ที่ Experian ใครก็ยังสามารถกลายเป็นคุณได้อย่างง่ายดาย
(krebsonsecurity.com)- บัญชี Experian สามารถถูกยึดได้ด้วยการลงทะเบียนใหม่โดยใช้ ข้อมูลส่วนบุคคลชุดเดียวกัน แต่ใช้อีเมลคนละที่ และปัญหาการยืนยันตัวตนที่ถูกเปิดเผยในปี 2022 ก็ยังคงอยู่แม้ผ่านไป 16 เดือน
- การลงทะเบียนใหม่ใช้ Social Security number, วันเกิด, ชื่อ, ที่อยู่, อีเมล, รหัสผ่าน และ คำถามความปลอดภัยแบบอิงความรู้ ขณะที่การยืนยันทางโทรศัพท์มือถือสามารถข้ามได้ด้วยตัวเลือก “Continue another way”
- เมื่อสร้างบัญชีใหม่แล้ว จะสามารถดู ไฟล์เครดิตทั้งหมด รวมถึงตั้งค่าและยกเลิกการแช่แข็งเครดิตได้ และอีเมลเดิมจะได้รับเพียงการแจ้งเตือนการเปลี่ยนแปลง ไม่ใช่คำขออนุมัติ
- Equifax และ TransUnion กำหนดให้ยืนยันรหัสที่ส่งไปยังอีเมลหรือหมายเลขโทรศัพท์ที่ลงทะเบียนไว้เมื่อมีการเปลี่ยนแปลงบัญชีเดิม แต่ Experian ไม่ได้ให้วิธีอนุมัติการเปลี่ยนแปลงหรือกู้คืนบัญชีแก่ผู้ใช้เดิม
- หากผู้โจมตีสามารถสร้างบัญชีใหม่ด้วยหมายเลขโทรศัพท์และอีเมลใหม่ได้ การยืนยันตัวตนหลายปัจจัย ณ ตอนล็อกอินเพียงอย่างเดียวก็ยากที่จะป้องกันการยึดบัญชีได้
Experian ที่เคยสร้างบัญชีใหม่ด้วยอีเมลอื่นได้
- ในฤดูร้อนปี 2022 มีการยืนยันกรณีที่บัญชี Experian ถูกยึดโดยการ ลงทะเบียนใหม่ด้วยอีเมลคนละที่
- ผ่านไป 16 เดือน ปัญหาเดิมก็ยังคงอยู่ และบัญชี Experian ของ Krebs เองก็เพิ่งถูกยึดไปเช่นกัน
- เมื่อขอสำเนาไฟล์เครดิต Experian ผ่าน annualcreditreport.com ทาง Experian ปฏิเสธที่จะให้โดยอ้างว่าไม่สามารถยืนยันตัวตนได้
- การล็อกอินโดยตรงที่ Experian.com ก็ล้มเหลว และเว็บไซต์แสดงว่าไม่รู้จักชื่อผู้ใช้หรือรหัสผ่าน
- ในขั้นตอนขอชื่อผู้ใช้ ต้องใช้ Social Security number แบบเต็มและวันเกิด จากนั้นระบบแสดงบางส่วนของอีเมลที่ Krebs ไม่ได้อนุมัติหรือไม่รู้จัก
จุดอ่อนการยืนยันตัวตนที่เผยให้เห็นในขั้นตอนลงทะเบียนใหม่
- หน้าแรกของ Experian ขอ Social Security number และหมายเลขโทรศัพท์มือถือ พร้อมแจ้งว่าจะส่งลิงก์ยืนยันตัวตนให้
- ดูเหมือนว่าเว็บไซต์จะไม่บล็อกแม้ใส่ หมายเลขโทรศัพท์ใดก็ได้ในสหรัฐฯ และหากเลือก “Continue another way” ก็สามารถข้ามขั้นตอนนี้ได้
- หลังจากนั้น การสร้างบัญชีใหม่ต้องใช้ข้อมูลต่อไปนี้
- ชื่อ-นามสกุล
- ที่อยู่
- วันเกิด
- Social Security number
- อีเมล
- รหัสผ่านที่เลือก
- ขั้นตอนถัดไปต้องตอบ คำถามความปลอดภัย แบบปรนัย 3–5 ข้อ ซึ่งคำตอบมักอิงจากบันทึกสาธารณะ
- ตอนที่ Krebs สร้างบัญชีใหม่ ในคำถาม 5 ข้อ มีเพียง 2 ข้อที่เกี่ยวข้องกับข้อมูลจริง และทั้งสองข้อเป็นคำถามเกี่ยวกับที่อยู่ที่เคยอาศัยในอดีต
- เมื่อผ่านคำถามปรนัยแล้ว ระบบจะให้ตั้ง PIN 4 หลัก และตั้งคำตอบใหม่สำหรับหนึ่งในคำถามที่กำหนดไว้ล่วงหน้า
- หลังสร้างบัญชีใหม่แล้ว สามารถไปยังแดชบอร์ด Experian ได้ และจากตรงนั้นสามารถดูไฟล์เครดิตทั้งหมด รวมถึงแช่แข็งหรือยกเลิกการแช่แข็งเครดิตได้
สิ่งที่เหลือให้ผู้ใช้เดิมมีเพียงการแจ้งเตือนการเปลี่ยนแปลง
- เมื่อข้อมูลบัญชีเปลี่ยน Experian จะส่งข้อความไปยังอีเมลเดิมว่าโปรไฟล์ผู้ใช้บางส่วนถูกเปลี่ยนแปลง
- ข้อความนี้ไม่ใช่ คำขอยืนยัน แต่เป็นเพียงการแจ้งเตือนการเปลี่ยนแปลง และสิ่งที่ผู้ใช้เดิมทำได้มีเพียงคลิกลิงก์เข้าสู่ระบบ Experian.com
- ผู้ใช้เดิมที่ได้รับการแจ้งเตือนจะไม่สามารถล็อกอินด้วยข้อมูลรับรองของบัญชี Experian เดิมได้อีก
- PIN และคำถามกู้คืนบัญชีก็ถูกเปลี่ยนไปแล้ว ดังนั้นหากผู้ใช้เดิมต้องการเอาบัญชีกลับคืน ต้องสร้างบัญชีใหม่อีกครั้งกับ Experian
- Equifax และ TransUnion จะอนุญาตให้เปลี่ยนแปลงบัญชีเดิมได้ก็ต่อเมื่อกรอกรหัสที่ส่งไปยังอีเมลหรือหมายเลขโทรศัพท์ที่ลงทะเบียนไว้
คำตอบจาก Experian และกรณีตรวจสอบจากผู้อ่าน
- Experian ปฏิเสธที่จะแชร์ที่อยู่อีเมลแบบเต็มซึ่งถูกเพิ่มเข้าไปในไฟล์เครดิตของ Krebs โดยไม่ได้รับอนุญาต
- โฆษก Experian Scott Anderson ระบุว่าบริษัทได้ใช้แนวทางความปลอดภัยแบบหลายชั้น ซึ่งรวมถึงมาตรการทั้งแบบแมนนวลและเชิงรุก เพื่อปกป้องตัวตนและข้อมูลของผู้บริโภค และยังพัฒนาอย่างต่อเนื่อง
- ตามที่ Anderson กล่าว มาตรการดังกล่าวรวมถึงคำถามและคำตอบแบบอิงความรู้ ตลอดจนขั้นตอนยืนยันการเป็นเจ้าของหรือครอบครองอุปกรณ์
- ผู้บริโภคทุกคนสามารถเปิดใช้ การยืนยันตัวตนหลายปัจจัย ที่จะถูกขอทุกครั้งเมื่อเข้าสู่ระบบบัญชีได้ แต่หากสามารถสร้างบัญชีใหม่ด้วยหมายเลขโทรศัพท์และอีเมลใหม่ได้ ประสิทธิผลก็มีข้อจำกัด
- ผู้อ่านที่เห็นโพสต์เกี่ยวกับ Experian บน Mastodon ก็ยืนยันปัญหาเดียวกัน
- @Jackerbee ระบุว่าได้ใส่หมายเลขโทรศัพท์ที่สองและอีเมลใหม่ โดยอีเมลเดิมได้รับเพียงอีเมลฉบับเดียวว่าข้อมูลถูกอัปเดต และไม่มีการยืนยันอีเมลเดิม
- ไม่มี SMS แจ้งเตือนไปยังหมายเลขโทรศัพท์เดิม และหลังจากนั้น 2FA ตอนล็อกอินก็ทำงานผ่านหมายเลขโทรศัพท์ใหม่
- PeteMayo สร้างบัญชี Experian ใหม่สองครั้งในสัปดาห์เดียวกัน และครั้งที่สองใส่หมายเลขโทรศัพท์บ้านแบบสุ่ม
- ในกรณีของ PeteMayo หลังจากมีคำถาม 5 ข้อเกี่ยวกับประวัติส่วนตัว ระบบก็ให้สิทธิ์เข้าถึงทั้งหมดพร้อมข้อความ “Welcome back, Pete!”
เหตุการณ์ความปลอดภัยของ Experian ที่เกิดซ้ำ
- ผู้ที่ยึดบัญชีของ Krebs ไม่ได้ยกเลิกการแช่แข็งเครดิต หรือหากยกเลิกแล้วก็ได้แช่แข็งกลับไว้แล้ว
- หาก Experian ไม่เปลี่ยนกระบวนการยืนยันตัวตน บัญชี Experian ของ Krebs ก็อาจถูกยึดได้อีก
- ที่ Experian เคยเกิดเหตุเกี่ยวกับ จุดอ่อนการยืนยันตัวตนขั้นพื้นฐาน ซ้ำหลายครั้งในอดีต
- ในเดือนธันวาคม 2022 มีการพบวิธีหลบเลี่ยงที่ทำให้เข้าถึงรายงานเครดิตฉบับเต็มของผู้บริโภคได้ด้วยเพียงชื่อ ที่อยู่ วันเกิด และ Social Security number โดย Experian ยอมรับว่าช่องโหว่นี้คงอยู่เกือบ 7 สัปดาห์ ตั้งแต่วันที่ 9 พฤศจิกายนถึง 26 ธันวาคม 2022
- ในเดือนเมษายน 2021 การยืนยันตัวตนของหน้าค้นหา PIN ของ Experian หละหลวม ทำให้ผู้ขโมยตัวตนสามารถยกเลิกการแช่แข็งไฟล์เครดิตของผู้บริโภคได้
- ในเดือนเดียวกันนั้น มีการเปิดเผยกรณีที่ Experian API ทำให้คะแนนเครดิตของชาวอเมริกันส่วนใหญ่รั่วไหล
- กรณีที่เกี่ยวข้องในอดีตรวมถึงคดีฟ้องแบบกลุ่มเรื่องความปลอดภัยบัญชีในปี 2022, การรั่วไหลของ PIN สำหรับการแช่แข็งเครดิตในปี 2017, การละเมิดข้อมูลลูกค้า 15 ล้านรายในปี 2015, การอนุญาตให้เข้าถึงบันทึกผู้บริโภค 200 ล้านรายการในปี 2014 และเหตุการณ์ในปี 2013 ที่ขายข้อมูลผู้บริโภคให้กับบริการขโมยตัวตน
1 ความคิดเห็น
ความคิดเห็นบน Hacker News
ปัญหาพื้นฐานตรงนี้คือ ต้นทุนในการรักษาความปลอดภัย สูง และบางครั้งการรับมือหลังโดนแฮ็กกลับถูกกว่าด้วยซ้ำ
ทางออกเดียวคือทำให้บริษัทที่ถูกแฮ็กต้องจ่าย ต้นทุนมหาศาล ผ่านค่าปรับและคดีความจากเหยื่อการขโมยตัวตน
การดึงรายงานเครดิตหนึ่งครั้งมีค่าใช้จ่ายแค่ไม่กี่เซ็นต์ ก็ใช้การยืนยันตัวตนแบบอิงความรู้ได้ เช่น “เคยอาศัยอยู่ที่ไหน” หรือ “บัญชีนี้เป็นของคุณหรือไม่”
การยืนยันตัวตนโดยอิงข้อมูลรับรองจากภาครัฐอย่าง ID.me หรือ Stripe Identity ก็อยู่ที่ราว 1.50–2.00 ดอลลาร์ต่อครั้งเท่านั้น
ปัญหาคือภาระความเสียหายจากการฉ้อโกงถูกผลักไปให้ผู้บริโภค ทำให้ไม่มีแรงจูงใจในการเพิ่มต้นทุนเล็กน้อยเพื่อลดการฉ้อโกง และสำนักเครดิตก็ไม่ต้องการให้คูเมืองทางธุรกิจและแหล่งรายได้ของตนถูกกัดเซาะ
สรุปคือ ถ้ามี ระบบตัวตนดิจิทัลระดับชาติ ที่ดีกว่านี้ ปัญหานี้ก็จะหายไป
ผมทำงานด้าน IAM ลูกค้า รวมถึงการยืนยันตัวตนในสายฟินเทค และในฐานะนักกิจกรรมภาคประชาชนก็มีส่วนทำงานเกี่ยวกับ Login.gov อยู่บ้าง
ถ้าการดำเนินงานอย่างปลอดภัยมีค่าใช้จ่ายสูงเกินไป ก็ควรตั้งคำถามตั้งแต่แรกว่าบริการแบบนี้ควรมีอยู่หรือไม่ และมีสิทธิ์เก็บ ข้อมูลส่วนบุคคลและข้อมูลส่วนตัว จำนวนมากหรือไม่
GDPR สามารถปรับได้สูงสุดถึง 4% ของรายได้ทั่วโลก
แน่นอนว่าเราไม่ใช่ลูกค้าของ บริษัทเฝ้าระวัง พวกนี้
ถึงอย่างนั้นก็ยังน่าตกใจที่ความปลอดภัยแทบไม่มีเลย แต่สำหรับลูกค้าจริง ๆ ก็ไม่ถึงขั้นเป็นเหตุให้ยกเลิกการทำธุรกิจ
ถ้าบริการนี้เปิดทางให้ปลอมเป็นใครก็ได้ในทางปฏิบัติ ก็ไม่เข้าใจจริง ๆ ว่าจะมีเหตุผลอะไรให้ใช้งาน
บริษัทต่าง ๆ จ่ายเงินให้ Experian เพื่อเข้าถึงข้อมูลเกี่ยวกับบุคคล และเหตุผลเดียวที่ Experian ยอมให้มีบัญชีสำหรับบุคคลทั่วไปก็เพราะกฎหมายบังคับให้ต้องให้บริการอย่างการแช่แข็งเครดิตหรือรายงานเครดิตประจำปี
ถ้าไม่ถูกบังคับ ก็คงไม่ทำเลย และไม่มีแรงจูงใจแม้แต่น้อยที่จะปรับปรุงประสบการณ์หรือความปลอดภัย
หากถอยออกมามองภาพรวม ปัญหาที่แท้จริงคือ การไม่มีอยู่ของกฎหมายคุ้มครองความเป็นส่วนตัว
ธนาคาร บริษัท และนายจ้างควรถูกห้ามไม่ให้แบ่งปันข้อมูลส่วนบุคคลกับบุคคลที่สาม
ที่สวิตเซอร์แลนด์ซึ่งผมอาศัยอยู่ก็เป็นแบบนั้นจริง ๆ และแม้แต่รัฐบาลก็ไม่ได้ข้อมูลนี้ง่าย ๆ
หากรัฐบาลสงสัยว่ามีการเลี่ยงภาษี ก็ต้องขอหมายและดำเนินตามกระบวนการเช่นเดียวกับคดีอาญาอื่น ๆ
บันทึกทางการเงินที่เข้าถึงได้มีเพียง “Betreibungen” ซึ่งเป็นบันทึกกระบวนการทวงหนี้ตามกฎหมาย
ก่อนจะให้เครดิตกับใคร คุณตรวจได้แค่ว่ามีคนอื่นต้องถึงขั้นฟ้องร้องเพื่อทวงเงินจากคนนั้นหรือไม่
แต่ถึงจะไม่มีสำนักเครดิต ทุกอย่างก็ยังดำเนินไปได้ดีด้วยข้อมูลเพียงเล็กน้อยเท่านี้
เพียงแต่เพราะแรงกดดันระหว่างประเทศอย่าง FATCA กฎหมายสวิสจึงถูกเปลี่ยนให้ธนาคารต้องรายงานในกรณีของลูกค้าต่างชาติ
สวิตเซอร์แลนด์เป็นตัวอย่างที่ดีว่าทำไม ความเป็นส่วนตัวทางการเงินแบบสมบูรณ์ ถึงไม่ยุติธรรมกับผู้เสียภาษีทั่วไป
เพราะมันเปิดทางให้คนรวยมาก ๆ ซ่อนภาษีที่ตัวเองควรจ่ายได้
มีข้อมูลว่า “ชาวสวิสราว 36% เป็นเจ้าของบ้านหรืออพาร์ตเมนต์ ซึ่งเป็นอัตราต่ำที่สุดในโลกตะวันตก ต่ำกว่าค่าเฉลี่ยสหภาพยุโรปที่ 70% และสหรัฐฯ ที่ 67% มาก”
ปัจจัยมีหลายอย่าง แต่ถ้ามีข้อมูลเกี่ยวกับความน่าเชื่อถือน้อยลง ก็น่าจะทำให้ผู้ให้ทุนไม่ค่อยกระตือรือร้นที่จะสนับสนุนการซื้อครั้งใหญ่ของใครสักคน
[1] https://www.nytimes.com/2023/11/06/realestate/zurich-switzer...
บริษัทที่ผมทำงานอยู่ ผมจะไม่บอกชื่อ แต่เป็น FAANG และบริษัทนี้ซื้อข้อมูลแล้วรับคุกกี้จาก Experian เพื่อนำไปใช้ติดตามและสร้างกราฟได้ดียิ่งขึ้น
สหรัฐฯ พูดอยู่เรื่อยว่าห่วงใยความเป็นส่วนตัวของประชาชน แต่ในความเป็นจริงไม่ได้สนใจเลย
ถ้าบังคับใช้กฎหมายความเป็นส่วนตัวอย่างจริงจัง ก็น่าจะกระทบไปถึงเรื่องอย่างบัญชีธนาคารด้วย เพราะบริษัทเทคโนโลยียักษ์ใหญ่ติดอันดับต้น ๆ ในดัชนีหุ้น 500 ตัวแรก
มี คำร้องผ่าน Resistbot ถูกเผยแพร่ขึ้นมาเพื่อให้ฝ่ายนิติบัญญัติเห็นปัญหานี้
https://resist.bot/petitions/PONADR
https://resist.bot/petitions
ในเยอรมนีมีอย่างเช่น Campact และโดยปกติคำร้องหนึ่งฉบับจะมีลายเซ็นเกิน 200,000 รายชื่อ
ถ้าในอเมริกาไม่มีอะไรแบบนี้ ผมคิดว่าควรมีคนที่มีเงินสร้างขึ้นมา หรือไม่ก็โปรโมตทางออกที่มีอยู่แล้วอย่าง OpenPetition ให้เข้าถึงผู้ลงชื่อประจำจำนวนมากพอ
https://en.wikipedia.org/wiki/Campact
ถ้ามีบริษัทประเมินเครดิตอยู่ 3 แห่ง มีวิธีหลีกเลี่ยงไม่ให้มี คะแนนเครดิต กับหนึ่งในนั้นหรือไม่?
คิดว่าอาจเป็นวิธีเพิ่มการแข่งขันในตลาดนี้ในฐานะผู้บริโภคได้
ลองค้นดูแล้วแต่ดูเหมือนไม่มีทางเลือกที่ง่ายนัก
โดยปกติผู้ให้กู้จะรายงานข้อมูลไปยังบริษัทประเมินเครดิตใหญ่ทั้ง 3 แห่ง ดังนั้นถ้าจะไม่ให้มีการรายงานข้อมูลเลย ก็ต้องปิดทั้งบัตรเครดิตและเงินกู้ทั้งหมด และอายัดรายงานเครดิตไว้
ดูแล้วแนวคิดเรื่อง “เพิ่มการแข่งขัน” คงใช้ไม่ได้ในกรณีนี้
พวกเราไม่ใช่ลูกค้าของบริษัทประเมินเครดิต แต่เป็นสินค้า และลูกค้าคือผู้ให้กู้กับคนอื่น ๆ ที่ต้องการข้อมูลของเรา
จากมุมมองของผู้ให้กู้ โครงสร้างแบบนี้ทำงานได้ดี เพราะภาระเรื่อง “การขโมยตัวตน” ถูกผลักจากผู้ให้กู้ที่ควรต้องตรวจสอบตัวตนผู้สมัครให้ถูกต้องก่อนปล่อยเครดิต ไปอยู่ที่ประชาชนทั่วไปแทน
คำว่า “การขโมยตัวตน” เองก็แทบจะเป็นชื่อที่ผิด ซึ่งถูกสร้างมาเพื่อโยนความรับผิดให้ปัจเจกบุคคล
ตามอุดมคติแล้ว ความรับผิดชอบควรอยู่ที่ผู้ให้กู้ในการป้องกันไม่ให้อาชญากรนำข้อมูลของฉันไปใช้ในทางที่ผิด และในการแก้ไขเมื่ออาชญากรพยายามใช้ข้อมูลของฉันไปฉ้อโกง
ทางออกที่ดีกว่าคือยกระดับ มาตรฐานการยืนยันตัวตน ของผู้ให้กู้
แบบนั้นภาระในการยืนยันตัวตนจริง ๆ ก่อนให้เครดิตก็จะย้ายกลับไปอยู่ที่ผู้ให้กู้
ผู้ให้กู้บางรายตรวจสอบได้ดีพอสมควรจริง แต่บางแห่งก็ดูเหมือนรับข้อมูลที่ได้มาโดยไม่ตั้งคำถาม
มาตรฐานที่สูงขึ้นทั้งอุตสาหกรรม ไม่ว่าจะโดยสมัครใจหรือเป็นข้อบังคับทางกฎหมาย น่าจะช่วยแก้ปัญหานี้ได้
บริษัทประเมินเครดิตทำงานเหมือน บริษัทสาธารณูปโภคเอกชน ที่แทบไม่มีทางเลือก
ถ้ามันเหมือนแอปจัดการรหัสผ่าน เราก็คงประเมินหลายบริษัท เลือกเจ้าไหนก็ได้ที่ต้องการ แล้วถ้ามีปัญหาก็ย้ายออกได้ทุกเมื่อ
พวกเขาได้ข้อมูลของเราจากทุกบริษัทที่เราทำธุรกรรมด้วย
คุณคงต้องไล่ดูความเชื่อมโยงทั้งหมดที่เกี่ยวข้องกับบริษัทประเมินเครดิตทีละกรณี
ถ้าไม่เคยทำบัตรเครดิตและไม่เคยกู้เงิน ก็อาจพอป้องกันตัวเองจาก “การสืบค้น” ของพวกเขาได้ในระดับหนึ่ง
ดังนั้นคุณต้องหลีกเลี่ยงบริษัทที่รายงานให้พวกเขา แต่ปกติแล้วบริษัทก็มักรายงานพร้อมกันหลายแห่ง
ถ้าเป็นบริษัท คุณอาจเลือกได้ว่าจะรายงานให้หน่วยงานไหน
เมื่อไม่กี่วันก่อน ฉันสร้างโปรไฟล์ของตัวเองแล้วพยายามล็อกอินเพื่อดูว่ามีอะไรเกิดขึ้นในบัญชี แต่เว็บพังมากจนล็อกอินไม่ได้ด้วยซ้ำ
ขนาดฉันยังเป็นตัวเองไม่ได้เลย ก็ไม่รู้ว่าคนอื่นจะปลอมเป็นฉันได้ยังไง
สิ่งที่คุณใช้ไม่ใช่ช่องทางสำหรับลูกค้า Experian แต่เป็นช่องทางสำหรับ คนที่เป็นภาระของ Experian
ช่วงไม่กี่สัปดาห์ที่ผ่านมา ฉันได้รับอีเมลยืนยันการซื้อจากร้านค้าปลีกรายใหญ่อย่าง Casas Bahia, Americanas และ Magazine Luiza นับไม่ถ้วน
ในใบแจ้งหนี้ของสมาร์ตโฟนและแล็ปท็อปหลายรายการมีชื่อฉันกับ CPF ของฉันอยู่
ฉันติดต่อร้านค้าทุกรายแล้ว แต่ดูเหมือนมีแค่ Magazine Luiza ที่ยอมรับว่าเป็นการฉ้อโกงและออกคำเตือน แม้อย่างนั้นฉันก็ยังคงได้รับใบแจ้งหนี้ต่อไป
ฉันติดต่อสถานีตำรวจท้องที่และได้ boletim de ocorrência มา ซึ่งไม่รู้จะแปลว่าอะไรดี แต่เป็นเอกสารที่อธิบายปัญหาและสถานการณ์ที่ฉันไม่สามารถดำเนินการตอบโต้ได้
ฉันกังวลมากว่าผลกระทบจากเรื่องนี้กำลังจะตามมา และรู้สึกหมดหนทางโดยสิ้นเชิงในการปกป้อง ตัวตนของฉัน
ลองติดต่อผู้ตรวจการของแต่ละบริษัท หรือก็คือ ouvidoria แล้วอธิบายสถานการณ์ดู
ถึงพวกเขาจะไม่สามารถแก้ปัญหาได้จริง อย่างน้อยก็จะมีหลักฐานว่าคุณพยายามแก้ไขอย่างเป็นมิตรแล้ว
กรณีเลวร้ายที่สุดคือร้านค้าอาจส่งใบเรียกเก็บเงินปลอมเหล่านี้ไปให้บริษัทติดตามหนี้ และรายงานไปยังบริษัทประเมินเครดิต
อย่าจ่ายหนี้ปลอมนี้แม้แต่บาทเดียว และอย่าไปเจรจาต่อรองด้วย
เพราะมันเป็นการฉ้อโกง ทางเลือกเดียวคือต้องให้หนี้นั้นหายไปเท่านั้น
เงินที่ค้างอยู่คือเงินของพวกเขา และถ้าคุณจ่าย ความรับผิดจะย้ายมาอยู่ที่คุณ
คุณมีเอกสาร Boletim de Ocorrência และหลักฐานการติดต่อกับบริษัทอยู่แล้ว เช่น หมายเลขรับเรื่องและวันที่ ดังนั้นถ้ามันถูกส่งขึ้นไปยังบริษัทประเมินเครดิต คุณก็ฟ้องร้องและเรียกค่าเสียหายได้เลย
นี่เป็นคดีที่ง่ายและพบบ่อย ซึ่งทั้งบริษัทประเมินเครดิตและร้านค้าปลีกต่างก็อยากตกลงยอมความ
พวกเขาทำให้คุณเสียเวลา ดังนั้นก็ควรต้องจ่ายราคา
พวกเขาไม่มีหลักฐานว่าคุณเป็นคนทำธุรกรรมนั้น
แล้วถ้าร้านค้า ธนาคาร และบริษัทบัตรเครดิตอยากหลีกเลี่ยงการฉ้อโกงจริง ๆ การซื้อและการสมัครทุกอย่างก็คงต้องมีการป้องกันระดับเดียวกับธุรกรรมอสังหาริมทรัพย์
ต้องมีลายเซ็น การพบหน้ากัน การชำระล่วงหน้า ธนาคาร ทนาย ความรับรองเอกสาร ไปจนถึงลายเซ็นเข้ารหัส และยังมี e-CPF ด้วย แต่ไม่มีใครใช้
แต่การป้องกันการฉ้อโกงได้ 100% ย่อมหมายถึงความฝืด และธุรกิจค้าปลีกทั่วไปไม่ชอบความฝืด
ท้ายที่สุดนี่คือ การตัดสินใจทางธุรกิจ ของพวกเขาเอง คือยอมรับความเสี่ยงเพื่อให้รับเงินได้ง่ายขึ้น
ในบริบทส่วนใหญ่ การให้ข้อมูลเท็จเกี่ยวกับใครบางคนในลักษณะที่ทำให้เขาเสียหายถือเป็นการใส่ร้ายหรือหมิ่นประมาท
ควรกลับมาทบทวนว่า รายงานเครดิต สมควรได้รับการยกเว้นจากความรับผิดแบบนั้นหรือไม่ และภายใต้เงื่อนไขใด
ถ้าบริษัทประเมินเครดิตส่งข้อมูลเท็จเกี่ยวกับเราให้ผู้ให้กู้ จนทำให้เราไม่ได้รับเงินกู้ หรือถูกคิดดอกเบี้ยสูงกว่าที่ควร เราก็ควรชนะคดีเรียกค่าเสียหายทางการเงินได้
ไม่ควรสำคัญด้วยซ้ำว่าพวกเขารู้หรือไม่ว่ามันเป็นข้อมูลเท็จ
ไม่ว่าจะเป็นความประมาทหรือเจตนาร้าย ความเสียหายก็เกิดขึ้นแล้ว
ถ้าไม่ใช่บุคคลสาธารณะ การหมิ่นประมาทต้องมีอย่างน้อยความประมาทในการตรวจสอบข้อเท็จจริง
กล่าวคือ ความประมาทจะเกิดขึ้นก็ต่อเมื่อมีเหตุผลเพียงพอที่จะเชื่อว่าข้อมูลนั้นเป็นเท็จ
ถ้าคุณแจ้งบริษัทประเมินเครดิตว่าบัญชีนั้นเป็นการฉ้อโกง นั่นก็เท่ากับเป็นการแจ้งว่าบัญชีนั้นไม่ใช่ของคุณจริง ๆ และหากพวกเขาลบบัญชีนั้นออกจากรายงาน ก็จะพ้นจากความรับผิดในการเผยแพร่ข้อมูลหมิ่นประมาทลักษณะนั้นต่อไป
สัปดาห์ที่แล้วฉันได้รับ การแจ้งข้อมูลรั่วไหล สองครั้ง
ครั้งหนึ่งมาจากผู้ให้บริการทางการแพทย์ของฉัน อีกครั้งมาจากธนาคารที่ถือสินเชื่อจำนองบ้านของฉัน
ทั้งสองแห่งบอกให้ล็อกเครดิต และให้บริการติดตามเครดิตฟรี 1 ปี
นี่ไม่เพียงพออย่างน่าเหลือเชื่อ และฉันคิดว่าจำเป็นต้องมีกฎระเบียบในด้านนี้มากกว่านี้
ควรมีการติดตามเครดิตตลอดชีพ การประกันเต็มรูปแบบสำหรับการฉ้อโกงทางการเงินทั้งหมดที่เกิดขึ้นในชื่อของฉัน และการชดเชยค่าเสียหายโดยประมาณแบบจ่ายทันที
ต้นตอของปัญหาคือระบบยืนยันตัวตนของสหรัฐฯ ยุ่งเหยิงมาก
มันไม่แยกความต่างระหว่างตัวระบุเฉพาะอย่าง SSN กับค่าความลับ ซึ่งก็คือ SSN เหมือนกัน
คำถามความปลอดภัยอื่น ๆ ทั้งหมดก็เป็นเพียงรูปแบบหนึ่งของปัจจัยยืนยันตัวตนแบบเดียวกันคือ “สิ่งที่รู้” ซึ่งมิจฉาชีพหามาได้ง่ายในท้ายที่สุด
พูดตามตรงคือไม่มีวิธีที่ตกลงร่วมกันไว้สำหรับพิสูจน์ว่าคุณคือคุณจริง ๆ
DMV ควรเริ่มออกบัตรประจำตัวที่เป็นทั้งบัตรจริงแบบบัตรเครดิตและมีความสามารถดิจิทัล
เราต้องการอะไรบางอย่างแบบ Apple Pay หรือ Android Pay สำหรับการยืนยันตัวตนออนไลน์ และควรบังคับให้ธนาคารรองรับบัตรประจำตัวดิจิทัล
และควรบังคับใช้กฎหมายอย่างเข้มงวดกับผู้ที่นำบัตรประจำตัวดิจิทัลไปใช้ในทางที่ผิด
ฉันคิดว่าผลจากการเพิกเฉยต่อปัญหานี้ทำให้ GDP หายไปกับการฉ้อโกงอย่างน้อยปีละหลายหมื่นล้านดอลลาร์
ที่สำคัญกว่านั้นคือสถานะความเป็นรัฐภายใต้หลักนิติธรรมกำลังถูกบ่อนเซาะลงอย่างช้า ๆ
แค่การออกบัตรก็ยากอยู่แล้ว และรัฐต่าง ๆ ที่ปิดหน่วยเลือกตั้งในย่านชนชั้นแรงงานและตัดงบ DMV ก็คงจะต่อสู้จนถึงที่สุดกับรูปแบบใดก็ตามที่ต้องให้ฟรีกับทุกคน
คำตอบก็คือคุณต้องให้ ค่าความลับดิจิทัล บางอย่างที่ใช้ให้สิทธิ์เข้าถึงเหมือนกับที่ตอนนี้ให้ SSN
จากนั้นค่าความลับดิจิทัลนั้นก็จะไปอยู่ในที่ออนไลน์แบบเดียวกับที่ SSN อยู่ตอนนี้ และก็จะเปราะบางต่อการแฮ็กแบบเดียวกัน
ฉันไม่เข้าใจว่านี่จะแก้อะไรได้
ฉันทำบัญชีขึ้นมาตามคำแนะนำในบทความเพื่อไม่ให้คนอื่นมาลงทะเบียนแทน แต่ดูเหมือนว่ามันพาฉันไปสมัคร บัญชีกระแสรายวันดิจิทัล โดยอัตโนมัติ
ฉันไม่ต้องการสิ่งนี้เลย