1 คะแนน โดย GN⁺ 2023-08-23 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • เพียงแค่มีชื่อและรัฐที่อยู่อาศัย ก็สามารถรับไฟล์ที่มีที่อยู่เก่า รายชื่อญาติ หมายเลขโทรศัพท์ อีเมล และข้อมูลใบขับขี่ได้ โดยมีค่าค้นหา Bitcoin มูลค่า 15 ดอลลาร์
  • เครื่องมือนี้ดูเหมือนจะเข้าถึงข้อมูล credit header ที่ Experian, Equifax และ TransUnion ถือครองอยู่ และในบางกรณียังให้หมายเลขประกันสังคม (SSN) ได้ในราคา 20 ดอลลาร์
  • credit header คือข้อมูลส่วนบุคคลที่สร้างจากข้อมูลเกี่ยวกับบัตรเครดิตของผู้ใหญ่ชาวอเมริกันจำนวนมาก และถูกส่งต่อผ่านสัญญาและการซื้อขายไปยังบริษัททวงหนี้ บริษัทประกัน และหน่วยงานบังคับใช้กฎหมาย
  • อาชญากรเข้าถึงห่วงโซ่อุปทานข้อมูลนี้ได้ด้วยวิธีอย่างเช่น การปลอมตัวตนของอดีตเจ้าหน้าที่บังคับใช้กฎหมาย และขายสิทธิ์เข้าถึงแบบไม่จำกัดให้กับอาชญากรรายอื่นทางออนไลน์
  • เครื่องมือนี้ยังถูกใช้ค้นหาข้อมูลของบุคคลมีชื่อเสียงอย่าง Elon Musk, Joe Rogan และ Joe Biden และแม้ว่าข้อมูลบางส่วนอาจไม่ใช่ข้อมูลอ่อนไหว แต่อย่างน้อยบางส่วนได้รับการยืนยันว่าถูกต้อง

การค้นหาข้อมูลส่วนบุคคลที่ขายผ่านบอต Telegram

  • บน Telegram เพียงป้อน ชื่อและรัฐที่อยู่อาศัย ของเป้าหมาย ก็จะมีการสร้างไฟล์ข้อมูลส่วนบุคคลขึ้นมาในเวลาไม่นาน
  • ในไฟล์มีที่อยู่ที่เป้าหมายเคยอาศัยอยู่ในสหรัฐฯ รวมถึงที่อยู่หอพักมหาวิทยาลัยเมื่อกว่า 10 ปีก่อนด้วย
  • ข้อมูลที่ให้มาพร้อมกันประกอบด้วยรายการที่สามารถใช้ยืนยันตัวตนและติดตามตัวได้
    • ชื่อญาติและปีเกิด
    • หมายเลขโทรศัพท์มือถือและผู้ให้บริการเครือข่าย
    • ที่อยู่อีเมลส่วนตัว
    • ข้อมูลใบขับขี่และหมายเลขระบุตัวตนเฉพาะ
  • ค่าค้นหาทั้งหมดอยู่ที่ Bitcoin มูลค่า 15 ดอลลาร์ และบางครั้งบอตยังให้หมายเลขประกันสังคมในราคา 20 ดอลลาร์

การโจมตีห่วงโซ่อุปทานข้อมูลของบริษัทจัดอันดับเครดิต

  • เครื่องมือนี้ดูเหมือนจะเข้าถึงข้อมูล credit header ที่ Experian, Equifax และ TransUnion ถือครองอยู่ สำหรับผู้ใหญ่จำนวนมากในสหรัฐฯ
  • ข้อมูล credit header เป็นข้อมูลส่วนบุคคลที่สร้างจากข้อมูลเกี่ยวกับบัตรเครดิต และถูกส่งต่อไปยังบริษัทอื่นผ่านสัญญาและการซื้อขายหลายทอด
  • ข้อมูลที่ถูกส่งต่อมีเส้นทางไปยังบริษัททวงหนี้ บริษัทประกัน และหน่วยงานบังคับใช้กฎหมาย
  • อาชญากรสามารถเข้าถึงห่วงโซ่อุปทานนี้ได้สำเร็จ และในบางกรณีมีการใช้ การปลอมตัวตนของอดีตเจ้าหน้าที่บังคับใช้กฎหมาย
  • เครื่องมือที่ถูกทดสอบยังถูกใช้เก็บข้อมูลของบุคคลมีชื่อเสียงอย่าง Elon Musk, Joe Rogan และ Joe Biden และดูเหมือนว่าถูกใช้งานโดยไม่มีข้อจำกัดด้านการเข้าถึง
  • ผลการตรวจสอบพบว่าข้อมูลทั้งหมดไม่ได้เป็นข้อมูลอ่อนไหวเสมอไป แต่ข้อมูลอย่างน้อยบางส่วนถูกต้อง

1 ความคิดเห็น

 
GN⁺ 2023-08-23
ความคิดเห็นจาก Hacker News
  • การตั้งค่าระงับเครดิตไว้กับทั้งสามแห่งคือ Experian, TransUnion, Equifax คุ้มค่ามาก
    ตอนตั้งค่าครั้งแรกน่ารำคาญเพราะต้องให้ข้อมูลส่วนตัวเยอะมาก แต่พอทำเสร็จแล้ว การระงับหรือยกเลิกการระงับก็ค่อนข้างง่าย
    เก็บ URL, ชื่อผู้ใช้ และรหัสผ่านไว้ในโน้ตที่ปลอดภัย แล้วเมื่อจำเป็นต้องสมัครเครดิตก็ค่อยยกเลิกการระงับแค่สักหนึ่งวันหรือหนึ่งสัปดาห์ก็พอ
    เมื่อก่อนมีปัญหา การโจรกรรมตัวตน เปิดเครดิตในชื่อผมเยอะมาก แต่การระงับเครดิตแก้ปัญหานี้ได้
    Experian: https://www.experian.com/freeze/center.html
    TransUnion: https://www.transunion.com/credit-freeze
    Equifax: https://www.equifax.com/personal/credit-report-services/cred...
    ผมเกลียดบริษัทพวกนี้จริง ๆ แต่การยอมผ่านขั้นตอนเหล่านี้คุ้มค่า และแนะนำให้ทุกคนทำ

    • ในฐานะคนที่ใช้การระงับเครดิตมานาน ทุกครั้งที่พยายามยกเลิกการระงับ จะรู้สึกเหมือนหนึ่งในสามสถาบันมีกระบวนการเปลี่ยนไป ทำให้ปลดล็อกด้วยชื่อผู้ใช้และรหัสผ่านที่เคยตั้งไว้ไม่ได้
      ครั้งล่าสุดบัญชีถูกล็อกเพราะไม่ได้ล็อกอินมา 3 ปี และต้องยืนยันตัวตนเพิ่มเติมอีกมาก
      บางครั้งการยืนยันใช้ข้อมูลแบบที่เคยถามตอนตั้งค่าครั้งแรก เช่น ที่อยู่เก่า ๆ ซึ่งกลับดูไม่น่าไว้ใจ และบางทีก็ซับซ้อนกว่าเดิม
      เมื่อเวลาผ่านไป ในจังหวะที่คาดไม่ถึงที่สุด พวกเขาอาจอ้างว่าการยืนยันบัญชีต้องใช้เวลา 60 วัน แล้วขัดขวางไม่ให้ยกเลิกการระงับเครดิตได้
    • ค่อนข้างเหลือเชื่อที่ผู้ออกเครดิตสามารถออกเครดิตในชื่อคนอื่นได้โดยแทบไม่ทำ due diligence ให้ถูกต้อง แล้วคนเจ้าของชื่อกลับต้องเป็นคนตามแก้ปัญหา
      ทุกครั้งที่เกิดเรื่องแบบนี้ ควรปรับผู้ออกเครดิตเป็นเงินมหาศาล
    • คำว่า การโจรกรรมตัวตน ที่ธนาคารผลักดันใช้นั้นหลอกลวงในตัวเอง
      ในการฉ้อโกงแบบนี้ เหยื่อไม่ใช่บุคคล แต่เป็นธนาคาร
      ตัวตนของผมยังอยู่กับผม ธนาคารหรือเจ้าหนี้แค่เอาเงินของตัวเองไปให้犯罪โดยความประมาทของตัวเองเท่านั้น
      การทำให้คนที่ไม่ได้มีส่วนเกี่ยวข้องเลยกลายเป็นเหยื่อเป็นภาพลวงตาที่ไม่สมเหตุสมผล และกฎหมายก็ควรถูกปรับให้สะท้อนความจริงนี้
      ตราบใดที่ธนาคารยังผลักภาระต้นทุนจากความประมาทของตัวเองไปให้ผู้บริสุทธิ์ได้ พวกเขาก็จะยังทำตัวหละหลวมต่อไป
      ทุกครั้งที่มีการใช้คำนี้ในพื้นที่สาธารณะ ควรเผยแพร่ความเข้าใจด้วยการปฏิเสธการหลอกลวงของคำว่า “การโจรกรรมตัวตน”
      สเก็ตรายการวิทยุของ Mitchell and Webb ที่เกี่ยวข้อง: https://www.youtube.com/watch?v=CS9ptA3Ya9E
    • หลายคนไม่ค่อยรู้ว่าควรตั้งค่าระงับไว้ที่ https://nctue.com/consumers/ ด้วย
      ผมเคยต้องจัดการเรื่องมิจฉาชีพที่ไม่เพียงเปิดเบอร์มือถือ แต่ยังสมัครไฟฟ้าสำหรับอพาร์ตเมนต์ของตัวเองในชื่อผมด้วย และการตั้งค่า ระงับ ที่นี่ช่วยแก้ปัญหาได้
    • สงสัยว่าถ้าทั้งชีวิตไม่เคยเป็นหนี้เลย ยังจำเป็นต้องทำสิ่งนี้ไหม
      ไม่แน่ใจว่าไม่เป็นไรหรือเปล่า เพราะตั้งแต่แรกก็ไม่เคยเริ่มอะไรไว้เลย
  • เพื่อช่วยประหยัดคลิกให้: อาวุธลับคือการจ่าย 15 ดอลลาร์ ให้犯罪ในกลุ่ม Telegram เพื่อให้ไปขุดข้อมูลส่วนตัวของใครสักคน
    เนื้อหาส่วนใหญ่ของบทความพูดถึงว่าบริการขุดข้อมูลส่วนตัวเหล่านั้นได้ข้อมูลมาจากไหน และแหล่งข้อมูลนั้นเปลี่ยนไปอย่างไร
    ตอนนี้ TLOxp ของ TransUnion เป็นบริการที่ได้รับความนิยม

    • งั้นก็คงหมายความว่า ข้อมูลที่บริษัทอะไรก็ได้เข้าถึงได้เวลาผมสมัครบัตรเครดิตหรือสมัครงาน ก็ถูกนำไปให้คนอื่นที่ไม่สนว่าผมยินยอมหรือไม่ แต่มีเงินจ่ายด้วยสินะ
    • https://www.tlo.com/about-us
      TLOxp คือเวอร์ชันล่าสุดของเทคโนโลยีพลิกเกมที่เปิดทางให้กับสาขา data fusion
      รายการการใช้งาน TLOxp ระบุไว้ว่าใช้ในการทวงหนี้ ผู้เชี่ยวชาญด้านกฎหมาย ฝ่ายกฎหมายภายในองค์กร นักสืบที่มีใบอนุญาต บริการทางการเงิน ประกันภัย ความเสี่ยงองค์กร นักข่าวเชิงสืบสวน หน่วยงานบังคับใช้กฎหมาย รัฐบาลระดับรัฐ ท้องถิ่น และรัฐบาลกลาง การกู้คืนสินทรัพย์และการยึดทรัพย์
    • เว็บไซต์ค้นหาบุคคล บางแห่งมีข้อมูลส่วนใหญ่ที่กล่าวถึงในบทความให้ใช้ฟรี
      มีข้อผิดพลาดแบบเดียวกับข้อมูลผิด ๆ ที่สถาบันการเงินถามเพื่อยืนยันตัวตน จึงคิดว่าแหล่งที่มาน่าจะเป็นบริษัทข้อมูลเครดิต
      ควรค้นหาชื่อตัวเองปีละสองสามครั้ง แล้วส่งคำขอลบข้อมูลไปยังเว็บไซต์เหล่านั้น
      ส่วนใหญ่ดำเนินการให้ค่อนข้างเร็ว
    • ความเห็นนี้ดูเหมือนจะมองบทความเบาเกินไป
      แม้อาจดูเหมือนบทความแนวคลิกเบต “โดนจับได้แล้ว” แต่ผมคิดว่าหัวข้อส่งมอบสิ่งที่สัญญาไว้ได้ตรงทีเดียว
      ประเด็นคือมีการขาย การขุดข้อมูลส่วนตัวและสิ่งที่แย่กว่านั้น ผ่านเครื่องมือค้นหาที่กำกับดูแลไม่เข้มงวดซึ่งบริษัทข้อมูลเครดิตจัดหาให้
      มีอะไรที่ทำให้ข้อกล่าวอ้างเหล่านี้อ่อนลงหรือเปล่า?
  • วิธีคิดนี้ผิดตั้งแต่ต้น
    ตัวตนและการยืนยันตัวตนของบุคคลไม่ควรตั้งอยู่บน ข้อมูลที่เปลี่ยนไม่ได้และอาจถูกเปิดเผยต่อสาธารณะได้ เช่น หมายเลขประกันสังคม หมายเลขใบขับขี่ หรือประวัติที่อยู่
    ข้อมูลพวกนี้รั่วไหลได้หลายทาง และรั่วครั้งเดียวก็อยู่ไปตลอดกาล
    เราต้องมี บัตรประจำตัวดิจิทัล กลไกการยืนยันตัวตน และการระงับข้อพิพาทที่เหมาะสม
    มันอาจไม่ถูก แต่ในระยะยาว ทางเลือกอื่นแพงกว่า

    • ไม่ใช่ว่าไม่เห็นด้วย แต่ถ้าสร้างบัตรประจำตัวดิจิทัลขึ้นมา อินเทอร์เน็ตเสรี ก็จะตายอย่างถาวรในที่สุด
    • ช่วงหลัง ๆ การเปิดบัญชีธนาคารหรือบัญชีหลักทรัพย์ดูเหมือนจะย้ายไปใช้วิธีถ่ายรูปหนังสือเดินทางจริง ๆ แล้วถ่ายเซลฟีหรือวิดีโอขณะถือหนังสือเดินทาง
      ค่อนข้างยุ่งยาก แต่แฮ็กได้ยากพอสมควร
      แน่นอนว่าถ้าไม่มีหนังสือเดินทางหรือบัตรประจำตัวที่เทียบเท่า ก็ใช้วิธีนี้ไม่ได้
    • โจรขโมยตัวตนน่าจะชอบระบบที่เมื่อเกิดการละเมิดขึ้นครั้งเดียว ก็สามารถยึดตัวตนของใครสักคนได้อย่างสมบูรณ์
      ลองนึกภาพว่ากำลังจะกู้เงิน แล้วพบว่าตัวตนของตัวเองถูกยกเลิกไปแล้ว และมีคนอื่นยึดไปเรียบร้อยแล้ว
  • TransUnion บอกว่า “ในกรณีที่พบได้ยากมากซึ่งยืนยันได้ว่ามีการใช้งาน TLOxp ในทางที่ผิด เราจะร่วมมือกับหน่วยงานบังคับใช้กฎหมายเพื่อช่วยดำเนินคดีกับผู้รับผิดชอบ” แต่นี่เป็นเรื่องโกหกสิ้นเชิง
    TransUnion เคยส่ง รายงานเครดิตฉบับเต็มของผม ให้แฮกเกอร์ที่มีแค่ข้อมูลสาธารณะ และไม่ได้ใส่ใจอะไรเลย

    • หวังว่าจะได้ร่วมมือกับหน่วยงานบังคับใช้กฎหมายเพื่อดำเนินคดีกับผู้บริหารของ TransUnion
    • ถ้าการดูแลข้อมูลอย่างหละหลวมมีผลลัพธ์ที่มีความหมาย เช่น ไม่ใช่คำพูดไร้สาระอย่าง “ขออภัย เราจะให้บริการมอนิเตอร์เครดิตฟรี” แต่เป็นค่าปรับในระดับที่เจ็บจริง ๆ บริษัทข้อมูลเครดิตก็คงปรับท่าทีไปแล้ว
      แต่ดูเหมือนเรื่องแบบนั้นจะยังไม่เกิดขึ้นในเร็ว ๆ นี้
    • ถ้ามีกำลังพอ การยื่น ฟ้องคดีแพ่ง ต่อการกระทำผิดกฎหมายของ TransUnion ก็อาจเป็นทางเลือกที่เหมาะสม
      แน่นอนว่ามันยุ่งยากมาก
    • ถ้าพร้อมจะดำเนินเรื่องร่วมกับทนาย ผมคิดว่าพวกเขาน่าจะยอมตอบหมายเรียก
    • พวกเขาเองก็พูดว่า “ในกรณีที่พบได้ยากมากซึ่งยืนยันได้ว่ามีการใช้งานในทางที่ผิด”
      แต่ไม่ได้พูดอะไรเลยว่าใส่ใจแค่ไหน หรือมีการติดตามหลังยืนยันแล้วมากน้อยเพียงใด
  • มีอีกเรื่องที่ไม่ชอบเกี่ยวกับบริษัทข้อมูลเครดิต
    ลองไปที่บริษัทนายหน้าอสังหาริมทรัพย์เชิงพาณิชย์ จะเห็นว่านายหน้าทุกคนมีไลเซนส์ของบริษัทข้อมูลเครดิต และโดยเฉพาะนายหน้าระดับจูเนียร์กำลังค้นหาข้อมูลเจ้าของอสังหาริมทรัพย์ทุกวันเพื่อโทรขายทางมือถือ
    TLO ก็น่าจะรู้ดีว่าไม่มีทางที่วงการนายหน้าอสังหาริมทรัพย์เชิงพาณิชย์ส่วนใหญ่ใช้ผลิตภัณฑ์ของตนทุกวันเพื่อ วัตถุประสงค์ในการปฏิบัติตาม GLBA แต่ก็ทำเป็นไม่เห็นและหาวิธีทำเงินจากมัน
    ไม่ต้องไปขุดคุ้ยตามมุมมืดของอินเทอร์เน็ตเพื่อให้ได้ข้อมูลนี้ด้วยซ้ำ
    แค่เดินเข้าประตูหน้าไปก็พอ

  • “ถ้ารับเงินค่าข้อมูลจากอาชญากร มันไม่ใช่การรั่วไหลของข้อมูล
    ตอนนั้นมันคือการให้บริการ”
    — บริษัทข้อมูลเครดิตทั้งหลาย

  • ถ้ามีใครโทรมาและพยายามพิสูจน์ว่าเป็น “ของจริง” โดยบอกว่ารู้ข้อมูลส่วนตัวของคุณอยู่มากแล้ว ก็ห้ามให้ ข้อมูลส่วนตัว เด็ดขาด
    ต้องโทรกลับไปยังหมายเลขที่คุณค้นหาเองเสมอ ไม่ใช่หมายเลขที่พวกเขาบอก

    • ถ้าเป็นโทรศัพท์บ้าน สิ่งสำคัญคืออย่าโทรกลับด้วยเครื่องเดียวกับที่รับสาย
      เมื่อก่อนเคยมีกรณีมิจฉาชีพโทรมาอ้างว่าเป็นธนาคาร แล้วบอกให้โทรกลับไปที่เบอร์หลังบัตรเครดิต
      พอเหยื่อวางสายแล้วยกหูใหม่ มิจฉาชีพยังค้างสายไว้ เปิดเสียงสัญญาณโทรปลอม แล้วให้อีกคน “รับสาย” เพื่อหลอกเหยื่อ
    • สมัยนี้ใครยังรับโทรศัพท์กัน?
      ถ้าเป็นเบอร์ไม่รู้จักยิ่งไม่รับเข้าไปใหญ่
    • เรื่องนี้ไม่เกี่ยวกับประเด็นนั้น
      ปัญหาที่บทความพูดถึงทำให้ทุกคนเปราะบาง
  • ต่อไปคงจะแย่ลงอีก
    มีข้อมูลที่ยังไม่ได้จัดประเภทกองเป็นภูเขาเพราะไม่มีใครสนใจ และตอนนี้ โมเดลภาษาขนาดใหญ่ ที่พอใช้ได้ก็ทำงานนั้นแทนได้แล้ว

  • ควรสั่งห้ามทั้งอุตสาหกรรมนี้ไปเลย
    ให้ศาลบันทึกการผิดนัดชำระหนี้และส่งข้อมูลนั้นให้เจ้าหนี้ก็พอ
    ในรายงานไม่ควรมีอะไรนอกเหนือจากนั้น
    ผู้ให้กู้ก็ตรวจสอบรายได้อย่างอิสระอยู่แล้ว และในกรณีสินเชื่อที่อยู่อาศัยก็ตรวจสอบค่าใช้จ่ายรายเดือนด้วย
    ข้อมูลที่เหลือซึ่งเข้าไปอยู่ในรายงานเครดิตและถูกใช้คำนวณคะแนนเครดิต ดูเหมือนมีไว้เพื่อบังคับให้ผู้คนต้องทำบัตรเครดิต และทำให้ การเหยียดเชื้อชาติแบบเชิงโครงสร้าง ดำรงอยู่ต่อไป

  • เรื่องนี้ชัดเจนมาตั้งแต่ 20 ปีก่อนแล้ว ตอนที่นักสืบเอกชนไปบรรยายในงานประชุมแฮกเกอร์ถึงสารพัดวิธีในการได้ข้อมูลที่ต้องการอย่างถูกกฎหมาย
    แค่ค้นหานิดหน่อยก็มีบริการออนไลน์ราว 500 แห่งที่ขุดข้อมูลส่วนตัวได้ด้วยเงินไม่มาก
    เป็นบริการที่ดำเนินการโดย บริษัทมหาชน ไม่ใช่แฮกเกอร์
    ดูเหมือนตอนนี้มีคนเพิ่งสร้างบอทที่ทำให้เรื่องนั้นง่ายขึ้นอีก
    บทความแบบนี้อ่านแล้วสำหรับแฮกเกอร์ก็เหมือนบทความที่บอกว่า “กลอนประตูไม่ปลอดภัย”

    • เกือบ 20 ปีก่อน ผมเคยได้รับโทรศัพท์จากแฟนเก่าของผู้หญิงที่ผมคบอยู่ตอนนั้น บอกให้ถอยไป
      สิ่งที่เขามีมีแค่ชื่อผมกับมหาวิทยาลัยที่ผมเรียน
      พอถามว่าได้เบอร์มาได้อย่างไร เขาบอกว่าใช้บริการแบบที่พูดถึงข้างต้น
      สำหรับคนที่ตั้งใจจริง เรื่องแบบนี้ไม่ได้ยากเป็นพิเศษ
    • แค่ whitepages.com หากซื้อ การตรวจสอบประวัติ 20 ดอลลาร์ ก็เผยและรวบรวมข้อมูลสาธารณะได้ค่อนข้างมาก
      สิ่งที่ต้องมีมีเพียงเบอร์โทรศัพท์ของคนนั้น
    • ข้อมูลจำนวนมากใน deep web ถูกย้ายไปอยู่หลังกำแพงจ่ายเงินราว 20 ดอลลาร์ ผมเลยไม่ได้ดูมาสักพัก
      ถึงอย่างนั้นแม้เมื่อ 20 ปีก่อนก็ชัดเจนว่า ถ้ารู้เรื่องของคนคนหนึ่งเพียงเล็กน้อย โดยเฉพาะถ้าชื่อไม่ได้พบได้ทั่วไป ก็สามารถหาข้อมูลจำนวนมหาศาลได้