"Experian में अब भी कोई भी आसानी से आपकी पहचान बन सकता है"

 (krebsonsecurity.com)
1 पॉइंट द्वारा GN⁺ 2023-11-12 | 1 टिप्पणियां | WhatsApp पर शेयर करें

Experian की सुरक्षा समस्या जारी

  • 2022 की गर्मियों में यह सामने आया था कि Experian के consumer credit report accounts को सिर्फ email address बदलकर दोबारा register करके hijack किया जा सकता है.
  • 16 महीने बाद भी Experian इस गंभीर सुरक्षा समस्या को ठीक नहीं कर पाया है.
  • रिपोर्टर का Experian account भी हाल ही में hack हो गया, और account access वापस पाने के लिए उन्हें नया account बनाना पड़ा.

account को फिर से register करने की आसान प्रक्रिया

  • Experian में SSN (Social Security Number) और जन्मतिथि दर्ज करने पर रिपोर्टर ने पाया कि यह एक ऐसे email address से जुड़ा है जिसे उन्होंने verify नहीं किया था.
  • Experian website account का username ढूंढने के लिए SSN और जन्मतिथि मांगती है, और unverified email address का एक हिस्सा दिखाती है.
  • Experian अब भी personal information और किसी दूसरे email address का उपयोग करके credit file account को दोबारा बनाने की अनुमति देता है.

account creation process की कमजोरी

  • Experian homepage SSN और mobile number मांगता है, और कहता है कि identity verification के लिए एक link भेजा जाएगा.
  • user phone number दर्ज करने वाला चरण skip कर सकता है, और उसके बाद नाम, पता, जन्मतिथि, SSN, email address और password भरना होता है.
  • इसके बाद 3 से 5 multiple-choice security questions के जवाब देने होते हैं, लेकिन ये सवाल ज्यादातर public records पर आधारित होते हैं, इसलिए इन्हें आसानी से खोजा जा सकता है.

account बदलने पर email notification की कमी

  • नया account बन जाने पर Experian पुराने email address पर user profile change की सूचना भेजता है.
  • यह सूचना बदलाव की पुष्टि करने का अनुरोध नहीं होती, और मूल user Experian.com पर login करने वाले link के अलावा कोई कार्रवाई नहीं कर सकता.

Experian account का महत्व

  • अगर आपके पास Experian account नहीं है, तो account बनाकर आप यह email notification पा सकते हैं कि आपका credit file hijack हुआ है.
  • अगर account hijack हो जाए, तो मौजूदा login information, PIN और account recovery questions सब बदल दिए जाते हैं, और account को hijacker से वापस लेने के लिए फिर से account बनाना ही एकमात्र विकल्प बचता है.

अन्य credit reporting agencies के साथ तुलना

  • Equifax और TransUnion जैसी दूसरी बड़ी consumer credit reporting agencies account change के समय file में registered email address या phone number पर भेजे गए code को दर्ज करना अनिवार्य करती हैं.

Experian की प्रतिक्रिया

  • Experian spokesperson Scott Anderson ने unverified email address से जुड़ी जानकारी साझा करने से इनकार किया.
  • Anderson ने दावा किया कि Experian ने multi-layered security approach अपनाई है, जिसमें knowledge-based questions and answers, device ownership, और possession verification process शामिल हैं.

multi-factor authentication की प्रभावशीलता पर सवाल

  • सभी consumers के पास login के समय हर बार मांगे जाने वाले multi-factor authentication factors को enable करने का विकल्प है, लेकिन अगर नया phone number और email address देकर account को दोबारा बनाया जा सकता है, तो यह बेअसर हो जाता है.

Mastodon users का प्रयोग

  • Mastodon users ने Experian की सुरक्षा समस्या का परीक्षण कर रिपोर्टर की खोज की पुष्टि की.
  • जब Experian ने phone number और SSN के आखिरी चार अंक मांगे, तो users ने 'मेरी जानकारी मैन्युअली दर्ज करें' विकल्प चुना और नया phone number व email address दर्ज किया.
  • मूल email address पर किसी तरह की verification नहीं मांगी गई, और नए phone number पर 2FA (two-factor authentication) पूरा किया गया.

Experian की पुरानी सुरक्षा समस्याएं

  • दिसंबर 2022 में KrebsOnSecurity ने Experian की security bypass करके किसी भी consumer की पूरी credit report तक पहुंचने का एक आसान तरीका खोजा था.
  • अप्रैल 2021 में KrebsOnSecurity ने खुलासा किया था कि identity thieves, Experian के PIN lookup page की कमजोर authentication का फायदा उठाकर consumer credit files को unlock कर रहे थे.
  • Experian को पहले भी कई तरह की security problems को लेकर बार-बार आलोचना झेलनी पड़ी है.

GN⁺ की राय

  • सबसे महत्वपूर्ण बात यह है कि Experian अब भी गंभीर security vulnerabilities को ठीक नहीं कर पाया है, जिससे users की credit information खतरे में पड़ सकती है.
  • यह लेख consumers को अपनी credit information की सुरक्षा के लिए क्या कदम उठाने चाहिए, इस बारे में महत्वपूर्ण जागरूकता देता है.
  • Experian की security problems सीधे consumers की personal privacy से जुड़ी हैं, और यह हर किसी के लिए गंभीर चिंता का विषय है.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2023-11-12
Hacker News राय

  • स्पाई कंपनियों के ग्राहक हम नहीं हैं, लेकिन यह देखकर हैरानी होती है कि सुरक्षा की कमी उनके वास्तविक ग्राहकों के लिए भी सौदा रोकने का कारण नहीं बनती।

    • स्पाई कंपनियों की सुरक्षा इतनी कमजोर है कि उनकी सेवाओं का इस्तेमाल कर किसी और का रूप धारण किया जा सकता है, जिससे ऐसी सेवाओं के अस्तित्व के औचित्य पर सवाल उठता है.

  • अगर Experian के अधिकारी बार-बार इसी तरह अकाउंट हैक होने का शिकार होते रहें, तो कभी न कभी बदलाव होगा।

    • यह अनुमान लगाया गया है कि अगर Experian के अधिकारी बार-बार अकाउंट हैक होने का अनुभव करें, तो इस समस्या को लेकर बदलाव आ सकता है.

  • समझ नहीं आता कि ग्राहकों की सुरक्षा करने में विफल रहने के बावजूद Experian मुकदमों से कैसे बच निकलता है।

    • यह व्यक्त किया गया है कि ग्राहकों की जानकारी की रक्षा न कर पाने के बावजूद Experian के लगातार चलते रहने का कानूनी आधार समझ से बाहर है.

  • पिछले कुछ हफ्तों से बड़े रिटेलर्स की ओर से मेरे नाम पर खरीदे गए smartphone और laptop के confirmation emails लगातार मिल रहे हैं।

    • इसमें बताया गया है कि खरीद पुष्टि में उनका नाम और पहचान संख्या शामिल है, और रिटेलर्स व पुलिस से संपर्क करने के बावजूद समस्या सुलझाने में कठिनाई हो रही है.

  • Experian अकाउंट हैक हो गया, freeze हटाया गया, और उसका इस्तेमाल Ford Credit से 100,000 डॉलर का loan लेने में किया गया।

    • एक अनुभव साझा किया गया है जिसमें Experian अकाउंट हैक होने के बाद बड़ी रकम का loan लिया गया और इसे सुलझाने में बहुत लंबा समय लगा.

  • इस मुद्दे पर विधायकों का ध्यान खींचने के लिए resistbot पर एक याचिका है।

    • इस मुद्दे पर विधायी ध्यान की मांग करने के लिए एक ऑनलाइन याचिका का लिंक साझा किया गया है.

  • क्रेडिट रिपोर्टिंग का इससे बेहतर विकल्प चाहिए।

    • यह आलोचनात्मक राय रखी गई है कि जब बैंकों और lenders के लिए सीधे नस्लीय भेदभाव करना मुश्किल हुआ, तो credit score जैसी अप्रत्यक्ष व्यवस्था के जरिए भेदभाव जारी रहा.

  • सोच रहा हूँ कि क्या तीन credit bureaus में से किसी एक में credit score से बचने का कोई तरीका है।

    • उपभोक्ता के रूप में प्रतिस्पर्धा को बढ़ावा देने के लिए credit bureaus में से किसी एक में credit score से बचने के तरीके की जानकारी खोजी जा रही है.

  • अगर हल्की-फुल्की धोखाधड़ी (जैसे अकाउंट खोलने की असफल कोशिश या data breach) हो जाए, तो सभी agencies में fraud alert और credit freeze दर्ज कराया जा सकता है, जिससे कुछ समय तक अनचाही डाक और वास्तविक fraud accounts के जोखिम को कम किया जा सकता है।

    • यह समझाया गया है कि fraud alert और credit freeze के जरिए अतिरिक्त verification प्रक्रियाएँ मजबूत की जा सकती हैं, जिससे कई समस्याओं को रोका जा सकता है.

  • मैंने Experian वेबसाइट पर लॉगिन करने की कोशिश की, लेकिन साइट इतनी अस्थिर थी कि लॉगिन भी नहीं कर पाया।

    • यह साझा किया गया है कि Experian वेबसाइट की कार्यात्मक समस्याओं के कारण अपने अकाउंट तक पहुँचने में कठिनाई हुई.