[Перевод] Как крупное кредитное бюро Experian 5 лет зарабатывает на уязвимости в своей системе

6ajmccayyyjpkjd74mfseuq1iyi.png

В 2017 году портал KrebsOnSecurity уже сообщал об уязвимости в одном из трёх крупнейших кредитных бюро в США. Уязвимость позволяет злоумышленникам отменить запрос клиента бюро Experian о замораживании кредитного счёта и получить доступ к его персональным данным. На прошлой неделе один клиентов рассказал сотрудникам KrebsOnSecurity, что и сейчас можно разморозить счёт без входа в соответствующий аккаунт на сайте Experian. Я решил вновь поднять больную тему о проблемах с безопасностью информационных систем кредитных бюро.

4854921131c74189e3ae759b843fa161.png

Если ваш кредитный счёт заморожен, и вы хотите получить забытый или утерянный PIN-код, можете запросить его здесь. PIN-код необходим, чтобы снять заморозку и предоставить кредитору доступ к вашей кредитной истории.

У Experian есть специальная страница, где можно ввести информацию для восстановления забытого PIN-кода. Такой «удобной» возможностью могут воспользоваться и злоумышленники, чтобы узнать ваш PIN. Но для этого нужно иметь достаточно информации о вас. Раньше мы надеялись, что не на все вопросы можно ответить, имея при себе чужие персональные данные, которые периодически утекают в сеть из базы Equifax и других кредитных бюро. 

История клиента


В прошлом году Дюн Томас, инженер-программист из Сакраменто (Калифорния), заморозил свои кредитные счета в Experian, Equifax и TransUnion, так как узнал, что мошенники пытались получить доступ к средствам на счетах, используя адрес его пустующего дома (в штате Вашингтон), выставленного на продажу.
Но спустя некоторое время, мошенники вновь взялись за него. В начале апреля они разморозили счёт Томаса в Experian и незамедлительно подали заявку на новые кредитные линии на его имя, снова используя тот же адрес в Вашингтоне. Томас не получил никакого оповещения о новых кредитах. Он узнал об этом только потому, что пользовался бесплатной услугой кредитного мониторинга, от компании-эмитента его кредитных карт.

После нескольких дней телефонного разговора с Experian представитель компании признал, что кто-то использовал функцию request your PIN на сайте Experian и получил его PIN-код, а затем разморозил счёт.

Томас и его друг решили сами пройти через процедуру восстановления PIN-кода в Experian и были удивлены: только один из пяти вопросов с множественным выбором (которые им задавали уже после ввода своего адреса, номера социального страхования и даты рождения) был последним оплотом безопасности. Вряд ли такая слабая проверка могла надолго связать руки мошенникам.

Расследование KrebsOnSecurity 


Сотрудник KrebsOnSecurity прошёл через ту же процедуру и обнаружил аналогичные результаты. Первый вопрос о новой ипотеке, которую я якобы взял в 2019 году (я не делал этого), естественно, пошёл лесом. Туда же отправился и второй, не менее странный, вопрос.

Следующие два вопроса оказались бесполезны, потому что уже были заданы и на них даны ответы (ну и эти данные обычно есть в базах, слитых в сеть):  

  1. «Какая из следующих четырёх цифр входит в ваш номер социального страхования?»
  2. «Вы родились через год или в год, указанный ниже?» 

Только один вопрос был по делу и касался моей кредитной истории (речь шла о последних четырёх цифрах номера расчётного счёта).

И вишенкой на этом испорченном торте аутентификации стало то, что для получения PIN-кода можно ввести любой адрес электронной почты — он может быть никак не связан с существующей учётной записью в системе Experian. Кроме того, при отправке PIN-кода Experian не беспокоится о рассылке соответствующих уведомлений на другие email-адреса, уже привязанные к этому клиенту.

И наконец, аккаунт с базовой функциональностью (читай: бесплатный) не позволяет пользователям системы Experian включить многофакторную аутентификацию. Хотя это могло бы предотвратить подобные кражи PIN-кодов. 

Оказывается, можно купить подписку на распиаренный сервис CreditLock с запутанным описанием. Нужно платить от 14,99 до 24,99 долларов в месяц за возможность «легко и быстро блокировать и разблокировать вашу [кредитную] историю, не задерживая процесс подачи заявки». Пользователи CreditLock могут использовать многофакторную аутентификацию, а также получать уведомления, когда кто-то пытается получить доступ к их аккаунту.

Томас возмущён, что Experian обеспечивает безопасность только для тех клиентов, которые каждый месяц платят за это:

«У Experian была возможность надёжно защитить людей с помощью дополнительной аутентификации, но они этого не сделали, потому что могут попросить за такую услугу 25 долларов в месяц. Они специально не закрывают эту дыру в безопасности, чтобы получать прибыль. И это продолжается как минимум четыре года».

Маркетинговая ложь?

Когда клиент с замороженным кредитным счётом логинится на сайте Experian, он сразу же перенаправляется на сообщение об одной из платных услуг Experian, в данном случае — CreditLock. Сообщение, которое я увидел при входе в систему, подтверждает слова Томаса: несмотря на то, что у меня была заморозка, мой текущий «уровень защиты» был «низким», потому что моя кредитная история якобы была доступна для просмотра:

«Когда ваша кредитная история разблокирована, вы более уязвимы для кражи персональных данных и мошенничества», — пишет Experian. «Вы не увидите уведомлений, если кто-то попытается получить доступ к вашей истории. Банки могут посмотреть её, если вы подаёте заявку на получение кредита или займа. Вашу кредитную историю [также] могут просматривать поставщики коммунальных услуг и другие провайдеры».

ca8c39d5fcd0131480cc26082ef1b229.png

Таким образом Experian пугает меня, потому что я ещё не подписался на их платный сервис CreditLock.

Звучит страшно, да? Но правда в том, что, за исключением фразы про отсутствие уведомлений, ни одно из приведенных выше утверждений не соответствует действительности, если ваш кредитный счёт уже заморожен. Замораживание, по сути, и так блокирует возможность просмотра вашей кредитной истории.

Если ваш кредитный счёт заморожен, злоумышленники сколько угодно могут подавать заявки от вашего имени, но им не удастся открыть новые кредитные линии. Вряд ли какие-то кредиторы одобрят этот кредит, не имея возможности оценить, насколько рискованно его давать (то есть, им нужно просмотреть вашу кредитную историю). Теперь заморозить кредит можно бесплатно в любом штате США.

Experian, как и другие кредитные бюро, намеренно использует сбивающий с толку термин «блокировка», чтобы запугать потребителей и заставить их платить за услуги по ежемесячной подписке. Единственный аргумент в пользу таких услуг: кредиторы смогут быстрее просмотреть вашу историю при подаче заявки на новый кредит. На практике это может быть правдой, а может, и нет. А вы пока сами подумайте, почему для Experian так важно убедить потребителей подписаться на их сервис CreditLock.

Ничего личного — просто бизнес


Настоящая причина в том, что Experian зарабатывает деньги каждый раз, когда кто-то делает запрос о кредитной истории от вашего имени, — и не хочет мешать этому. Подписка на услугу «блокировки» позволяет Experian и дальше продавать информацию о кредитных счетах третьим лицам. В разделе FAQ сотрудники Experian пишут, что после блокировки ваша кредитная история остаётся доступной для множества компаний, в том числе:
  • потенциальные работодатели или страховые компании;
  • коллекторские агентства, действующие от имени ваших кредиторов;
  • компании, предоставляющие предварительно одобренные предложения по кредитным картам;
  • компании, у которых есть существующие кредитные отношения с вами (включая замороженные кредиты);
  • а также она доступна для специальных предложений от Experian.

Досадно, что, предлагая дополнительную защиту только тем людям, которые ежемесячно платят компании изрядную сумму за продажу своих же персональных данных, Experian может уйти от ответственности. Также удивительно, что эта дыра в системе безопасности, о которой я писал еще в 2017 году, до сих пор не ликвидирована в 2021-м.

Но Experian в этом не уникален. В 2019 году я писал о том, как новый сайт бюро кредитных историй Equifax под названием MyEquifax упростил для воров процедуру снятия заморозки с кредита в обход PIN-кода. Злоумышленникам достаточно было знать ваше ФИО, номер социального страхования и дату ​​рождения.

Также в 2019 году похитители персональных данных смогли получить копию моей кредитной истории от TransUnion. Они отгадали мои ответы на вопросы — аналогичные тем, которые задает Experian. Я узнал лишь после того, как детектив из штата Вашингтон сообщил мне об этом постфактум. Копия была найдена на съёмном диске местного жителя, арестованного по подозрению в краже персональных данных в составе банды киберпреступников.

Специалисты TransUnion провели расследование и обнаружили, что мои данные действительно попали к злоумышленникам по вине бюро. Но в 2020 году они реабилитировались, когда заблокировали ещё одну мошенническую попытку получить мою кредитную историю:

«В ходе расследования мы установили, что аналогичная попытка получить вашу историю произошла в апреле 2020 года и была успешно заблокирована усиленными средствами контроля, которые TransUnion внедрил с прошлого года. TransUnion разворачивает многоуровневую программу безопасности для борьбы с постоянно растущей угрозой мошенничества, кибератак и злонамеренных действий. В сегодняшней динамичной среде TransUnion постоянно расширяет и совершенствует наши средства контроля для устранения новейших угроз безопасности, при этом позволяя клиентам получать доступ к своим данным».

Эпилог: нерусские хакеры


Вчера, 28 апреля, сотрудникам портала KrebsOnSecurity стало известно, что бюро кредитных историй Experian устранило уязвимость одного опасного партнерского сайта. Она позволяла всем желающим узнать персональный кредитный рейтинг десятков миллионов американцев, просто указав их имя и адрес почты. Experian заявляет, что устранило утечку данных, но Билл Демиркапи — независимый специалист по кибербезопасности, сообщивший об этом открытии, опасается, что такая же уязвимость может присутствовать на бесчисленном множестве других партнёрских сайтов, которые работают с кредитным бюро. 

Но что говорить про партнёров, когда с API информационной системы самого Experian тоже происходит нечто… интересное. 

ff5738cb43aa324c8e9a3377c59bfe45.png

Демиркапи обнаружил, что к Experian API можно получить прямой доступ без какой-либо аутентификации. Ввод всех нулей в поле «дата рождения» позволяет получить в ответ кредитный рейтинг человека. Он даже создал консольную утилиту, которую назвал Bill«s Cool Credit Score Lookup Utility («Классная утилита поиска кредитных рейтингов от Билла»).
Наши виртуалки можно использовать для разработки и хостинга сайтов.

Зарегистрируйтесь по ссылке выше или кликнув на баннер и получите 10% скидку на первый месяц аренды сервера любой конфигурации!

et1aypandyuamqprsz3m2ntm4ky.png

© Habrahabr.ru