הקפאת אשראי של Experian ניתנת להפרה באמצעות מידע משתמש בסיסי

בהתחשב בעשרות הדליפות והפריצות בימינו, התוקפים באינטרנט כבר רואים את העולם בצדפה שלהם. ממצאים אחרונים מראים כי ניתן להפר את הקפאת האבטחה של Experian בדוח אשראי, אם רק קומץ מידע למשתמש זמין.

כל מה שתוקף צריך לגשת לדוח האשראי הוא שם המחזיק בכרטיס, כתובת, תאריך לידה ומספר תעודת זהות. בהתחשב במספר ההולך וגובר של הפרות נתונים, לא ניתן למצוא פיסות מידע בסיסיות אלה במקומות שוק ברשת האפלה, כפי שציין בריאן קרבס.

בעקבות ארבע פרטי המידע הללו, יש לספק כתובת דוא"ל ויש לאשר את כל המידע. לאחר מכן יתבקש מספר ה- PIN להקפאת האשראי.

דף ההרשאה הסופי ב- Experian מבקש מהמשתמש לענות על ארבע שאלות אימות מבוסס-ידע (KBA).

עוד בחדשות: הפרת נתונים של Equifax: כיצד לגלות אם חשבונך נפרץ

"הבעיה בהסתמכות על שאלות KBA לאימות צרכנים באופן מקוון היא שכל כך הרבה מהמידע הדרוש כדי לנחש בהצלחה את התשובות לאותן שאלות מרובות-בחירות כעת באינדקס או נחשף על ידי מנועי חיפוש, רשתות חברתיות ושירותי צד שלישי באופן מקוון - הן פליליות והן מסחריות, "כותב בריאן קרבס.

מכיוון שהתשובות לשאלות KBA אלה זמינות באופן מקוון וכך גם פרמטרי המידע האחרים הנדרשים כדי להפר את הקפאת האשראי של Experian, אמצעי אבטחה כאלה ללא ספק אינם מספקים.

Experian היא סוכנות דיווחי אשראי גדולה יותר בדומה ל- Equifax. הנושאים עם האבטחה ב- Equifax בתחילת החודש הבהירו כי החברות צריכות להעלות את מסגרת האבטחה שלה. אחרת, הם פשוט מעמידים את נתוני המשתמשים שלהם בסכנת חשיפה ושימוש לרעה אפשרי.

כיצד למנוע את הסכנה?

זה יעזור אם המידע לגבי שחזור ה- PIN יישלח לכתובת דוא"ל שהוגדרה מראש על ידי המשתמש בהגשת האשראי שלו ולא לכל כתובת דוא"ל אקראית שניתנה במהלך השחזור.

מכיוון שארגונים כמו Experian ו- Equifax, שהופרה לאחרונה, עדיין אינם יודעים על ביטחון מקוון, הגיוני אם תקפיא את קובצי האשראי שלך.

עוד בחדשות: מכשירים שאינם פועלים עם אנדרואיד 8.0 אוראו פגיעים בהתקף זדוני זה