「Experianでは今も誰でも簡単にあなたになりすませる」

Experianのセキュリティ問題は継続

• 2022年夏、Experianの消費者向け信用報告アカウントが、メールアドレスだけを変更して再登録することで乗っ取られる事例が報告された。
• 16か月後になっても、Experianはこの深刻なセキュリティ問題を解決できていない。
• 記者のExperianアカウントも最近ハッキングされ、アクセスを取り戻すためにアカウントを新たに作り直さなければならなかった。

アカウント再登録の容易な手順

• ExperianにSSN（社会保障番号）と生年月日を入力すると、記者が認証していないメールアドレスに紐づけられていることが判明した。
• Experianのウェブサイトは、アカウントのユーザー名を探すためにSSNと誕生日を要求し、未認証のメールアドレスの一部を表示する。
• Experianは今も、個人情報と別のメールアドレスを使って信用ファイルのアカウントを再作成できるようにしている。

アカウント作成プロセスの脆弱性

• ExperianのホームページはSSNと携帯電話番号を要求し、本人確認用のリンクを送るとしている。
• ユーザーは電話番号入力の段階をスキップでき、その後に名前、住所、生年月日、SSN、メールアドレス、パスワードを入力しなければならない。
• 3〜5問の選択式セキュリティ質問に答える必要があるが、これらの質問の多くは公開記録に基づいているため簡単に調べられる。

アカウント変更時のメール通知不足

• 新しいアカウントが作成されると、Experianは以前のメールアドレスにユーザープロフィール変更の通知を送る。
• この通知は変更内容の検証を求めるものではなく、元の利用者はExperian.comでログインするよう促すリンク以外、何の対応もできない。

Experianアカウントの重要性

• Experianアカウントがない場合、アカウントを作成しておけば、信用ファイルが乗っ取られた際にメール通知を受け取れる。
• アカウントが乗っ取られると、既存のログイン情報、PIN、アカウント復旧用質問がすべて変更されるため、アカウントを作り直して乗っ取り犯から取り戻す以外に選択肢がない。

他の信用情報機関との比較

• EquifaxやTransUnionのような他の主要な消費者信用情報機関は、アカウント変更時に、ファイルに登録されたメールアドレスまたは電話番号に送られたコードの入力を求める。

Experianの反応

• Experianの広報担当Scott Andersonは、未認証のメールアドレスに関する情報共有を拒否した。
• Andersonは、Experianが多層的なセキュリティアプローチを導入しており、知識ベースの質問と回答、デバイスの所有および所持の検証プロセスを含むと主張した。

多要素認証の有効性の問題

• すべての消費者には、ログインのたびに要求される多要素認証を有効化できるオプションがあるが、新しい電話番号とメールアドレスでアカウントを再作成できるなら、それは無意味になる。

Mastodonユーザーの実験

• MastodonユーザーたちはExperianのセキュリティ問題を検証し、記者の発見を裏付けた。
• ユーザーたちは、Experianが電話番号とSSNの下4桁を要求した際に、「情報を手動で入力する」オプションを選び、新しい電話番号とメールアドレスを入力した。
• 元のメールアドレスにはいかなる検証も求められず、新しい電話番号で2FA（二要素認証）が行われた。

Experianの過去のセキュリティ問題

• 2022年12月、KrebsOnSecurityはExperianのセキュリティを回避して、ある消費者の完全な信用報告書にアクセスできる簡単な方法を発見した。
• 2021年4月、KrebsOnSecurityはExperianのPIN検索ページの甘い認証を悪用し、消費者の信用ファイルのロックを解除するなりすまし犯を明らかにした。
• Experianは過去にも、さまざまなセキュリティ問題をめぐって何度も批判を受けてきた。

GN⁺の意見

• 最も重要なのは、Experianが依然として深刻なセキュリティ脆弱性を解決できておらず、その結果としてユーザーの信用情報が危険にさらされる可能性があることだ。
• この記事は、消費者に対し、自分の信用情報を守るためにどのような対策を取るべきかという重要な認識を提供している。
• Experianのセキュリティ問題は消費者の個人情報保護に直結しており、これはすべての人にとって重大な関心事だ。