15ドルで米国人の個人情報を暴く信用調査会社のデータ供給網悪用
(404media.co)- 名前と居住州だけで、過去の住所、親族、電話番号、メールアドレス、運転免許情報が含まれたファイルを受け取ることができ、照会費用は 15ドル相当のBitcoin だった
- このツールは、Experian、Equifax、TransUnionが保有する credit header データにアクセスしているとみられ、場合によっては社会保障番号(SSN)も20ドルで提供した
- credit header は、米国の成人の多くに関するクレジットカード関連情報から作られる個人情報で、契約や購入を経て債権回収会社、保険会社、法執行機関にまで流通する
- 犯罪者は 元法執行官の身元なりすまし などの方法でデータ供給網にアクセスし、オンライン上で他の犯罪者に無制限のアクセス権を販売した
- Elon Musk、Joe Rogan、Joe Biden のような著名人の照会にも使われ、一部のデータは機微ではないとしても、少なくとも一部は正確であることが確認された
Telegramボットで販売される個人情報照会
- Telegramで対象者の 名前と居住州 だけを入力すると、短時間で個人情報ファイルが生成された
- ファイルには対象者が米国内で住んでいた住所が含まれ、10年以上前の大学寮の住所まで入っていた
- あわせて提供された情報は、本人確認や追跡に使える項目で構成されていた
- 親族の名前と出生年
- 携帯電話番号と通信事業者
- 個人のメールアドレス
- 運転免許情報と固有識別番号
- 照会全体の費用は 15ドル相当のBitcoin で、ボットはときどき社会保障番号を20ドルで提供した
信用調査会社のデータ供給網悪用
- このツールは、米国内の成人の多くについて Experian、Equifax、TransUnion が保有する credit header データにアクセスしているとみられる
- credit header データはクレジットカード関連情報から作られる個人情報であり、複数の契約や購入を経て他社へ移動する
- 移動したデータは、債権回収会社、保険会社、法執行機関に提供される経路を持つ
- 犯罪者はこの供給網へのアクセスに成功し、一部の事例では 元法執行官の身元なりすまし が使われた
- テストされたツールは、Elon Musk、Joe Rogan、Joe Biden のような著名人の情報収集にも使われ、アクセス制限なしで利用されていたとみられる
- 検証の結果、すべてのデータが常に機微なものではないものの、少なくとも一部のデータは正確だった
1件のコメント
Hacker Newsの意見
Experian、TransUnion、Equifax の3社でクレジット凍結を設定しておく価値は十分にある
最初に設定するときは個人情報を大量に提供しなければならず面倒だが、一度終われば凍結・解除はかなり簡単になる
URL、ユーザー名、パスワードを安全なメモに保管しておき、クレジット申請が必要なときだけ1日か1週間ほど解除すればよい
以前は自分の名前でクレジットを開設される なりすまし の問題が多かったが、クレジット凍結で解決した
Experian: https://www.experian.com/freeze/center.html
TransUnion: https://www.transunion.com/credit-freeze
Equifax: https://www.equifax.com/personal/credit-report-services/cred...
これらの会社は本当に嫌いだが、参考手順を踏むだけの価値はあったし、誰にでも勧められる
最後には、3年間ログインしていないという理由でアカウントがロックされ、追加の本人確認を大量に求められた
確認内容が過去の住所など、最初に設定するときに聞かれた情報なので、かえって不安に見えることもあるし、より複雑なこともある
時間がたつと、最も予想外の瞬間にアカウント確認に 60日 かかると言って凍結解除を阻まれることがある
こういうことが起きるたびに、発行会社に巨額の罰金を科すべきだ
こうした詐欺で被害者なのは個人ではなく銀行だ
私の身元は依然として私のものであり、銀行や債権者が自分の不注意で自分の金を犯罪者に渡しただけだ
何の関与もしていない個人を被害者に仕立てるのは筋の通らない幻想であり、法律もこの現実を反映するように変わるべきだ
銀行が自分たちの不注意のコストを無実の人に押し付けられる限り、ずさんな行動を続けるだろう
公の場でこの表現が出るたびに、「なりすまし被害」という欺瞞を拒むような認識が広まるべきだ
関連するMitchell and Webbのラジオスケッチ: https://www.youtube.com/watch?v=CS9ptA3Ya9E
詐欺師が携帯電話の契約だけでなく、自分のアパートの電気まで私名義で申し込んだ件を処理しなければならず、ここで 凍結設定 をしたら解決した
そもそも何かを始めたことがないのだから大丈夫なのか分からない
クリックの手間を省くと、秘密兵器はTelegramグループで犯罪者に 15ドル 払い、誰かをドックスさせることだ
記事の大半は、そのドックスサービスがデータをどこから得ているのか、そしてその出所がどう変わっていくのかについての内容だ
現在はTransUnionの TLOxp が人気のサービスだ
TLOxpはデータ融合という分野を切り開いた、ゲームチェンジャーとなる技術の最新版だ
TLOxpの利用先として、債権回収、法律専門家、企業内法務、免許を持つ調査員、金融サービス、保険、企業リスク、調査報道記者、法執行機関、州・地方・連邦政府、資産回収と差し押さえが挙げられている
金融機関が本人確認のために尋ねてくる誤った情報と同じ誤りがあるので、出所は信用調査機関だろうと思う
年に何度かは自分の名前を検索し、そうしたサイトに削除依頼を出すのがよい
ほとんどはかなり早く対応してくれる
何か釣りっぽい「やられた」記事のように見えるが、タイトルが約束した内容は正確に伝えていたと思う
信用調査機関が提供する規制の緩い検索ツールによって、ドックスやそれ以上のこと が販売されているという内容だ
これらの主張を弱めるような何かがあったのだろうか?
アプローチが間違っている
個人の身元と認証は、社会保障番号、運転免許証番号、住所履歴のような 不変で公開され得る情報 に基づくべきではない
こうした情報は漏れる経路が多く、一度漏れれば永遠に残る
まともな デジタルID、認証、紛争解決メカニズムが必要だ
安くはないだろうが、長期的には代替案のほうが高くつく
少し面倒だが、ハッキングするのはかなり難しい
もちろん、パスポートやそれに準ずる身分証明書がなければ機能しない
ローンを組もうとしたら自分の身元が取り消され、別の人がすでに占有していたと知る状況を想像すればよい
TransUnionは「TLOxpの悪用を確認するごくまれなケースでは、法執行機関と協力して責任者の訴追を支援する」と言っていたが、これは完全に嘘だ
TransUnionは、公開情報しか持っていないハッカーたちに私の完全な信用報告書を渡したことがあり、まったく気にしていなかった
すぐにそうなるとは思えない
もちろん、とてつもなく面倒だ
どれほど気にかけているのか、確認後にどれだけフォローアップしているのかについては何も言っていない
信用調査会社について、もう一つ嫌な点がある
商業用不動産の仲介会社に行ってみると、仲介人全員が信用調査会社のライセンスを持っていて、特に若手の仲介人たちは毎日不動産所有者を調べ、携帯電話に営業電話をかけていた
TLOも、商業用不動産仲介業界の大きな部分が毎日自社製品を使っているのがGLBA準拠目的であるはずがないと分かっているはずだが、見て見ぬふりをして収益化する方法を探している
この情報を得るためにインターネットの暗い片隅を掘り返す必要すらない
正面玄関から入ればいい
「犯罪者からデータの対価を受け取るなら、それはデータ漏えいではない
その場合はサービス提供だ」
— 信用調査会社各社
誰かが電話してきて、すでにこちらの個人情報をたくさん知っていると言い、「本物」だと証明しようとしても、絶対に個人情報を渡してはいけない
必ず、相手が教えた番号ではなく、自分で調べた番号にかけ直すべきだ
昔、詐欺師が銀行を名乗って電話をかけ、クレジットカード裏面の番号にかけ直すよう言ったことがあった
被害者が電話を切って再び受話器を取ると、詐欺師たちが回線を押さえたまま偽の発信音を流し、別の人物が「応答する」形でだました
知らない番号ならなおさら出ない
記事で扱っている問題には誰もが脆弱だ
今後はさらに悪くなると思う
関心を持つ人がいないため分類されていないデータが山ほどあり、今ではまともな大規模言語モデルがその作業を代わりにできる
あの業界全体を禁止すべきだ
裁判所がローンの延滞を記録し、その情報を債権者に提供すればいい
報告書にはそれ以外何も入れるべきではない
貸し手はすでに所得を独立して検証しており、住宅ローンの場合は月々の支出も確認している
信用報告書に入り、信用スコアの計算に使われる残りの情報は、人々にクレジットカードを作らせ、構造的な人種差別を持続させるためのものに見える
これは20年前にも、私立探偵たちがハッカーカンファレンスで、欲しい情報を合法的に得るさまざまな方法を発表していた時点ですでに明らかだった
少し検索するだけで、小額で個人情報を掘り出せるオンラインサービスが500個ほどある
ハッカーではなく、上場企業が運営しているサービスだ
誰かが今になって、それをさらに簡単にするボットを作ったようだ
こういう記事はハッカーにとって、「ドアの錠前は安全ではない」という記事のように読める
彼が持っていたのは私の名前と通っていた大学だけだった
どうやって番号を知ったのか尋ねると、上で述べたようなサービスを使ったと言っていた
その気になった人にとって、こうしたことは特に難しくなかった
必要なのはその人の電話番号だけだ
それでも20年前でさえ、人についてほんの少し知っているだけで、特に名前が一般的でなければ、膨大な量の情報を見つけられることは明らかだった