Większość osób, które zamroziły swoje pliki kredytowe za pomocą Equifax , otrzymała numeryczny osobisty numer identyfikacyjny (PIN), który powinien być wymagany przed zamrożeniem lub odmrożeniem. Niestety, jeśli nie masz jeszcze konta w nowym biurze informacji kredytowej portal myEquifax Złodzieje tożsamości mogą łatwo unieść istniejące zamrożenie kredytu w Equifax i ominąć kod PIN uzbrojony w niewiele więcej niż Twoje imię, nazwisko, numer ubezpieczenia społecznego i urodziny.
Konsumenci w każdym stanie USA mogą teraz zamrozić swoje pliki kredytowe za darmo z Equifax i dwoma innymi dużymi biurami ( Trans Union i Experian ). Zamrożenie utrudnia złodziejom tożsamości otwieranie nowych linii kredytowych w Twoim imieniu.
W związku z epickim naruszeniem danych Equifax z 2017 r., Które dotknęło około 148 milionów Amerykanów, wielu ludzi w odpowiedzi zablokowało swoje pliki kredytowe w wielkiej trójce. Ale Equifax od tego czasu zmienił kilka rzeczy.
Chcąc zarządzać własnym zamrożeniem kredytów na stronie equifax.com, tak jak to robiłem w latach wcześniejszych, skierowano mnie do tworzenia konta na stronie myequifax.com, co mnie zszokowało, gdy dowiedziałem się, że wcześniej nie posiadałem.
Zdobycie konta na myequifax.com było łatwe. W rzeczywistości było to zbyt łatwe. Portal poprosił mnie o podanie adresu e-mail i zaproponował długie, losowe hasło, które zaakceptowałem. Wybrałem stary adres e-mail, o którym wiedziałem, że nie jest bezpośrednio związany z moją prawdziwą tożsamością.
Następna strona poprosiła mnie o wpisanie numeru SSN i daty urodzenia oraz o udostępnienie numeru telefonu (udostępnianie było opcjonalne, więc nie). Dane SSN i DOB są powszechnie dostępne w podziemnym cyberprzestępczości dla prawie wszystkich obywateli USA. To była rzeczywistość od lat i była tak dobra, zanim Equifax ogłosił swoje wielkie naruszenie w 2017 roku.
myEquifax powiedział, że nie może zweryfikować, że mój adres e-mail należał do Briana Krebsa w SSN i DOB. Następnie zadał serię czterech pytań bezpieczeństwa - tak zwane „uwierzytelnianie oparte na wiedzy” lub pytania KBA mające na celu sprawdzenie, czy mógłbym przypomnieć sobie fragmenty mojej ostatniej historii finansowej.
Ogólnie rzecz biorąc, dane, o które pyta się w tych quizach KBA, są zbierane z publicznych rejestrów, co oznacza, że ta informacja prawdopodobnie jest publicznie dostępna w jakiejś formie - cyfrowo lub osobiście. Rzeczywiście, mam długo atakował przemysł KBA jako fałszywe poczucie bezpieczeństwa, które można łatwo ominąć oszustom.
Jednym z potencjalnych problemów z poleganiem na pytaniach KBA w celu uwierzytelnienia konsumentów online jest to, że tak wiele informacji potrzebnych do pomyślnego odgadnięcia odpowiedzi na te pytania wielokrotnego wyboru jest teraz indeksowanych lub ujawnianych przez wyszukiwarki, sieci społecznościowe i usługi innych firm online - zarówno kryminalny i handlowy.
Pierwsze trzy pytania z wieloma pytaniami, o które pytał mój Quifax, dotyczyły pożyczek lub długów, których nigdy nie zawdzięczam. Tak więc odpowiedź na pierwsze trzy pytania zadane przez KBA brzmiała: „żaden z powyższych”. Ostatnie pytanie dotyczyło nazwy naszej ostatniej firmy hipotecznej. Ponownie, informacje, które nie są trudne do znalezienia.
Zadowolony z moich odpowiedzi Equifax poinformował mnie, że tak naprawdę byłem Brianem Krebsem i że teraz mogę zarządzać obecnym zamrożeniem firmy. Po zażądaniu odwilży, zostałem przeniesiony na stronę vintage Equifax, która nie przypominała bardziej słonecznego upierzenia online mojej Equifaxa.
Strona Equifax twierdzi, że będzie wymagać od użytkowników, aby żądali zmian w istniejącym zamrożeniu kredytu, aby mieć dostęp do zamrożonego kodu PIN i być gotowym do jego dostarczenia. Ale Equifax nigdy nie prosi o kod PIN.
Ta strona poinformowała mnie, że jeśli wcześniej zabezpieczyłem zamrożenie mojego pliku kredytowego w Equifax i otrzymałem PIN potrzebny do cofnięcia tego statusu w jakikolwiek sposób, powinienem być gotowy do podania wspomnianych informacji, jeśli prosiłem o zmiany przez telefon lub e-mail.
Innymi słowy, zamrożenie kredytu i odmrażanie żądane przez myEquifax nie wymagają od użytkowników dostarczania żadnego wcześniej istniejącego kodu PIN .
Dobrze, powiedziałem. Zróbmy to.
myEquifax poprosił o zakres dat, o który poprosiłem, aby odmrozić kredyt. Zatwierdź.
„Udało nam się przetworzyć żądanie zamrożenia bezpieczeństwa!”, Oświadczyła strona.
Zostało to również wykrzyknięte w e-mailu na losowy stary adres, którego użyłem w myEquifax, chociaż strona nigdy nie podjęła próby sprawdzenia, czy mam dostęp do tej skrzynki odbiorczej, co można zrobić po prostu wysyłając link potwierdzający, który potrzebuje kliknij, aby aktywować konto.
Ponadto zauważyłem, że Equifax dodał mój stary numer telefonu komórkowego do mojego konta, mimo że nigdy nie przekazałem tych informacji i nie korzystałem z tego telefonu podczas tworzenia konta myEquifax.
Pomyślne odmrożenie (chwilowe rozmrożenie) mojego zamrożenia kredytu nie wymagało ode mnie dostarczenia mojego wcześniej wydanego zamrożonego kodu PIN z Equifax. Każdy, kto zna najdelikatniejsze i najbardziej poznawalne szczegóły na mój temat, mógłby zrobić to samo.
myEquifax.com obecnie nie stara się zweryfikować konta, prosząc o potwierdzenie przez telefon lub tekst na numer telefonu powiązany z kontem (pamiętaj również, że nawet podanie numeru telefonu było opcjonalne).
Na szczęście odkryłem, że kiedy użyłem innego komputera i adresu internetowego, aby otworzyć inne konto pod moim imieniem, datą urodzenia i SSN, poinformował mnie, że profil już istnieje dla tej informacji. Sugeruje to, że rejestracja w myEquifax jest prawdopodobnie dobrym pomysłem, biorąc pod uwagę, że alternatywa jest bardziej ryzykowna.
Stworzenie mojego konta było zbyt łatwe, ale nie twierdzę, że każdy będzie mógł je utworzyć online. Podczas testowania z kilkoma czytelnikami w ciągu ostatnich 24 godzin, myEquifax wydaje się zwracać teraz o wiele więcej stron błędów na etapie KBA procesu, co skłania ludzi do ponownej próby później lub złożenia prośby za pośrednictwem poczty elektronicznej lub telefonu.
Rzeczniczka Equifax, Nancy Bistritz-Balkan, powiedziała, że nie jest wymagany kod PIN dla osób z istniejącymi zamarznięciami.
„Dzięki myEquifax stworzyliśmy doświadczenie online, które pozwala klientom bezpiecznie i wygodnie zarządzać zawieszeniami zabezpieczeń i ostrzeżeniami o oszustwach”, powiedział Bistritz-Balkan.
„Wdrożyliśmy doświadczenie, które obejmuje zarówno standardy bezpieczeństwa (wykorzystujące wieloczynnikowe i warstwowe podejście do weryfikacji tożsamości konsumenta), jak i konkretne opinie klientów na temat zarządzania zamrożeniami bezpieczeństwa i alertami o oszustwach online bez użycia kodu PIN”, kontynuowała. „Proces konfiguracji konta, który polega na utworzeniu nazwy użytkownika i hasła, opiera się zarówno na danych wejściowych użytkownika, jak i innych czynnikach, aby bezpiecznie ustanowić, zweryfikować i uwierzytelnić, że tożsamość konsumenta jest połączona z konsumentem za każdym razem”. Kontynuuj czytanie →