1 คะแนน โดย GN⁺ 2023-11-12 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • บัญชี Experian สามารถถูกยึดได้ด้วยการลงทะเบียนใหม่โดยใช้ ข้อมูลส่วนบุคคลชุดเดียวกัน แต่ใช้อีเมลคนละที่ และปัญหาการยืนยันตัวตนที่ถูกเปิดเผยในปี 2022 ก็ยังคงอยู่แม้ผ่านไป 16 เดือน
  • การลงทะเบียนใหม่ใช้ Social Security number, วันเกิด, ชื่อ, ที่อยู่, อีเมล, รหัสผ่าน และ คำถามความปลอดภัยแบบอิงความรู้ ขณะที่การยืนยันทางโทรศัพท์มือถือสามารถข้ามได้ด้วยตัวเลือก “Continue another way”
  • เมื่อสร้างบัญชีใหม่แล้ว จะสามารถดู ไฟล์เครดิตทั้งหมด รวมถึงตั้งค่าและยกเลิกการแช่แข็งเครดิตได้ และอีเมลเดิมจะได้รับเพียงการแจ้งเตือนการเปลี่ยนแปลง ไม่ใช่คำขออนุมัติ
  • Equifax และ TransUnion กำหนดให้ยืนยันรหัสที่ส่งไปยังอีเมลหรือหมายเลขโทรศัพท์ที่ลงทะเบียนไว้เมื่อมีการเปลี่ยนแปลงบัญชีเดิม แต่ Experian ไม่ได้ให้วิธีอนุมัติการเปลี่ยนแปลงหรือกู้คืนบัญชีแก่ผู้ใช้เดิม
  • หากผู้โจมตีสามารถสร้างบัญชีใหม่ด้วยหมายเลขโทรศัพท์และอีเมลใหม่ได้ การยืนยันตัวตนหลายปัจจัย ณ ตอนล็อกอินเพียงอย่างเดียวก็ยากที่จะป้องกันการยึดบัญชีได้

Experian ที่เคยสร้างบัญชีใหม่ด้วยอีเมลอื่นได้

  • ในฤดูร้อนปี 2022 มีการยืนยันกรณีที่บัญชี Experian ถูกยึดโดยการ ลงทะเบียนใหม่ด้วยอีเมลคนละที่
  • ผ่านไป 16 เดือน ปัญหาเดิมก็ยังคงอยู่ และบัญชี Experian ของ Krebs เองก็เพิ่งถูกยึดไปเช่นกัน
  • เมื่อขอสำเนาไฟล์เครดิต Experian ผ่าน annualcreditreport.com ทาง Experian ปฏิเสธที่จะให้โดยอ้างว่าไม่สามารถยืนยันตัวตนได้
  • การล็อกอินโดยตรงที่ Experian.com ก็ล้มเหลว และเว็บไซต์แสดงว่าไม่รู้จักชื่อผู้ใช้หรือรหัสผ่าน
  • ในขั้นตอนขอชื่อผู้ใช้ ต้องใช้ Social Security number แบบเต็มและวันเกิด จากนั้นระบบแสดงบางส่วนของอีเมลที่ Krebs ไม่ได้อนุมัติหรือไม่รู้จัก

จุดอ่อนการยืนยันตัวตนที่เผยให้เห็นในขั้นตอนลงทะเบียนใหม่

  • หน้าแรกของ Experian ขอ Social Security number และหมายเลขโทรศัพท์มือถือ พร้อมแจ้งว่าจะส่งลิงก์ยืนยันตัวตนให้
  • ดูเหมือนว่าเว็บไซต์จะไม่บล็อกแม้ใส่ หมายเลขโทรศัพท์ใดก็ได้ในสหรัฐฯ และหากเลือก “Continue another way” ก็สามารถข้ามขั้นตอนนี้ได้
  • หลังจากนั้น การสร้างบัญชีใหม่ต้องใช้ข้อมูลต่อไปนี้
    • ชื่อ-นามสกุล
    • ที่อยู่
    • วันเกิด
    • Social Security number
    • อีเมล
    • รหัสผ่านที่เลือก
  • ขั้นตอนถัดไปต้องตอบ คำถามความปลอดภัย แบบปรนัย 3–5 ข้อ ซึ่งคำตอบมักอิงจากบันทึกสาธารณะ
  • ตอนที่ Krebs สร้างบัญชีใหม่ ในคำถาม 5 ข้อ มีเพียง 2 ข้อที่เกี่ยวข้องกับข้อมูลจริง และทั้งสองข้อเป็นคำถามเกี่ยวกับที่อยู่ที่เคยอาศัยในอดีต
  • เมื่อผ่านคำถามปรนัยแล้ว ระบบจะให้ตั้ง PIN 4 หลัก และตั้งคำตอบใหม่สำหรับหนึ่งในคำถามที่กำหนดไว้ล่วงหน้า
  • หลังสร้างบัญชีใหม่แล้ว สามารถไปยังแดชบอร์ด Experian ได้ และจากตรงนั้นสามารถดูไฟล์เครดิตทั้งหมด รวมถึงแช่แข็งหรือยกเลิกการแช่แข็งเครดิตได้

สิ่งที่เหลือให้ผู้ใช้เดิมมีเพียงการแจ้งเตือนการเปลี่ยนแปลง

  • เมื่อข้อมูลบัญชีเปลี่ยน Experian จะส่งข้อความไปยังอีเมลเดิมว่าโปรไฟล์ผู้ใช้บางส่วนถูกเปลี่ยนแปลง
  • ข้อความนี้ไม่ใช่ คำขอยืนยัน แต่เป็นเพียงการแจ้งเตือนการเปลี่ยนแปลง และสิ่งที่ผู้ใช้เดิมทำได้มีเพียงคลิกลิงก์เข้าสู่ระบบ Experian.com
  • ผู้ใช้เดิมที่ได้รับการแจ้งเตือนจะไม่สามารถล็อกอินด้วยข้อมูลรับรองของบัญชี Experian เดิมได้อีก
  • PIN และคำถามกู้คืนบัญชีก็ถูกเปลี่ยนไปแล้ว ดังนั้นหากผู้ใช้เดิมต้องการเอาบัญชีกลับคืน ต้องสร้างบัญชีใหม่อีกครั้งกับ Experian
  • Equifax และ TransUnion จะอนุญาตให้เปลี่ยนแปลงบัญชีเดิมได้ก็ต่อเมื่อกรอกรหัสที่ส่งไปยังอีเมลหรือหมายเลขโทรศัพท์ที่ลงทะเบียนไว้

คำตอบจาก Experian และกรณีตรวจสอบจากผู้อ่าน

  • Experian ปฏิเสธที่จะแชร์ที่อยู่อีเมลแบบเต็มซึ่งถูกเพิ่มเข้าไปในไฟล์เครดิตของ Krebs โดยไม่ได้รับอนุญาต
  • โฆษก Experian Scott Anderson ระบุว่าบริษัทได้ใช้แนวทางความปลอดภัยแบบหลายชั้น ซึ่งรวมถึงมาตรการทั้งแบบแมนนวลและเชิงรุก เพื่อปกป้องตัวตนและข้อมูลของผู้บริโภค และยังพัฒนาอย่างต่อเนื่อง
  • ตามที่ Anderson กล่าว มาตรการดังกล่าวรวมถึงคำถามและคำตอบแบบอิงความรู้ ตลอดจนขั้นตอนยืนยันการเป็นเจ้าของหรือครอบครองอุปกรณ์
  • ผู้บริโภคทุกคนสามารถเปิดใช้ การยืนยันตัวตนหลายปัจจัย ที่จะถูกขอทุกครั้งเมื่อเข้าสู่ระบบบัญชีได้ แต่หากสามารถสร้างบัญชีใหม่ด้วยหมายเลขโทรศัพท์และอีเมลใหม่ได้ ประสิทธิผลก็มีข้อจำกัด
  • ผู้อ่านที่เห็นโพสต์เกี่ยวกับ Experian บน Mastodon ก็ยืนยันปัญหาเดียวกัน
    • @Jackerbee ระบุว่าได้ใส่หมายเลขโทรศัพท์ที่สองและอีเมลใหม่ โดยอีเมลเดิมได้รับเพียงอีเมลฉบับเดียวว่าข้อมูลถูกอัปเดต และไม่มีการยืนยันอีเมลเดิม
    • ไม่มี SMS แจ้งเตือนไปยังหมายเลขโทรศัพท์เดิม และหลังจากนั้น 2FA ตอนล็อกอินก็ทำงานผ่านหมายเลขโทรศัพท์ใหม่
    • PeteMayo สร้างบัญชี Experian ใหม่สองครั้งในสัปดาห์เดียวกัน และครั้งที่สองใส่หมายเลขโทรศัพท์บ้านแบบสุ่ม
    • ในกรณีของ PeteMayo หลังจากมีคำถาม 5 ข้อเกี่ยวกับประวัติส่วนตัว ระบบก็ให้สิทธิ์เข้าถึงทั้งหมดพร้อมข้อความ “Welcome back, Pete!”

เหตุการณ์ความปลอดภัยของ Experian ที่เกิดซ้ำ

  • ผู้ที่ยึดบัญชีของ Krebs ไม่ได้ยกเลิกการแช่แข็งเครดิต หรือหากยกเลิกแล้วก็ได้แช่แข็งกลับไว้แล้ว
  • หาก Experian ไม่เปลี่ยนกระบวนการยืนยันตัวตน บัญชี Experian ของ Krebs ก็อาจถูกยึดได้อีก
  • ที่ Experian เคยเกิดเหตุเกี่ยวกับ จุดอ่อนการยืนยันตัวตนขั้นพื้นฐาน ซ้ำหลายครั้งในอดีต
    • ในเดือนธันวาคม 2022 มีการพบวิธีหลบเลี่ยงที่ทำให้เข้าถึงรายงานเครดิตฉบับเต็มของผู้บริโภคได้ด้วยเพียงชื่อ ที่อยู่ วันเกิด และ Social Security number โดย Experian ยอมรับว่าช่องโหว่นี้คงอยู่เกือบ 7 สัปดาห์ ตั้งแต่วันที่ 9 พฤศจิกายนถึง 26 ธันวาคม 2022
    • ในเดือนเมษายน 2021 การยืนยันตัวตนของหน้าค้นหา PIN ของ Experian หละหลวม ทำให้ผู้ขโมยตัวตนสามารถยกเลิกการแช่แข็งไฟล์เครดิตของผู้บริโภคได้
    • ในเดือนเดียวกันนั้น มีการเปิดเผยกรณีที่ Experian API ทำให้คะแนนเครดิตของชาวอเมริกันส่วนใหญ่รั่วไหล
  • กรณีที่เกี่ยวข้องในอดีตรวมถึงคดีฟ้องแบบกลุ่มเรื่องความปลอดภัยบัญชีในปี 2022, การรั่วไหลของ PIN สำหรับการแช่แข็งเครดิตในปี 2017, การละเมิดข้อมูลลูกค้า 15 ล้านรายในปี 2015, การอนุญาตให้เข้าถึงบันทึกผู้บริโภค 200 ล้านรายการในปี 2014 และเหตุการณ์ในปี 2013 ที่ขายข้อมูลผู้บริโภคให้กับบริการขโมยตัวตน

1 ความคิดเห็น

 
GN⁺ 2023-11-12
ความคิดเห็นบน Hacker News
  • ปัญหาพื้นฐานตรงนี้คือ ต้นทุนในการรักษาความปลอดภัย สูง และบางครั้งการรับมือหลังโดนแฮ็กกลับถูกกว่าด้วยซ้ำ
    ทางออกเดียวคือทำให้บริษัทที่ถูกแฮ็กต้องจ่าย ต้นทุนมหาศาล ผ่านค่าปรับและคดีความจากเหยื่อการขโมยตัวตน

    • ต้นทุนไม่ได้สูงขนาดนั้น
      การดึงรายงานเครดิตหนึ่งครั้งมีค่าใช้จ่ายแค่ไม่กี่เซ็นต์ ก็ใช้การยืนยันตัวตนแบบอิงความรู้ได้ เช่น “เคยอาศัยอยู่ที่ไหน” หรือ “บัญชีนี้เป็นของคุณหรือไม่”
      การยืนยันตัวตนโดยอิงข้อมูลรับรองจากภาครัฐอย่าง ID.me หรือ Stripe Identity ก็อยู่ที่ราว 1.50–2.00 ดอลลาร์ต่อครั้งเท่านั้น
      ปัญหาคือภาระความเสียหายจากการฉ้อโกงถูกผลักไปให้ผู้บริโภค ทำให้ไม่มีแรงจูงใจในการเพิ่มต้นทุนเล็กน้อยเพื่อลดการฉ้อโกง และสำนักเครดิตก็ไม่ต้องการให้คูเมืองทางธุรกิจและแหล่งรายได้ของตนถูกกัดเซาะ
      สรุปคือ ถ้ามี ระบบตัวตนดิจิทัลระดับชาติ ที่ดีกว่านี้ ปัญหานี้ก็จะหายไป
      ผมทำงานด้าน IAM ลูกค้า รวมถึงการยืนยันตัวตนในสายฟินเทค และในฐานะนักกิจกรรมภาคประชาชนก็มีส่วนทำงานเกี่ยวกับ Login.gov อยู่บ้าง
    • คำว่า “การรักษาความปลอดภัยมีราคาแพง” อาจจริงอยู่บ้าง แต่ถ้าธุรกิจทั้งหมดคือการให้การรับรองโดยอิงกับตัวตนของผู้คน ก็ควรพยายามทำให้บริการปลอดภัยกว่านี้มาก
      ถ้าการดำเนินงานอย่างปลอดภัยมีค่าใช้จ่ายสูงเกินไป ก็ควรตั้งคำถามตั้งแต่แรกว่าบริการแบบนี้ควรมีอยู่หรือไม่ และมีสิทธิ์เก็บ ข้อมูลส่วนบุคคลและข้อมูลส่วนตัว จำนวนมากหรือไม่
    • เป็นเรื่องที่สะดุดตาว่า ปัญหาการยืนยันตัวตนด้วย SSN นี้ไม่ได้อยู่ภายใต้ ขอบเขตการบังคับใช้ GDPR
      GDPR สามารถปรับได้สูงสุดถึง 4% ของรายได้ทั่วโลก
  • แน่นอนว่าเราไม่ใช่ลูกค้าของ บริษัทเฝ้าระวัง พวกนี้
    ถึงอย่างนั้นก็ยังน่าตกใจที่ความปลอดภัยแทบไม่มีเลย แต่สำหรับลูกค้าจริง ๆ ก็ไม่ถึงขั้นเป็นเหตุให้ยกเลิกการทำธุรกิจ
    ถ้าบริการนี้เปิดทางให้ปลอมเป็นใครก็ได้ในทางปฏิบัติ ก็ไม่เข้าใจจริง ๆ ว่าจะมีเหตุผลอะไรให้ใช้งาน

    • บัญชีเหล่านี้ไม่ได้มีไว้สำหรับคนที่จ่ายเงินให้ Experian
      บริษัทต่าง ๆ จ่ายเงินให้ Experian เพื่อเข้าถึงข้อมูลเกี่ยวกับบุคคล และเหตุผลเดียวที่ Experian ยอมให้มีบัญชีสำหรับบุคคลทั่วไปก็เพราะกฎหมายบังคับให้ต้องให้บริการอย่างการแช่แข็งเครดิตหรือรายงานเครดิตประจำปี
      ถ้าไม่ถูกบังคับ ก็คงไม่ทำเลย และไม่มีแรงจูงใจแม้แต่น้อยที่จะปรับปรุงประสบการณ์หรือความปลอดภัย
    • เป้าหมายคือสร้าง ช่องให้ปฏิเสธความรับผิดอย่างแนบเนียน เพื่อโยนความเสี่ยงร้ายแรงจากการขโมยตัวตนไปให้ผู้บริโภคให้มากที่สุด แทนที่จะเป็นบริษัท
    • ถ้าการขโมยตัวตนกลายเป็นเรื่องปกติจนข้อมูลไม่น่าเชื่อถือในเชิงสถิติ เมื่อนั้นก็คงเลยจุดที่แม้แต่สภาคองเกรสจะเพิ่งรู้สึกว่าควรทำอะไรสักอย่างไปนานแล้ว
    • แล้วเรามีทางเลือกด้วยหรือ? ที่ที่ผมอยู่ ผมไม่สามารถถอนตัวออกจาก Experian หรือ บริการจัดอันดับเครดิต อื่น ๆ ได้
    • ข้อมูลส่วนบุคคลก็ควรมีกฎหมายแบบ HIPAA เช่นกัน
  • หากถอยออกมามองภาพรวม ปัญหาที่แท้จริงคือ การไม่มีอยู่ของกฎหมายคุ้มครองความเป็นส่วนตัว
    ธนาคาร บริษัท และนายจ้างควรถูกห้ามไม่ให้แบ่งปันข้อมูลส่วนบุคคลกับบุคคลที่สาม
    ที่สวิตเซอร์แลนด์ซึ่งผมอาศัยอยู่ก็เป็นแบบนั้นจริง ๆ และแม้แต่รัฐบาลก็ไม่ได้ข้อมูลนี้ง่าย ๆ
    หากรัฐบาลสงสัยว่ามีการเลี่ยงภาษี ก็ต้องขอหมายและดำเนินตามกระบวนการเช่นเดียวกับคดีอาญาอื่น ๆ
    บันทึกทางการเงินที่เข้าถึงได้มีเพียง “Betreibungen” ซึ่งเป็นบันทึกกระบวนการทวงหนี้ตามกฎหมาย
    ก่อนจะให้เครดิตกับใคร คุณตรวจได้แค่ว่ามีคนอื่นต้องถึงขั้นฟ้องร้องเพื่อทวงเงินจากคนนั้นหรือไม่
    แต่ถึงจะไม่มีสำนักเครดิต ทุกอย่างก็ยังดำเนินไปได้ดีด้วยข้อมูลเพียงเล็กน้อยเท่านี้
    เพียงแต่เพราะแรงกดดันระหว่างประเทศอย่าง FATCA กฎหมายสวิสจึงถูกเปลี่ยนให้ธนาคารต้องรายงานในกรณีของลูกค้าต่างชาติ

    • คำว่า “ทุกอย่างดำเนินไปได้ดี” นั้น สำหรับพวกเผด็จการ คนเลี่ยงภาษี และคนประเภทเดียวกัน ก็คงดีจริงแน่
      สวิตเซอร์แลนด์เป็นตัวอย่างที่ดีว่าทำไม ความเป็นส่วนตัวทางการเงินแบบสมบูรณ์ ถึงไม่ยุติธรรมกับผู้เสียภาษีทั่วไป
      เพราะมันเปิดทางให้คนรวยมาก ๆ ซ่อนภาษีที่ตัวเองควรจ่ายได้
    • ดูเหมือนว่าปัญหานี้จะคลี่คลายได้ ถ้าเลิกปฏิบัติต่อ หมายเลขประกันสังคม เสมือนเป็นตัวแทนบัตรประชาชนระดับชาติที่ปลอดภัยอย่างจริงจัง
    • ผมสงสัยว่ากฎหมายความเป็นส่วนตัวทางการเงินและการรายงานเครดิตของสวิตเซอร์แลนด์แตกต่างจากประเทศใน EU อย่างไร
      มีข้อมูลว่า “ชาวสวิสราว 36% เป็นเจ้าของบ้านหรืออพาร์ตเมนต์ ซึ่งเป็นอัตราต่ำที่สุดในโลกตะวันตก ต่ำกว่าค่าเฉลี่ยสหภาพยุโรปที่ 70% และสหรัฐฯ ที่ 67% มาก”
      ปัจจัยมีหลายอย่าง แต่ถ้ามีข้อมูลเกี่ยวกับความน่าเชื่อถือน้อยลง ก็น่าจะทำให้ผู้ให้ทุนไม่ค่อยกระตือรือร้นที่จะสนับสนุนการซื้อครั้งใหญ่ของใครสักคน
      [1] https://www.nytimes.com/2023/11/06/realestate/zurich-switzer...
    • จริงมาก
      บริษัทที่ผมทำงานอยู่ ผมจะไม่บอกชื่อ แต่เป็น FAANG และบริษัทนี้ซื้อข้อมูลแล้วรับคุกกี้จาก Experian เพื่อนำไปใช้ติดตามและสร้างกราฟได้ดียิ่งขึ้น
      สหรัฐฯ พูดอยู่เรื่อยว่าห่วงใยความเป็นส่วนตัวของประชาชน แต่ในความเป็นจริงไม่ได้สนใจเลย
      ถ้าบังคับใช้กฎหมายความเป็นส่วนตัวอย่างจริงจัง ก็น่าจะกระทบไปถึงเรื่องอย่างบัญชีธนาคารด้วย เพราะบริษัทเทคโนโลยียักษ์ใหญ่ติดอันดับต้น ๆ ในดัชนีหุ้น 500 ตัวแรก
  • มี คำร้องผ่าน Resistbot ถูกเผยแพร่ขึ้นมาเพื่อให้ฝ่ายนิติบัญญัติเห็นปัญหานี้
    https://resist.bot/petitions/PONADR

    • ผมไม่ใช่คนอเมริกัน เลยเพิ่งเคยเห็นครั้งแรก แต่ดูเหมือนขอบเขตการเข้าถึงจะจำกัด
      https://resist.bot/petitions
      ในเยอรมนีมีอย่างเช่น Campact และโดยปกติคำร้องหนึ่งฉบับจะมีลายเซ็นเกิน 200,000 รายชื่อ
      ถ้าในอเมริกาไม่มีอะไรแบบนี้ ผมคิดว่าควรมีคนที่มีเงินสร้างขึ้นมา หรือไม่ก็โปรโมตทางออกที่มีอยู่แล้วอย่าง OpenPetition ให้เข้าถึงผู้ลงชื่อประจำจำนวนมากพอ
      https://en.wikipedia.org/wiki/Campact
  • ถ้ามีบริษัทประเมินเครดิตอยู่ 3 แห่ง มีวิธีหลีกเลี่ยงไม่ให้มี คะแนนเครดิต กับหนึ่งในนั้นหรือไม่?
    คิดว่าอาจเป็นวิธีเพิ่มการแข่งขันในตลาดนี้ในฐานะผู้บริโภคได้
    ลองค้นดูแล้วแต่ดูเหมือนไม่มีทางเลือกที่ง่ายนัก

    • ไม่มีวิธีถอนตัวออกจากรายงานเครดิต
      โดยปกติผู้ให้กู้จะรายงานข้อมูลไปยังบริษัทประเมินเครดิตใหญ่ทั้ง 3 แห่ง ดังนั้นถ้าจะไม่ให้มีการรายงานข้อมูลเลย ก็ต้องปิดทั้งบัตรเครดิตและเงินกู้ทั้งหมด และอายัดรายงานเครดิตไว้
      ดูแล้วแนวคิดเรื่อง “เพิ่มการแข่งขัน” คงใช้ไม่ได้ในกรณีนี้
      พวกเราไม่ใช่ลูกค้าของบริษัทประเมินเครดิต แต่เป็นสินค้า และลูกค้าคือผู้ให้กู้กับคนอื่น ๆ ที่ต้องการข้อมูลของเรา
      จากมุมมองของผู้ให้กู้ โครงสร้างแบบนี้ทำงานได้ดี เพราะภาระเรื่อง “การขโมยตัวตน” ถูกผลักจากผู้ให้กู้ที่ควรต้องตรวจสอบตัวตนผู้สมัครให้ถูกต้องก่อนปล่อยเครดิต ไปอยู่ที่ประชาชนทั่วไปแทน
      คำว่า “การขโมยตัวตน” เองก็แทบจะเป็นชื่อที่ผิด ซึ่งถูกสร้างมาเพื่อโยนความรับผิดให้ปัจเจกบุคคล
      ตามอุดมคติแล้ว ความรับผิดชอบควรอยู่ที่ผู้ให้กู้ในการป้องกันไม่ให้อาชญากรนำข้อมูลของฉันไปใช้ในทางที่ผิด และในการแก้ไขเมื่ออาชญากรพยายามใช้ข้อมูลของฉันไปฉ้อโกง
      ทางออกที่ดีกว่าคือยกระดับ มาตรฐานการยืนยันตัวตน ของผู้ให้กู้
      แบบนั้นภาระในการยืนยันตัวตนจริง ๆ ก่อนให้เครดิตก็จะย้ายกลับไปอยู่ที่ผู้ให้กู้
      ผู้ให้กู้บางรายตรวจสอบได้ดีพอสมควรจริง แต่บางแห่งก็ดูเหมือนรับข้อมูลที่ได้มาโดยไม่ตั้งคำถาม
      มาตรฐานที่สูงขึ้นทั้งอุตสาหกรรม ไม่ว่าจะโดยสมัครใจหรือเป็นข้อบังคับทางกฎหมาย น่าจะช่วยแก้ปัญหานี้ได้
    • การเปลี่ยนแปลงแบบนี้น่าจะต้องเกิดขึ้นจริง ๆ
      บริษัทประเมินเครดิตทำงานเหมือน บริษัทสาธารณูปโภคเอกชน ที่แทบไม่มีทางเลือก
      ถ้ามันเหมือนแอปจัดการรหัสผ่าน เราก็คงประเมินหลายบริษัท เลือกเจ้าไหนก็ได้ที่ต้องการ แล้วถ้ามีปัญหาก็ย้ายออกได้ทุกเมื่อ
    • ปัญหาคือเราไม่ใช่ผู้บริโภค
      พวกเขาได้ข้อมูลของเราจากทุกบริษัทที่เราทำธุรกรรมด้วย
      คุณคงต้องไล่ดูความเชื่อมโยงทั้งหมดที่เกี่ยวข้องกับบริษัทประเมินเครดิตทีละกรณี
      ถ้าไม่เคยทำบัตรเครดิตและไม่เคยกู้เงิน ก็อาจพอป้องกันตัวเองจาก “การสืบค้น” ของพวกเขาได้ในระดับหนึ่ง
    • บริษัทต่าง ๆ เป็นฝ่ายรายงานข้อมูลให้พวกเขา
      ดังนั้นคุณต้องหลีกเลี่ยงบริษัทที่รายงานให้พวกเขา แต่ปกติแล้วบริษัทก็มักรายงานพร้อมกันหลายแห่ง
    • สำหรับผู้บริโภคแล้วเป็นไปไม่ได้
      ถ้าเป็นบริษัท คุณอาจเลือกได้ว่าจะรายงานให้หน่วยงานไหน
  • เมื่อไม่กี่วันก่อน ฉันสร้างโปรไฟล์ของตัวเองแล้วพยายามล็อกอินเพื่อดูว่ามีอะไรเกิดขึ้นในบัญชี แต่เว็บพังมากจนล็อกอินไม่ได้ด้วยซ้ำ
    ขนาดฉันยังเป็นตัวเองไม่ได้เลย ก็ไม่รู้ว่าคนอื่นจะปลอมเป็นฉันได้ยังไง

    • ถ้าจะปลอมเป็นคุณ ก็แค่ต้องผ่านช่องทางที่ลูกค้า Experian ใช้
      สิ่งที่คุณใช้ไม่ใช่ช่องทางสำหรับลูกค้า Experian แต่เป็นช่องทางสำหรับ คนที่เป็นภาระของ Experian
  • ช่วงไม่กี่สัปดาห์ที่ผ่านมา ฉันได้รับอีเมลยืนยันการซื้อจากร้านค้าปลีกรายใหญ่อย่าง Casas Bahia, Americanas และ Magazine Luiza นับไม่ถ้วน
    ในใบแจ้งหนี้ของสมาร์ตโฟนและแล็ปท็อปหลายรายการมีชื่อฉันกับ CPF ของฉันอยู่
    ฉันติดต่อร้านค้าทุกรายแล้ว แต่ดูเหมือนมีแค่ Magazine Luiza ที่ยอมรับว่าเป็นการฉ้อโกงและออกคำเตือน แม้อย่างนั้นฉันก็ยังคงได้รับใบแจ้งหนี้ต่อไป
    ฉันติดต่อสถานีตำรวจท้องที่และได้ boletim de ocorrência มา ซึ่งไม่รู้จะแปลว่าอะไรดี แต่เป็นเอกสารที่อธิบายปัญหาและสถานการณ์ที่ฉันไม่สามารถดำเนินการตอบโต้ได้
    ฉันกังวลมากว่าผลกระทบจากเรื่องนี้กำลังจะตามมา และรู้สึกหมดหนทางโดยสิ้นเชิงในการปกป้อง ตัวตนของฉัน

    • ฉันเคยเจอสถานการณ์คล้ายกัน และคิดว่าตอนนี้คุณกำลังไปถูกทางแล้ว
      ลองติดต่อผู้ตรวจการของแต่ละบริษัท หรือก็คือ ouvidoria แล้วอธิบายสถานการณ์ดู
      ถึงพวกเขาจะไม่สามารถแก้ปัญหาได้จริง อย่างน้อยก็จะมีหลักฐานว่าคุณพยายามแก้ไขอย่างเป็นมิตรแล้ว
      กรณีเลวร้ายที่สุดคือร้านค้าอาจส่งใบเรียกเก็บเงินปลอมเหล่านี้ไปให้บริษัทติดตามหนี้ และรายงานไปยังบริษัทประเมินเครดิต
      อย่าจ่ายหนี้ปลอมนี้แม้แต่บาทเดียว และอย่าไปเจรจาต่อรองด้วย
      เพราะมันเป็นการฉ้อโกง ทางเลือกเดียวคือต้องให้หนี้นั้นหายไปเท่านั้น
      เงินที่ค้างอยู่คือเงินของพวกเขา และถ้าคุณจ่าย ความรับผิดจะย้ายมาอยู่ที่คุณ
      คุณมีเอกสาร Boletim de Ocorrência และหลักฐานการติดต่อกับบริษัทอยู่แล้ว เช่น หมายเลขรับเรื่องและวันที่ ดังนั้นถ้ามันถูกส่งขึ้นไปยังบริษัทประเมินเครดิต คุณก็ฟ้องร้องและเรียกค่าเสียหายได้เลย
      นี่เป็นคดีที่ง่ายและพบบ่อย ซึ่งทั้งบริษัทประเมินเครดิตและร้านค้าปลีกต่างก็อยากตกลงยอมความ
      พวกเขาทำให้คุณเสียเวลา ดังนั้นก็ควรต้องจ่ายราคา
      พวกเขาไม่มีหลักฐานว่าคุณเป็นคนทำธุรกรรมนั้น
      แล้วถ้าร้านค้า ธนาคาร และบริษัทบัตรเครดิตอยากหลีกเลี่ยงการฉ้อโกงจริง ๆ การซื้อและการสมัครทุกอย่างก็คงต้องมีการป้องกันระดับเดียวกับธุรกรรมอสังหาริมทรัพย์
      ต้องมีลายเซ็น การพบหน้ากัน การชำระล่วงหน้า ธนาคาร ทนาย ความรับรองเอกสาร ไปจนถึงลายเซ็นเข้ารหัส และยังมี e-CPF ด้วย แต่ไม่มีใครใช้
      แต่การป้องกันการฉ้อโกงได้ 100% ย่อมหมายถึงความฝืด และธุรกิจค้าปลีกทั่วไปไม่ชอบความฝืด
      ท้ายที่สุดนี่คือ การตัดสินใจทางธุรกิจ ของพวกเขาเอง คือยอมรับความเสี่ยงเพื่อให้รับเงินได้ง่ายขึ้น
    • การฉ้อโกงนี้ทำงานยังไง? คือซื้อของแล้วให้ข้อมูลส่วนตัวของคนสุ่มคนหนึ่งกับผู้ขาย ซึ่งก็คือ ข้อมูลยืนยันตัวตน ของคุณแบบนั้นหรือ?
  • ในบริบทส่วนใหญ่ การให้ข้อมูลเท็จเกี่ยวกับใครบางคนในลักษณะที่ทำให้เขาเสียหายถือเป็นการใส่ร้ายหรือหมิ่นประมาท
    ควรกลับมาทบทวนว่า รายงานเครดิต สมควรได้รับการยกเว้นจากความรับผิดแบบนั้นหรือไม่ และภายใต้เงื่อนไขใด

    • ใช่
      ถ้าบริษัทประเมินเครดิตส่งข้อมูลเท็จเกี่ยวกับเราให้ผู้ให้กู้ จนทำให้เราไม่ได้รับเงินกู้ หรือถูกคิดดอกเบี้ยสูงกว่าที่ควร เราก็ควรชนะคดีเรียกค่าเสียหายทางการเงินได้
      ไม่ควรสำคัญด้วยซ้ำว่าพวกเขารู้หรือไม่ว่ามันเป็นข้อมูลเท็จ
      ไม่ว่าจะเป็นความประมาทหรือเจตนาร้าย ความเสียหายก็เกิดขึ้นแล้ว
    • ในความเป็นจริง วิธีทำงานของพวกเขาใกล้เคียงกับ “บริษัท X บอกฉันว่าคนชื่อ Y มีบัญชีอยู่”
      ถ้าไม่ใช่บุคคลสาธารณะ การหมิ่นประมาทต้องมีอย่างน้อยความประมาทในการตรวจสอบข้อเท็จจริง
      กล่าวคือ ความประมาทจะเกิดขึ้นก็ต่อเมื่อมีเหตุผลเพียงพอที่จะเชื่อว่าข้อมูลนั้นเป็นเท็จ
      ถ้าคุณแจ้งบริษัทประเมินเครดิตว่าบัญชีนั้นเป็นการฉ้อโกง นั่นก็เท่ากับเป็นการแจ้งว่าบัญชีนั้นไม่ใช่ของคุณจริง ๆ และหากพวกเขาลบบัญชีนั้นออกจากรายงาน ก็จะพ้นจากความรับผิดในการเผยแพร่ข้อมูลหมิ่นประมาทลักษณะนั้นต่อไป
  • สัปดาห์ที่แล้วฉันได้รับ การแจ้งข้อมูลรั่วไหล สองครั้ง
    ครั้งหนึ่งมาจากผู้ให้บริการทางการแพทย์ของฉัน อีกครั้งมาจากธนาคารที่ถือสินเชื่อจำนองบ้านของฉัน
    ทั้งสองแห่งบอกให้ล็อกเครดิต และให้บริการติดตามเครดิตฟรี 1 ปี
    นี่ไม่เพียงพออย่างน่าเหลือเชื่อ และฉันคิดว่าจำเป็นต้องมีกฎระเบียบในด้านนี้มากกว่านี้
    ควรมีการติดตามเครดิตตลอดชีพ การประกันเต็มรูปแบบสำหรับการฉ้อโกงทางการเงินทั้งหมดที่เกิดขึ้นในชื่อของฉัน และการชดเชยค่าเสียหายโดยประมาณแบบจ่ายทันที
    ต้นตอของปัญหาคือระบบยืนยันตัวตนของสหรัฐฯ ยุ่งเหยิงมาก
    มันไม่แยกความต่างระหว่างตัวระบุเฉพาะอย่าง SSN กับค่าความลับ ซึ่งก็คือ SSN เหมือนกัน
    คำถามความปลอดภัยอื่น ๆ ทั้งหมดก็เป็นเพียงรูปแบบหนึ่งของปัจจัยยืนยันตัวตนแบบเดียวกันคือ “สิ่งที่รู้” ซึ่งมิจฉาชีพหามาได้ง่ายในท้ายที่สุด
    พูดตามตรงคือไม่มีวิธีที่ตกลงร่วมกันไว้สำหรับพิสูจน์ว่าคุณคือคุณจริง ๆ
    DMV ควรเริ่มออกบัตรประจำตัวที่เป็นทั้งบัตรจริงแบบบัตรเครดิตและมีความสามารถดิจิทัล
    เราต้องการอะไรบางอย่างแบบ Apple Pay หรือ Android Pay สำหรับการยืนยันตัวตนออนไลน์ และควรบังคับให้ธนาคารรองรับบัตรประจำตัวดิจิทัล
    และควรบังคับใช้กฎหมายอย่างเข้มงวดกับผู้ที่นำบัตรประจำตัวดิจิทัลไปใช้ในทางที่ผิด
    ฉันคิดว่าผลจากการเพิกเฉยต่อปัญหานี้ทำให้ GDP หายไปกับการฉ้อโกงอย่างน้อยปีละหลายหมื่นล้านดอลลาร์
    ที่สำคัญกว่านั้นคือสถานะความเป็นรัฐภายใต้หลักนิติธรรมกำลังถูกบ่อนเซาะลงอย่างช้า ๆ

    • ปัญหาของแนวคิดที่ว่า DMV ควรออกบัตรจริงที่มีความสามารถดิจิทัลก็คือ มีกลุ่มคนที่เสียงดังมากซึ่งมองสิ่งแบบนั้นว่าเป็นตั้งแต่ การแทรกแซงของรัฐบาลเกินควร ไปจนถึงเครื่องหมายของปีศาจตามตัวอักษร
      แค่การออกบัตรก็ยากอยู่แล้ว และรัฐต่าง ๆ ที่ปิดหน่วยเลือกตั้งในย่านชนชั้นแรงงานและตัดงบ DMV ก็คงจะต่อสู้จนถึงที่สุดกับรูปแบบใดก็ตามที่ต้องให้ฟรีกับทุกคน
    • แล้วทั้งหมดนี้จะทำงานบนออนไลน์ได้อย่างน่าอัศจรรย์ยังไง?
      คำตอบก็คือคุณต้องให้ ค่าความลับดิจิทัล บางอย่างที่ใช้ให้สิทธิ์เข้าถึงเหมือนกับที่ตอนนี้ให้ SSN
      จากนั้นค่าความลับดิจิทัลนั้นก็จะไปอยู่ในที่ออนไลน์แบบเดียวกับที่ SSN อยู่ตอนนี้ และก็จะเปราะบางต่อการแฮ็กแบบเดียวกัน
      ฉันไม่เข้าใจว่านี่จะแก้อะไรได้
  • ฉันทำบัญชีขึ้นมาตามคำแนะนำในบทความเพื่อไม่ให้คนอื่นมาลงทะเบียนแทน แต่ดูเหมือนว่ามันพาฉันไปสมัคร บัญชีกระแสรายวันดิจิทัล โดยอัตโนมัติ
    ฉันไม่ต้องการสิ่งนี้เลย