"ใคร ๆ ก็ยังเป็นคุณได้อย่างง่ายดายที่ Experian"

ปัญหาความปลอดภัยของ Experian ยังคงดำเนินต่อไป

• ในช่วงฤดูร้อนปี 2022 มีรายงานกรณีที่บัญชีรายงานเครดิตผู้บริโภคของ Experian ถูกยึดไปใช้ เพียงแค่ลงทะเบียนใหม่โดยเปลี่ยนที่อยู่อีเมลเท่านั้น
• แม้ผ่านไป 16 เดือนแล้ว Experian ก็ยังไม่สามารถแก้ไขปัญหาความปลอดภัยร้ายแรงนี้ได้
• บัญชี Experian ของผู้สื่อข่าวก็เพิ่งถูกแฮ็กเมื่อไม่นานมานี้ และต้องสร้างบัญชีใหม่เพื่อกู้คืนการเข้าถึงบัญชี

กระบวนการลงทะเบียนบัญชีใหม่ที่ทำได้ง่าย

• เมื่อนักข่าวกรอก SSN (หมายเลขประกันสังคม) และวันเกิดลงใน Experian ก็พบว่าบัญชีถูกผูกกับที่อยู่อีเมลที่ตนไม่ได้ยืนยัน
• เว็บไซต์ของ Experian ขอ SSN และวันเกิดเพื่อค้นหาชื่อผู้ใช้ของบัญชี และแสดงบางส่วนของที่อยู่อีเมลที่ยังไม่ได้รับการยืนยัน
• Experian ยังเปิดให้สร้างบัญชีไฟล์เครดิตขึ้นใหม่ได้โดยใช้ข้อมูลส่วนบุคคลเดิมร่วมกับที่อยู่อีเมลอื่น

ความเปราะบางของกระบวนการสร้างบัญชี

• หน้าแรกของ Experian ขอ SSN และหมายเลขมือถือ พร้อมระบุว่าจะส่งลิงก์เพื่อยืนยันตัวตน
• ผู้ใช้สามารถข้ามขั้นตอนกรอกหมายเลขโทรศัพท์ได้ และจากนั้นต้องกรอกชื่อ ที่อยู่ วันเกิด SSN ที่อยู่อีเมล และรหัสผ่าน
• ต้องตอบคำถามความปลอดภัยแบบปรนัย 3 ถึง 5 ข้อ แต่คำถามเหล่านี้ส่วนใหญ่อิงจากข้อมูลบันทึกสาธารณะ จึงค้นหาได้ไม่ยาก

การแจ้งเตือนทางอีเมลที่ไม่เพียงพอเมื่อมีการเปลี่ยนแปลงบัญชี

• เมื่อมีการสร้างบัญชีใหม่ Experian จะส่งการแจ้งเตือนไปยังที่อยู่อีเมลเดิมเกี่ยวกับการเปลี่ยนแปลงโปรไฟล์ผู้ใช้
• การแจ้งเตือนนี้ไม่ใช่คำขอให้ยืนยันการเปลี่ยนแปลง และเจ้าของบัญชีเดิมก็ไม่สามารถทำอะไรได้นอกจากกดลิงก์เพื่อเข้าสู่ระบบที่ Experian.com

ความสำคัญของบัญชี Experian

• หากไม่มีบัญชี Experian ผู้ใช้สามารถสร้างบัญชีเพื่อรับการแจ้งเตือนทางอีเมลเมื่อไฟล์เครดิตของตนถูกนำไปใช้ในทางมิชอบ
• แต่หากบัญชีถูกยึด ข้อมูลเข้าสู่ระบบเดิม PIN และคำถามสำหรับกู้คืนบัญชีจะถูกเปลี่ยนทั้งหมด ทำให้แทบไม่มีทางเลือกนอกจากต้องสร้างบัญชีขึ้นใหม่เพื่อแย่งคืนจากผู้สวมรอย

การเปรียบเทียบกับหน่วยงานรายงานเครดิตอื่น

• หน่วยงานรายงานเครดิตผู้บริโภครายใหญ่อื่น ๆ เช่น Equifax หรือ TransUnion กำหนดให้ต้องกรอกรหัสที่ส่งไปยังอีเมลหรือหมายเลขโทรศัพท์ที่ลงทะเบียนไว้ในไฟล์เมื่อมีการเปลี่ยนแปลงบัญชี

ปฏิกิริยาของ Experian

• Scott Anderson โฆษกของ Experian ปฏิเสธที่จะแชร์ข้อมูลเกี่ยวกับที่อยู่อีเมลที่ยังไม่ได้รับการยืนยัน
• Anderson ระบุว่า Experian ใช้แนวทางความปลอดภัยแบบหลายชั้น ซึ่งรวมถึงคำถาม-คำตอบแบบอิงความรู้ รวมถึงกระบวนการตรวจสอบความเป็นเจ้าของและการครอบครองอุปกรณ์

ปัญหาเรื่องประสิทธิผลของการยืนยันตัวตนหลายปัจจัย

• แม้ว่าผู้บริโภคทุกคนจะมีตัวเลือกในการเปิดใช้ปัจจัยยืนยันตัวตนหลายชั้นที่ถูกขอทุกครั้งเมื่อเข้าสู่ระบบ แต่หากยังสามารถสร้างบัญชีใหม่ด้วยหมายเลขโทรศัพท์และที่อยู่อีเมลใหม่ได้ มาตรการนี้ก็แทบไม่มีประโยชน์

การทดลองของผู้ใช้ Mastodon

• ผู้ใช้ Mastodon ได้ทดลองตรวจสอบปัญหาความปลอดภัยของ Experian เพื่อยืนยันสิ่งที่ผู้สื่อข่าวค้นพบ
• เมื่อ Experian ขอหมายเลขโทรศัพท์และเลข 4 หลักท้ายของ SSN ผู้ใช้เลือกตัวเลือก "ป้อนข้อมูลของฉันด้วยตนเอง" แล้วกรอกหมายเลขโทรศัพท์และที่อยู่อีเมลใหม่
• ไม่มีการขอให้ยืนยันใด ๆ จากอีเมลเดิม และมีการทำ 2FA (การยืนยันตัวตนสองชั้น) ผ่านหมายเลขโทรศัพท์ใหม่แทน

ปัญหาความปลอดภัยในอดีตของ Experian

• ในเดือนธันวาคม 2022 KrebsOnSecurity พบวิธีง่าย ๆ ในการข้ามระบบความปลอดภัยของ Experian เพื่อเข้าถึงรายงานเครดิตฉบับเต็มของผู้บริโภครายใดก็ได้
• ในเดือนเมษายน 2021 KrebsOnSecurity เปิดโปงกลุ่มขโมยข้อมูลส่วนบุคคลที่ปลดล็อกไฟล์เครดิตผู้บริโภค โดยอาศัยการยืนยันตัวตนที่หละหลวมในหน้าค้นหา PIN ของ Experian
• Experian เคยถูกวิจารณ์หลายครั้งในอดีตเกี่ยวกับปัญหาความปลอดภัยหลากหลายรูปแบบ

ความเห็นของ GN⁺

• ประเด็นสำคัญที่สุดคือ Experian ยังคงไม่สามารถแก้ไขช่องโหว่ด้านความปลอดภัยร้ายแรงได้ และสิ่งนี้อาจทำให้ข้อมูลเครดิตของผู้ใช้ตกอยู่ในความเสี่ยง
• บทความนี้ช่วยสร้างความตระหนักที่สำคัญให้ผู้บริโภคว่าควรดำเนินการอย่างไรเพื่อปกป้องข้อมูลเครดิตของตนเอง
• ปัญหาความปลอดภัยของ Experian เกี่ยวข้องโดยตรงกับความเป็นส่วนตัวของข้อมูลส่วนบุคคลของผู้บริโภค และเป็นประเด็นที่สำคัญอย่างยิ่งสำหรับทุกคน