วิธีที่แฮกเกอร์ใช้บริษัทข้อมูลเครดิตเพื่อเปิดเผยข้อมูลของคนเกือบทั้งประเทศในสหรัฐฯ

 (404media.co)
1 คะแนน โดย GN⁺ 2023-08-23 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • มีกรณีที่บอทบน Telegram เข้าถึงข้อมูลส่วนบุคคล เช่น ที่อยู่ หมายเลขโทรศัพท์ อีเมล และข้อมูลใบขับขี่ แล้วนำไปขายในราคา 15 ดอลลาร์เป็นบิตคอยน์
  • ข้อมูลนี้มีต้นทางจากข้อมูลส่วนหัวเครดิตที่สำนักเครดิตอย่าง Experian, Equifax และ TransUnion ถือครองอยู่ และต่อมาถูกขายให้บริษัทที่นำไปให้บริการแก่ผู้ติดตามหนี้ บริษัทประกัน และหน่วยงานบังคับใช้กฎหมาย
  • อาชญากรสามารถเข้าถึงห่วงโซ่อุปทานข้อมูลนี้ได้ และในบางกรณีก็มีการสวมรอยเป็นอดีตเจ้าหน้าที่บังคับใช้กฎหมายเพื่อขายสิทธิ์เข้าถึงทางออนไลน์ให้พวกพ้องในวงการอาชญากรรม
  • เครื่องมือนี้ถูกใช้เพื่อรวบรวมข้อมูลของเป้าหมายระดับสูง เช่น Elon Musk, Joe Rogan และแม้แต่ประธานาธิบดี Joe Biden
  • ชุมชนที่มีการโฆษณาเครื่องมือนี้มีห้องแชตที่เน้นการ swatting, SIM swapping และความรุนแรงทางร่างกาย ซึ่งบ่งชี้ถึงกิจกรรมอาชญากรรมหลากหลายรูปแบบ
  • การที่ผู้ใช้จะถอนตัวออกจากการถูกรวบรวมข้อมูลลักษณะนี้ทำได้ยากมาก และข้อมูลดังกล่าวยังสามารถถูกใช้กับคนที่ระมัดระวังการเผยแพร่ข้อมูลส่วนบุคคลอย่างดีแล้วได้ด้วย
  • วุฒิสมาชิก Ron Wyden เรียกร้องให้รัฐบาลเข้ามาแทรกแซงเพื่อหยุดบริษัทเหล่านี้จากการจัดแพ็กขายข้อมูลส่วนบุคคล
  • สำนักเครดิตรวบรวมและจัดเก็บข้อมูลส่วนบุคคลของประชากรผู้ใหญ่ส่วนใหญ่ผ่านการสมัครบัตรเครดิต และหลังจากนั้นข้อมูลนี้ก็ถูกขายต่อให้บริษัทภายนอก
  • FTC ให้นิยามข้อมูลส่วนหัวเครดิตว่าเป็นส่วนหนึ่งของรายงานเครดิตผู้บริโภค ซึ่งโดยทั่วไปประกอบด้วยชื่อ วันเกิด ที่อยู่ปัจจุบันและที่อยู่เดิม หมายเลขประกันสังคม และหมายเลขโทรศัพท์
  • โดยทั่วไป สำนักเครดิตและนายหน้าข้อมูลเชื่อว่าข้อมูลส่วนหัวเครดิตอยู่ภายใต้ Gramm-Leach-Bliley Act (GLBA) ซึ่งเป็นกฎหมายที่เปิดทางให้พวกเขาสามารถขายข้อมูลส่วนหัวเครดิตแก่บุคคลที่สามได้
  • Consumer Financial Protection Bureau (CFPB) เสนอกฎใหม่เพื่อเปลี่ยนแปลงการกำกับดูแลข้อมูลส่วนหัวเครดิต แต่กฎนี้อาจยังไม่สามารถจำกัดการเข้าถึงหรือการนำไปใช้ในทางมิชอบเชิงอาชญากรรมที่ถูกเปิดเผยจากการสืบสวนได้
  • นักรณรงค์ด้านความเป็นส่วนตัวและกฎหมายเชื่อว่าทางออกคือการให้สำนักเครดิตหยุดขายข้อมูลส่วนหัวเครดิตแก่บุคคลที่สาม

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-08-23
ความคิดเห็นจาก Hacker News
  • บทความนี้กล่าวถึงช่องโหว่ของบริษัทข้อมูลเครดิตที่แฮ็กเกอร์สามารถใช้เพื่อเข้าถึงข้อมูลส่วนบุคคลของคนอเมริกันได้
  • ผู้ใช้รายหนึ่งแนะนำให้ตั้งการอายัดเครดิตกับ 3 หน่วยงานหลัก (Experian, TransUnion, Equifax) เพื่อป้องกันการขโมยตัวตน
  • ผู้ใช้รายนี้ยังแชร์ลิงก์ไปยังหน้าสำหรับอายัดเครดิตของหน่วยงานเหล่านี้ด้วย
  • ผู้ใช้รายอื่นวิจารณ์บริษัทข้อมูลเครดิตที่เปิดให้นายหน้าอสังหาริมทรัพย์เข้าถึงข้อมูลส่วนบุคคลของเจ้าของทรัพย์สินได้
  • บทความระบุว่าแฮ็กเกอร์จ่ายเงินเพียงเล็กน้อยให้บริการ doxxing บน Telegram เพื่อให้ได้มาซึ่งข้อมูลส่วนบุคคล และ TLOxp ของ TransUnion เป็นตัวเลือกยอดนิยม
  • ผู้ใช้รายหนึ่งอ้างว่า TransUnion ส่งมอบรายงานเครดิตทั้งหมดของตนให้กับแฮ็กเกอร์ ซึ่งขัดแย้งกับคำแถลงของบริษัทที่บอกว่าจะร่วมมือกับหน่วยงานบังคับใช้กฎหมายในกรณีที่มีการใช้ในทางที่ผิด
  • ผู้ใช้รายหนึ่งเสนอว่าอัตลักษณ์ส่วนบุคคลและการยืนยันตัวตนไม่ควรอิงกับข้อมูลที่เปิดเผยต่อสาธารณะและไม่สามารถเปลี่ยนแปลงได้ เช่น หมายเลขประกันสังคม หมายเลขใบขับขี่ เป็นต้น แต่ควรมี digital ID ระบบยืนยันตัวตน และกลไกการระงับข้อพิพาทที่เหมาะสมแทน
  • มีการเตือนผู้ใช้ว่าอย่าเปิดเผยข้อมูลส่วนบุคคลให้กับคนที่โทรมา แม้พวกเขาจะดูเหมือนมีข้อมูลส่วนตัวของเราอยู่มากแล้วก็ตาม
  • ผู้ใช้รายหนึ่งวิจารณ์ว่าบริษัทข้อมูลเครดิตขายข้อมูลให้กับอาชญากร แล้วเรียกสิ่งนี้ว่า "การให้บริการ"
  • ผู้ใช้รายอื่นคาดการณ์ว่าสถานการณ์จะเลวร้ายลงเมื่อมีข้อมูลที่ไม่ถูกจัดประเภทให้ใช้งานได้มากขึ้น
  • บทความยังกล่าวด้วยว่าสามารถได้มาซึ่งข้อมูลส่วนบุคคลอย่างถูกกฎหมาย และมีบริการออนไลน์จำนวนมากที่พร้อมให้ข้อมูลเหล่านี้โดยคิดค่าบริการ
  • ผู้ใช้รายหนึ่งเรียกร้องให้ยกเลิกระบบเครดิตที่ทำงานโดยไม่มีการยินยอมอย่างชัดแจ้งจากเจ้าของข้อมูล และให้มีการประกาศสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคล