- Experianのアカウントは、同じ個人情報と別のメールアドレスで再登録することで乗っ取りが可能で、2022年に明らかになった認証上の問題が16カ月後も残っていた
- 再登録は、Social Security number、生年月日、氏名、住所、メールアドレス、パスワード、そして知識ベースのセキュリティ質問で進み、携帯電話の確認は「Continue another way」で回避できた
- 新しいアカウントが作成されると、完全な信用ファイルの閲覧と信用凍結の設定・解除が可能で、既存メールには承認依頼ではなく変更通知だけが送られていた
- EquifaxとTransUnionは既存アカウントの変更時に登録済みメールまたは電話番号のコード確認を要求するが、Experianは既存ユーザーに変更承認や復旧手段を提供していなかった
- 攻撃者が新しい電話番号とメールアドレスでアカウントを再作成できるなら、ログイン時点の多要素認証だけではアカウント乗っ取りを防ぎにくい
別のメールアドレスでアカウントを再作成できたExperian
- 2022年夏、Experianのアカウントが別のメールアドレスで再登録されて乗っ取られた事例が確認された
- 16カ月後も同じ問題が残っており、Krebs本人のExperianアカウントも最近乗っ取られていた
- annualcreditreport.com経由でExperianの信用ファイルのコピーを請求したが、Experianは本人確認ができないとして提供しなかった
- Experian.comへ直接ログインすることも失敗し、サイトはユーザー名またはパスワードを認識できないと表示した
- ユーザー名の照会手続きでは、完全なSocial Security numberと生年月日が必要で、その後Krebsが承認も認知もしていないメールアドレスの一部が表示された
再登録手続きで明らかになった認証の弱点
- ExperianのホームページはSocial Security numberと携帯電話番号を要求し、本人確認リンクを受け取ると案内する
- 米国内の任意の電話番号を入力してもWebサイトが拒否しないようで、「Continue another way」を選ぶとこの手順を飛ばせた
- その後、アカウントの再作成には次の情報が必要だった
- 氏名
- 住所
- 生年月日
- Social Security number
- メールアドレス
- 選択したパスワード
- 次の段階では、3〜5個の選択式セキュリティ質問に答える必要があり、回答は公的記録に基づくことが多かった
- Krebsがアカウントを再作成した際、5つの質問のうち実際の情報に関連していたのは2つだけで、どちらも過去の居住地住所に関する質問だった
- 選択式の質問を通過すると、4桁のPINと、あらかじめ定義された質問の1つへの回答を新たに設定させられた
- 新しいアカウント作成後はExperianダッシュボードへ移動でき、そこで完全な信用ファイルの閲覧と信用凍結・解除が可能だった
既存ユーザーに残るのは変更通知だけ
- アカウントデータが変更されると、Experianは既存のメールアドレスへ、ユーザープロフィールの一部が変更されたというメッセージを送る
- このメッセージは確認依頼ではなく単なる変更通知であり、既存ユーザーに提供される対応はExperian.comのログインリンクをクリックすることだけだった
- 通知を受け取った既存ユーザーは、従来のExperianアカウント資格情報ではもはやログインできなくなる
- PINとアカウント復旧用の質問もすでに変更されているため、既存ユーザーがアカウントを取り戻すにはExperianで再びアカウントを作り直すしかない
- EquifaxとTransUnionは、既存アカウントの修正時に登録済みメールアドレスまたは電話番号へ送信したコードの入力を求めてから変更を許可する
Experianの回答と読者による検証事例
- Experianは、Krebsの信用ファイルに無断で追加された完全なメールアドレスの共有を拒否した
- Experianの広報担当Scott Andersonは、消費者の本人確認情報と情報を保護するため、手動・能動的措置を含む多層的なセキュリティアプローチを実装し、継続的に進化させていると述べた
- Andersonによれば、その措置には知識ベースの質問と回答、デバイスの所有・保持を検証する手順が含まれる
- すべての消費者は、アカウントログインのたびに要求される多要素認証を有効にできるが、アカウントを新しい電話番号とメールアドレスで再作成できるなら効果は限定的だ
- MastodonでExperian関連の投稿を見た読者たちも同じ問題を確認した
- @Jackerbee は、2つ目の電話番号と新しいメールアドレスを入力したところ、既存メールには情報が更新されたというメールが1通届いただけで、既存メールの検証はなかったと述べた
- 既存の電話番号にはSMS通知も届かず、その後のログイン時の2FAは新しい電話番号で機能した
- PeteMayo は、同じ週にExperianアカウントを2回再作成し、2回目には無作為な固定電話番号を入力した
- PeteMayoの事例では、個人の履歴に関する質問が5つ表示された後、「Welcome back, Pete!」というメッセージとともに完全なアクセス権が与えられた
繰り返されるExperianのセキュリティ事故
- Krebsのアカウントを乗っ取った者は信用凍結を解除していなかったか、解除していたとしても再び凍結していた
- Experianが認証手順を変更しない限り、KrebsのExperianアカウントは再び乗っ取られる可能性がある
- Experianでは過去にも基本的な認証の弱点に関連する事件が繰り返されてきた
- 2022年12月には、氏名、住所、生年月日、Social Security numberだけで消費者の完全な信用報告書にアクセスできる回避手法が発見され、Experianはこの欠陥が2022年11月9日から12月26日まで、ほぼ7週間続いていたと認めた
- 2021年4月には、ExperianのPIN検索ページの認証が不十分で、なりすまし犯が消費者の信用ファイル凍結を解除できた
- 同月には、ExperianのAPIが米国人の大半の信用スコアを露出させた事例も公開された
- 関連する過去の事例には、2022年のアカウントセキュリティ集団訴訟、2017年の信用凍結PIN露出、2015年の1,500万顧客侵害、2014年の2億件の消費者記録へのアクセス許可、2013年の消費者データを個人情報窃盗サービスに販売した事件などが含まれる
1件のコメント
Hacker Newsの意見
ここでの根本問題は、セキュリティを維持するコストが大きく、たまにハッキングされた後に対処するほうが安いということ
唯一の解決策は、罰金や身元盗用被害者による訴訟を通じて、ハッキングされた企業に非常に大きなコストを負わせること
信用報告書の照会1件あたり数セントで、「どこに住んでいたか」「この取引先は本人のものか」といった知識ベース認証を使える
ID.meやStripe Identityのような政府発行の資格情報に基づく本人確認でも、試行1回あたり1.50〜2.00ドル程度
問題は、詐欺被害の負担が消費者に転嫁されるため、少しコストを増やして詐欺を減らすインセンティブがなく、信用情報機関も自社の堀や収益源が侵食されることを望んでいない点にある
要するに、よりよい国家デジタルID基盤があれば、この問題は消える
フィンテックで本人確認を含む顧客IAMを担当しており、市民活動家としてLogin.gov関連の作業にも一部関わっている
安全に運営するには高すぎるのなら、そもそもそのようなサービスが存在してよいのか、多くの個人情報や私的情報を保存する資格があるのかから疑うべき
GDPRは全世界売上高の最大4%まで罰金を科すことができる
もちろん私たちはこうした監視企業の顧客ではない
それでも、セキュリティが完全に欠如しているレベルなのに、実際の顧客にとっては取引停止の理由になっていないのが驚き
このサービスで事実上誰でもなりすませるなら、いったい使う理由が何なのかわからない
企業は個人に関する情報へアクセスするためにExperianにお金を払い、Experianが個人アカウントを許可している唯一の理由は、信用凍結や年次信用報告書のようなものを法律で提供しなければならないから
義務でなければまったくやらなかっただろうし、体験やセキュリティを改善するインセンティブはまったくない
一歩引いて全体を見ると、本当の問題はプライバシー法の不在
銀行、企業、雇用主は、個人情報を第三者と共有することを禁止されるべき
私の住むスイスでは実際にそうで、政府でさえこの情報を得られない
政府が脱税を疑うなら令状を取る必要があり、ほかの犯罪と同じ手続きを踏まなければならない
アクセス可能な金融記録は、合法的な債権回収手続きの記録である「Betreibungen」だけ
誰かに信用を供与する前に、ほかの誰かが金銭を回収するために訴訟にまで踏み切らなければならなかったかどうかは確認できる
しかし信用情報機関がなくても、これほど少ない情報だけですべてうまく回っている
ただしFATCAのような国際的圧力によってスイス法が変わり、銀行は国際顧客について報告するようになった
スイスは、完全な金融プライバシーが普通の納税者にとって公平でない理由をよく示している
超富裕層が自分の払うべき税金を隠せるようにするから
「スイス人の約36%が住宅またはアパートを所有しており、これは西側諸国で最も低く、欧州連合平均の70%、米国の67%を大きく下回る」という内容がある
要因は多いだろうが、信用度に関する情報が少ないなら、誰かの大きな買い物に融資することにはより消極的になりそう
[1] https://www.nytimes.com/2023/11/06/realestate/zurich-switzer...
私が勤める会社は名前は言わないがFAANGで、この会社からデータを買ってExperianのCookieを受け取るとき、よりよい追跡とグラフ構築に使っている
米国は国民のプライバシーを気にしているとずっと言い続けているが、実際には気にしていない
プライバシー法を強く執行すれば、上位500銘柄の中でビッグテックが上位にいるため、銀行口座のような方面にも影響が及ぶと思う
この問題を立法者に見せるためのResistbot請願が上がっている
https://resist.bot/petitions/PONADR
https://resist.bot/petitions
ドイツにはたとえばCampactがあり、通常1件の請願あたり20万署名を超える
米国にこうしたものがないなら、資金のある誰かが作るか、OpenPetitionのような既存の解決策を十分な定期署名者に広めるべきだと思う
https://en.wikipedia.org/wiki/Campact
信用調査機関が3社あるなら、そのうちの1社に信用スコアを持たれないように避ける方法はあるのだろうか?
消費者として、この分野の競争を高める方法になり得ると思う
調べてみたが、簡単な選択肢はなさそうだった
貸し手は通常、三大信用調査機関すべてに情報を報告するので、何も報告されないようにするには、クレジットカードとローンをすべて解約し、信用報告書を凍結する必要がある
ここで「競争の増加」は効かないと思う
私たちは信用調査機関の顧客ではなく商品であり、顧客は貸し手や私たちの情報を必要とする他の人たちだ
貸し手の視点では、この仕組みはうまく回っている。信用を提供する前に申請者の身元を正確に確認する責任が貸し手ではなく、一般個人へ「なりすまし被害」という負担として転嫁されているからだ
「なりすまし被害」という表現自体が、責任を個人に押し付けるために作られた誤った呼び名に近い
理想的には、犯罪者が私の情報を悪用できないように防ぎ、犯罪者が私の情報を不正に使おうとしたときに是正する責任は貸し手にあるべきだ
より良い解決策は、貸し手の本人確認基準を引き上げることだ
そうすれば、信用を提供する前に実際に本人確認を行う負担が貸し手に移る
一部の貸し手は実際かなりきちんと確認しているが、他のところは受け取った情報を無批判に受け入れているように見える
業界全体で高い基準を設けることが、自主的であれ法的義務であれ、この問題の解決に役立つだろう
信用調査機関は、選択肢がほとんどない民間の公共財企業のように運営されている
もしパスワードマネージャーアプリのようなものなら、複数の会社を評価して好きなところを選び、問題が起きればいつでも移行できたはずだ
彼らは私たちが取引するすべての会社から私たちのデータを受け取る
信用調査機関に関連するすべてのつながりを個別に把握する必要があるだろう
おそらくクレジットカードを作らず、ローンも組んでいなければ、彼らの「調査」からある程度は守られるかもしれない
したがって、ある1社に報告する企業を避ける必要があるが、通常は複数の機関に同時に報告する
企業なら、望む機関に報告できる
数日前に自分のプロフィールを作り、アカウントで何が起きているのか見ようとしてログインしようとしたが、サイトが壊れすぎていてログインすらできなかった
自分自身にすらなれないのに、誰がどうやって私になりすませるのか分からない
あなたが使ったのはExperianの顧客向けチャネルではなく、Experianにとって負担になる人たちが使うチャネルだ
ここ数週間、Casas Bahia、Americanas、Magazine Luizaのような大手小売業者から購入確認メールを数え切れないほど受け取っている
複数のスマートフォンやノートPCの請求書に私の名前とCPFが記載されている
すべての小売業者に連絡してみたが、Magazine Luizaだけが詐欺を認めて警告を出したようで、それでも請求書は届き続けている
地元警察に連絡してboletim de ocorrênciaを発行してもらった。どう訳せばよいか分からないが、問題と対応策を取れなかった状況を説明する書類だ
この件の余波が来そうで非常に不安で、自分の身元保護について完全に無力だと感じる
各社のオンブズマン、つまりouvidoriaに連絡して状況を説明してみるといい
実際に問題を解決できなくても、友好的に解決しようとした記録が残る
最悪の場合、小売業者が不正な請求書を債権回収業者に渡し、信用調査機関に報告する可能性がある
この不正な債務には絶対に1セントも払ってはいけないし、交渉もしてはいけない
詐欺なので、債務が消えることだけが唯一の選択肢だ
かかっている金は彼らの金であり、支払えば責任があなたに移る
すでにBoletim de Ocorrênciaと会社への連絡証拠、つまり受付番号や日付などの書類があるので、信用調査機関に載ったら訴訟を起こして損害賠償を求めればよい
信用調査機関も小売業者も和解したがる、単純でよくある訴訟だ
あなたの時間を使わせたのだから、代償を払わせるべきだ
その取引をあなたが行ったという証拠は彼らにはない
そして小売業者、銀行、クレジットカード会社が本当に詐欺を避けたかったなら、すべての購入と加入に不動産取引並みの保護が必要だったはずだ
署名、対面の面談、前払い、銀行、弁護士、公証人、暗号学的署名まで必要だっただろうし、e-CPFもあるのに誰も使っていない
しかし詐欺を100%防ぐことは摩擦を意味し、普通の小売業者は摩擦を好まない
結局それは彼らの事業上の判断であり、より簡単にお金を受け取るためにリスクを受け入れているのだ
ほとんどの文脈では、誰かに害を与える形で虚偽情報を提供すれば中傷や名誉毀損になる
信用報告がそうした責任の例外となる資格があるのか、どの条件でそうあるべきなのかを見直すべきだ
信用調査機関が貸し手に私たちについての虚偽情報を伝え、その結果ローンを受けられなかったり、正当な水準より高い金利を払わされたりするなら、金銭的損害賠償訴訟で勝てるべきだ
彼らがそれが虚偽だと知っていたかどうかは重要であるべきではない
過失であれ悪意であれ、被害は発生するからだ
有名人でない場合、事実確認に少なくとも過失があって初めて名誉毀損になる
つまり、情報が虚偽だと信じる合理的な知識がある場合にのみ過失が成立する
そのアカウントが詐欺だと信用調査機関に申告すれば、そのアカウントが実際にはあなたのものではないという通知をすることになり、そのアカウントを報告書から削除すれば、今後そうした名誉毀損的な情報を広める責任から免れることになる
先週、データ漏えい通知を2回受け取った。
1つは自分の医療サービス提供者から、もう1つは自分の住宅ローンを保有している銀行からだった。
どちらも信用情報をロックするように言い、1年間無料の信用監視を提供してきた。
これはあまりにも不十分で、この分野にはもっと規制が必要だと思う。
生涯の信用監視、自分名義で発生するあらゆる金融詐欺に対する完全な保険、即時のみなし損害賠償が提供されるべきだ。
根本原因は、米国の本人確認制度がめちゃくちゃであることにある。
一意の識別子、つまりSSNと、秘密値、これもSSNだが、その区別ができていない。
他のあらゆるセキュリティ質問も、結局は詐欺師が簡単に入手できる「知っていること」という同じ認証要素の変種にすぎない。
文字どおり、あなたが本当にあなたであることを証明する合意された方法がない。
DMVは、クレジットカードのように物理的でありながらデジタル機能も持つ身分証を発行し始めるべきだ。
オンライン本人確認のためのApple PayやAndroid Payのようなものが必要で、銀行にデジタル身分証への対応を義務づけるべきだ。
また、デジタル身分証を悪用する人には厳しく執行すべきだ。
この問題を無視した結果、少なくとも毎年数百億ドルのGDPが詐欺で失われていると思う。
さらに重要なのは、法治国家としての地位が徐々に侵食されていくことだ。
発行自体も難しく、たいていは労働者階級の地域の投票所を閉鎖し、DMVの予算を削る州が、全員に無料で実装しなければならない方式には最後まで抵抗するだろう。
答えは、いまSSNを提供するように、アクセス権を与える何らかのデジタル秘密値を提供しなければならない、ということだ。
そうなると、そのデジタル秘密値は現在SSNが存在しているのと同じオンライン上の場所に置かれ、同じ種類のハッキングに脆弱になる。
これで何が直るというのか分からない。
記事の助言どおり、他人に登録されないようアカウントを作成したら、自動的にデジタル当座預金口座に加入させられたように見える。
こんなものはまったく望んでいなかった。