Experian 社の Web サイトでは、凍結されたアカウントのロックを解除するために必要な PIN が世界中に公開されており、犯罪者が被害者になりすましてローンやクレジットカードを申請できる可能性があります。
信用監視機関は、ローンなどを申請する際に提出しなければならない暗証番号を使って、人々が自分の口座を凍結できるようにしている。これは、詐欺師が名前や社会保障番号などの盗まれた個人情報を悪用し、他人の身元を使って信用を得るのを阻止するための仕組みだ。
しかし、金融アドバイスサイトNerdwalletが今月報じたところによると、信用監視機関のオンラインアカウント復旧プロセスに不具合があり、これを悪用されると、他人の復旧用PINが漏洩する可能性があるとのことです。悪意のある人物は、そのPINを使ってアカウントの凍結を解除し、資金を盗み出す可能性があります。
T-Mobile USは、ハッキング被害者にID盗難監視サービスを提供するために、失敗に終わったExperian以外の企業を雇用した。
続きを読む
このバグ(その後修正済み)により、個人の名前、住所、社会保障番号、生年月日を知っている人なら誰でも、攻撃者が指定したメールアドレスにPINコードを送信できてしまう可能性がありました。アカウント盗難防止のために設計された復旧用の質問は、すべての回答を「上記のいずれでもない」に設定することで回避できます。
「フォームにはメールアドレスが必要でしたが、必ずしもその人のエクスペリアンアカウントに関連付けられているものである必要はありませんでした」とNerdwalletは説明している。
「セキュリティの質問に対して『上記のいずれでもない』と答えると、提示された回答の一部が正しかったとしても、その人のPINにアクセスできるようになります。」
PINコードを入手すれば、攻撃者は信用凍結を解除し、被害者名義で新規口座開設を申請できるようになります。これはエクスペリアンの場合特に危険です。信用凍結を設定する主な理由の一つは、PINコードを取得するために使用する個人情報(社会保障番号や生年月日など)の漏洩を防ぐためです。
つまり、あなたの個人情報が別のサイトやサービスによってオンラインで漏洩し、その情報が悪用されるのを防ぐためにクレジット凍結を設定していた場合、その同じ公開データを使用して凍結を解除できた可能性があるのです。
エクスペリアンは、PINハッキングによって顧客が個人情報を盗まれる危険にさらされたことはないと述べています。以下は、同社が本日The Registerに提出した声明全文です。
消費者の信用データ、個人情報、または当社のシステムのセキュリティに対するリスクは、現在も過去も存在していません。信用凍結PINでは、信用ファイルや消費者の個人情報(PII)にアクセスすることはできません。エクスペリアンは多層的なセキュリティ対策を導入しており、その多くは消費者からは見えません。認証の安全性には自信を持っていますが、プロセスをさらに安全にするために追加の対策を講じています。当社は引き続きシステムを定期的に監視し、必要に応じてデータセキュリティ強化のための措置を速やかに講じています。
この欠陥が実際に悪用された形跡はないものの、この発見は、2015年にエクスペリアンで発生したT-Mobile USの顧客1,500万人分の記録が盗まれた事件を含め、近年データ侵害により信用情報を凍結せざるを得なかった何百万人もの人々にとって、間違いなく不快感を与えるものとなるだろう。®
