标签: Experian

Experian 严重漏洞暴露信用报告

近日,有记者在消费者和企业信用报告领域的全球领导者 Experian 的官方网站上披露了一个安全漏洞的惊人细节,该漏洞正被身份盗窃诈骗者利用,而 Experian 对此一无所知。到 2022 年底,Experian 网站允许用户绕过这些 MCQ,在输入姓名、出生日期、地址和社会安全号码后直接访问信用报告。 乌克兰安全研究员 Jenya Kushnir 向记者透露了这个漏洞,身份窃贼正在利用这个漏洞,因为他们可以通过专门用于此目的的 Telegram 聊天频道获取被盗身份。根据 Kushnir 的调查结果,网络犯罪分子可以通过在身份验证过程中的某个时刻编辑浏览器 URL 栏中的地址来诱骗 Experian 网站允许他们访问任何用户的信用报告。 访客必须提供他们的姓名、出生日期、地址和社会安全号码。当 Brian Krebs 提供此信息时,他被重定向到 Experian.com 以完成身份验证。那是 MCQ 出现的阶段。 然而,Kushnir 指出,在这个阶段,如果他将 URL 的最后一部分从“/acr/oow/”更改为“/acr/report”,他的信用报告就会出现。当他被重定向到 Experian 网站时,它没有显示 MCQ,而是显示了 URL“/acr/OcwError”,表明它没有足够的数据来验证他的身份。接下来,该网站为 Krebs 提供了三个选项: 发送带有身份验证文件的信用报告电子邮件 致电益博睿 在网站上传身份证明 当 Krebs 按照 Kushnir 告诉他的那样将 URL 更改为“/acr/report”时,即使 Experian 无法验证他的身份,他也会看到他的完整信用档案。 Brian Krebs于 2022 年 12 月 23 日与 Experian分享了他的发现,该公司的公关团队于 2022 年 12 月 27 日确认了该通知。在此期间,该漏洞得到了修补。然而,目前还不清楚这个问题被身份窃贼知道并被利用了多久。Experian 安全和数据泄露 Experian 是世界领先的信用报告机构之一,收集和汇总超过 10 亿人和企业的信息。它可以访问 2.35 亿美国个人消费者以及 2500 万美国企业的数据,使其成为金融机构、雇主、房东等的强大工具。 Experian 也因大规模数据泄露和严重安全漏洞而闻名。几年前,一个这样的漏洞允许攻击者获得客户的账户访问权限和他们的信用冻结 PIN 码。 2020 年 8 月,据透露,Experian 遭受了大规模数据泄露,其中 2200 万客户的个人详细信息被盗。在另一起事件中,Experian 巴西分会 Serasa Experian 再次遭受数据泄露,导致 2.23 亿人的数据在黑客论坛上泄露。     转自 E安全,原文链接:https://mp.weixin.qq.com/s/Ct1Coet0Fa5jZVO1fETNbg 封面来源于网络,如有侵权请联系删除  

全球知名征信机构 Experian 因大规模数据泄露事件面临政府起诉

外媒 3 月25 日报道,圣地亚哥市律师 Mara Elliott 已向益百利信用机构( Experian )提起诉讼,称该公司未根据加利福尼亚州法律要求将 2013 年发生的大规模数据泄露事件告知其受影响的消费者。 据估计,约有 3000 名消费者可能遭受影响,其中包括圣地亚哥估计的 25 万人。 根据 Elliott 的说法,一位越南男子 Hieu Minh Ngo 通过冒充为新加坡私家侦探,获得了一家名为 “ 法院创投公司 ” (Court Ventures Inc.简称 CVI 公司,2012 年被益百利收购)的消费者信息数据库。 该男子每月向 Experian 支付数千美元现金以获得 2 亿个消费者的信息,然后通过暗网将其转卖给其他犯罪分子。据估计,全球约有 1300 名恶意人士购买了这些数据,这些恶意人士利用被窃取的信息提交了 13000 多份虚假申报表,骗取了 6500 万美元的欺诈性退税。 截至 2013 年 2 月的 18 个月期间 Ngo 通过倒卖数据库信息已赚取了190万美元。 加利福尼亚州法律对违规行会处以高达2,500美元的罚金,这意味着该公司可能面临数百万美元的罚款。 参考链接: 《圣地亚哥联合论坛报》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

全球知名征信机构 Experian 出售安全服务,用于暗网跟踪用户交易数据

据外媒 10 月 9 日报道,全球知名征信机构 Experian 近期正利用消费者对暗网的恐惧心理推出一项新安全服务 IdentityWorks Premium,用于暗网跟踪用户交易数据,以保障客户信息免遭曝光。 Experian 发表声明,宣称由于暗网使用了特殊的应用程序与其本质的隐蔽特性保证了匿名的性质,因此它能够成为各类非法活动的避风港湾并不奇怪。这意味着,如果你曾是数据泄露的受害者之一,那么你的私人信息可能还存留在暗网之中。 目前,Experian 公司将免费提供一项新安全服务–暗网电子邮件扫描,即该项服务可以让用户在暗网中搜索他们的电子邮件是否在线泄漏。知情人士获悉,客户只需要向该公司提供一个电子邮件地址并授权 Experian 跟踪收集特定消费者的信息后就可查询用户的信用评分、贷款与信用卡支付、利率等数据。 然而,一旦签署该项服务,Experian 不仅会向用户发送广告,还会推荐可用的信用卡贷款选择、金融产品服务或信贷相关产品服务等各类项目。不过,值得注意的是,即使用户在今后取消了该项体验服务,其此前所签署的条款仍将存在。因此安全专家提醒用户,在没有深入了解 Experian 扫描服务的具体细节时不要轻易签署任何协议。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。