
अगर यह अनिवार्य न होता तो वह बिल्कुल नहीं करता, और experience या security बेहतर करने की कोई incentive भी नहीं है
एक कदम पीछे हटकर पूरी स्थिति देखें तो असली समस्या privacy laws की कमी है
बैंकों, कंपनियों और employers को personal information तीसरे पक्ष के साथ साझा करने से रोका जाना चाहिए
जहाँ मैं, Switzerland में, रहता हूँ वहाँ वास्तव में ऐसा ही है, और सरकार भी यह जानकारी नहीं ले सकती
अगर सरकार को tax evasion का संदेह हो, तो उसे warrant लेना पड़ता है और दूसरे अपराधों जैसी ही प्रक्रिया का पालन करना पड़ता है
उपलब्ध financial records में केवल कानूनी debt collection प्रक्रिया का रिकॉर्ड “Betreibungen” है
किसी को credit देने से पहले यह देखा जा सकता है कि क्या किसी और को अपना पैसा पाने के लिए उस पर मुकदमे तक जाना पड़ा था
और credit bureau के बिना भी इतनी कम जानकारी के साथ सब कुछ ठीक चलता है
हाँ, FATCA जैसे अंतरराष्ट्रीय दबाव के कारण Swiss कानून बदला गया, ताकि banks international customers के बारे में reporting करें
Switzerland दिखाता है कि पूर्ण financial privacy सामान्य taxpayers के प्रति निष्पक्ष क्यों नहीं है
क्योंकि यह ultra-wealthy लोगों को वह tax छिपाने देता है जो उन्हें देना चाहिए
एक बात कही जाती है कि “Switzerland के लगभग 36% लोग घर या apartment के मालिक हैं, जो पश्चिमी दुनिया में सबसे कम है, और EU औसत 70% तथा अमेरिका 67% से बहुत नीचे है”
कारण कई होंगे, लेकिन अगर creditworthiness के बारे में जानकारी कम हो, तो किसी के बड़े purchase को finance करने में कम उत्साह होना स्वाभाविक लगता है
[1] https://www.nytimes.com/2023/11/06/realestate/zurich-switzer...
मैं जिस कंपनी में काम करता हूँ उसका नाम नहीं लूँगा, लेकिन वह FAANG है, और यह कंपनी data खरीदकर Experian cookie लेती है और उसे बेहतर tracking और graph building के लिए इस्तेमाल करती है
अमेरिका लगातार कहता है कि उसे नागरिकों की privacy की परवाह है, लेकिन वास्तव में नहीं है
अगर privacy laws को सख्ती से लागू किया जाए, तो संभव है इसका असर bank accounts जैसी चीज़ों पर भी पड़े, क्योंकि top 500 stocks में big tech ऊपर है
इस समस्या को lawmakers तक पहुँचाने के लिए Resistbot petition डाली गई है
https://resist.bot/petitions/PONADR
https://resist.bot/petitions
जर्मनी में, उदाहरण के लिए, Campact है, और आम तौर पर एक petition पर 2 लाख से अधिक signatures मिल जाते हैं
अगर अमेरिका में ऐसा कुछ नहीं है, तो मेरा मानना है कि पैसे वाला कोई व्यक्ति इसे बनाए, या OpenPetition जैसे मौजूदा समाधान को पर्याप्त नियमित signers तक प्रचारित किया जाए
https://en.wikipedia.org/wiki/Campact
अगर 3 credit bureau हैं, तो क्या ऐसा कोई तरीका है कि उनमें से किसी एक में credit score ही न बने?
मुझे लगता है कि उपभोक्ता के तौर पर इस क्षेत्र में प्रतिस्पर्धा बढ़ाने का यह एक तरीका हो सकता है
खोजने पर भी कोई आसान विकल्प नहीं दिखा
क्योंकि lenders आमतौर पर तीनों बड़े credit bureaus को जानकारी रिपोर्ट करते हैं, इसलिए यह सुनिश्चित करने के लिए कि कोई जानकारी रिपोर्ट न हो, आपको अपने सभी credit cards और loans बंद करने होंगे और अपनी credit report freeze करनी होगी
यहाँ “प्रतिस्पर्धा बढ़ाना” शायद काम नहीं करेगा
हम credit bureaus के ग्राहक नहीं हैं, हम उनका product हैं, और ग्राहक lenders और वे दूसरे लोग हैं जिन्हें हमारी जानकारी चाहिए
lenders के नज़रिए से यह ढाँचा अच्छी तरह काम करता है, क्योंकि credit देने से पहले आवेदक की पहचान सही तरह से verify करने की ज़िम्मेदारी lenders की बजाय आम लोगों पर “identity theft” के बोझ के रूप में डाल दी जाती है
“identity theft” शब्द खुद लगभग ऐसा ग़लत नाम है जो ज़िम्मेदारी व्यक्ति पर डालने के लिए बनाया गया लगता है
आदर्श रूप में, अपराधी मेरी जानकारी का दुरुपयोग न कर सकें यह रोकने की, और जब वे मेरी जानकारी का धोखाधड़ी से इस्तेमाल करने की कोशिश करें तो उसे ठीक करने की ज़िम्मेदारी lenders पर होनी चाहिए
बेहतर समाधान lenders के identity verification standards को ऊँचा करना है
तब credit देने से पहले वास्तव में पहचान की जाँच करने का बोझ lenders पर जाएगा
कुछ lenders सच में काफ़ी अच्छी जाँच करते हैं, लेकिन कुछ दूसरे बस मिली हुई जानकारी को बिना सवाल मान लेते हैं
पूरे उद्योग में ऊँचे standards, चाहे self-regulation से हों या कानूनी बाध्यता से, इस समस्या को हल करने में मदद करेंगे
credit bureaus लगभग बिना विकल्प वाली private public utility companies की तरह चलते हैं
अगर यह किसी password manager app जैसा होता, तो हम कई कंपनियों का मूल्यांकन करते, अपनी पसंद की कंपनी चुनते, और समस्या होने पर कभी भी दूसरी जगह जा सकते थे
ये हमारे साथ लेनदेन करने वाली हर कंपनी से हमारा data लेते हैं
आपको credit bureaus से जुड़े हर linkage को case-by-case समझना पड़ेगा
शायद अगर आपने credit card नहीं लिया हो और loan भी न लिया हो, तो उनकी “जाँच” से कुछ हद तक बचाव हो सकता है
इसलिए आपको उन कंपनियों से बचना होगा जो किसी bureau को रिपोर्ट करती हैं, लेकिन आमतौर पर वे कई bureaus को एक साथ रिपोर्ट करती हैं
अगर आप कंपनी हों, तो अपनी पसंद के bureau को रिपोर्ट कर सकते हैं
कुछ दिन पहले मैंने अपना profile बनाया और account में क्या हो रहा है यह देखने के लिए login करने की कोशिश की, लेकिन site इतनी टूटी हुई थी कि मैं login भी नहीं कर पाया
मैं खुद अपना होना भी साबित नहीं कर पा रहा, तो कोई और कैसे और किस तरह मेरी तरह बन सकता है, समझ नहीं आता
तुमने जो इस्तेमाल किया, वह Experian के ग्राहकों का channel नहीं था, वह Experian के लिए बोझ समझे जाने वाले लोगों का channel था
पिछले कुछ हफ़्तों से मुझे Casas Bahia, Americanas, और Magazine Luiza जैसे बड़े retailers से खरीद की पुष्टि वाले बेहिसाब emails मिल रहे हैं
कई smartphones और laptops के bills पर मेरा नाम और CPF लिखा है
मैंने सभी retailers से संपर्क किया, लेकिन लगता है कि सिर्फ Magazine Luiza ने fraud को माना और कोई warning जारी की, फिर भी bills आते जा रहे हैं
मैंने स्थानीय police से संपर्क करके boletim de ocorrência बनवाया, जिसका अनुवाद कैसे करूँ यह नहीं पता, लेकिन यह एक दस्तावेज़ है जो समस्या और इस पर कार्रवाई न कर पाने की स्थिति को बताता है
मुझे बहुत चिंता है कि इसका बुरा असर आगे आएगा, और मुझे अपने identity protection के मामले में पूरी तरह लाचार महसूस हो रहा है
हर कंपनी के ombudsman, यानी ouvidoria, से संपर्क करके स्थिति समझाओ
भले वे वास्तव में समस्या हल न करें, कम से कम यह रिकॉर्ड रहेगा कि तुमने सौहार्दपूर्ण तरीके से समाधान की कोशिश की थी
सबसे बुरी स्थिति में retailer इन fraudulent bills को collection agency को दे सकता है और credit bureau को रिपोर्ट कर सकता है
इस fraudulent debt पर तुम्हें कभी एक पैसा भी नहीं देना चाहिए, और न ही कोई negotiation करनी चाहिए
क्योंकि यह fraud है, इसलिए debt का पूरी तरह हटना ही एकमात्र विकल्प है
जो पैसा फँसा है वह उनका पैसा है, और अगर तुम भुगतान करते हो तो ज़िम्मेदारी तुम्हारे ऊपर आ जाएगी
तुम्हारे पास पहले से Boletim de Ocorrência और कंपनियों से संपर्क के सबूत हैं, जैसे complaint numbers और dates, इसलिए अगर यह credit bureau तक पहुँचता है तो तुम मुकदमा कर सकते हो और damages माँग सकते हो
यह credit bureau और retailer दोनों के लिए समझौता कर लेने लायक एक सीधा और आम मुकदमा है
उन्होंने तुम्हारा समय बर्बाद कराया है, इसलिए उन्हें इसकी क़ीमत चुकानी चाहिए
उनके पास यह साबित करने का कोई सबूत नहीं है कि वह लेनदेन तुमने किया था
और अगर retailers, banks, और credit card companies सच में fraud से बचना चाहते, तो हर खरीद और signup पर real-estate transaction जितनी सुरक्षा चाहिए होती
signatures, in-person meetings, prepayment, bank, lawyers, notaries, यहाँ तक कि cryptographic signatures भी चाहिए होतीं, और e-CPF भी मौजूद है, लेकिन कोई इसका इस्तेमाल नहीं करता
लेकिन fraud को 100% रोकना friction पैदा करता है, और सामान्य retailers को friction पसंद नहीं होती
आखिर में यह उनका business decision है, जहाँ वे पैसे आसानी से पाने के लिए risk स्वीकार करते हैं
ज़्यादातर संदर्भों में, अगर आप किसी को नुकसान पहुँचाने वाले तरीके से झूठी जानकारी देते हैं, तो वह libel या defamation होता है
यह फिर से देखने की ज़रूरत है कि क्या credit reporting को ऐसी ज़िम्मेदारी से छूट मिलनी चाहिए, और अगर हाँ, तो किन शर्तों पर
अगर credit bureau lenders को हमारे बारे में झूठी जानकारी देता है, जिससे हमें loan न मिले या हमें उचित स्तर से ज़्यादा ब्याज देना पड़े, तो हमें monetary damages के मुकदमे में जीतने में सक्षम होना चाहिए
यह मायने नहीं रखना चाहिए कि उन्हें पता था कि वह झूठ है या नहीं
चाहे लापरवाही हो या दुर्भावना, नुकसान तो होता ही है
अगर व्यक्ति कोई public figure नहीं है, तो defamation के लिए fact-checking में कम से कम negligence होनी चाहिए
यानी negligence तभी मानी जाती है जब यह मानने का उचित आधार हो कि जानकारी झूठी है
अगर आप credit bureau को रिपोर्ट करते हैं कि account fraud है, तो आप essentially उन्हें सूचना दे रहे हैं कि वह account वास्तव में आपका नहीं है, और अगर वे उस account को report से हटा देते हैं, तो वे आगे ऐसी defamatory जानकारी फैलाने की ज़िम्मेदारी से बच जाते हैं
पिछले हफ़्ते मुझे data breach notification दो बार मिली
एक मेरे healthcare provider से, और दूसरी उस bank से आई जिसके पास मेरा mortgage है
दोनों ने कहा कि मैं अपना credit lock कर दूँ, और 1 साल की मुफ़्त credit monitoring दी
यह हास्यास्पद रूप से नाकाफ़ी है, और मुझे लगता है कि इस क्षेत्र में ज़्यादा regulation की ज़रूरत है
lifetime credit monitoring, मेरे नाम पर होने वाले हर financial fraud के लिए full insurance, और तुरंत अनुमानित हर्जाना दिया जाना चाहिए
मूल समस्या यह है कि अमेरिका की identity system बुरी तरह अव्यवस्थित है
unique identifier यानी SSN और secret value, दोनों के लिए SSN में कोई फ़र्क नहीं किया जाता
बाकी सारे security questions भी आखिरकार उसी authentication factor के रूप हैं: “जो आप जानते हैं”, और वह भी ऐसी चीज़ें जिन्हें fraudster आसानी से हासिल कर सकते हैं
सचमुच ऐसा कोई सहमति-आधारित तरीका नहीं है जिससे आप साबित कर सकें कि आप वही हैं जो आप कहते हैं
DMV को credit card की तरह physical लेकिन digital capabilities वाले identity card जारी करना शुरू करना चाहिए
online identity verification के लिए Apple Pay या Android Pay जैसी किसी चीज़ की ज़रूरत है, और banks को digital ID support करना अनिवार्य किया जाना चाहिए
और digital ID का दुरुपयोग करने वालों पर सख़्ती से enforcement भी होनी चाहिए
मेरा मानना है कि इस समस्या की अनदेखी का नतीजा यह है कि हर साल कम से कम दर्जनों अरब डॉलर का GDP fraud में गायब हो जाता है
और उससे भी ज़्यादा अहम यह है कि rule of law वाले देश के रूप में उसकी स्थिति धीरे-धीरे क्षीण होती जाती है
और इसे जारी करना भी कठिन है, क्योंकि जो राज्य आम तौर पर working-class इलाकों के polling places बंद करते हैं और DMV का budget काटते हैं, वे इसे सबके लिए मुफ़्त लागू करने के किसी भी प्रयास का अंत तक विरोध करेंगे
जवाब यह लगता है कि आपको किसी तरह का digital secret देना होगा जो access उसी तरह प्रदान करे जैसे अभी SSN देता है
तब वह digital secret भी उन्हीं online जगहों पर मौजूद होगा जहाँ अभी SSN होता है, और उसी तरह की hacking के प्रति असुरक्षित होगा
मुझे समझ नहीं आता कि इससे क्या ठीक होगा
लेख की सलाह के मुताबिक मैंने account बना लिया ताकि कोई और register न कर सके, और अब ऐसा लग रहा है कि मैं अपने-आप digital checking account में enrolled हो गया हूँ
मुझे यह बिल्कुल नहीं चाहिए था