Equifax lönesnoopningstjänst fortfarande sårbar, säger säkerhetsexpert

cfpb utredning equifax hacka högkvarter
Smith Collection/Gado/Getty Images
A lönesökningstjänst tillhandahålls av nyligen kompromissad Kreditbyrån Equifax kom tillbaka online efter att den togs ner för "säkerhetsförbättringar" den 8 oktober. Tjänsten tillåter vem som helst att slå upp din lön och anställningshistorik som sträcker sig minst 10 år tillbaka i tiden genom att tillhandahålla några personliga uppgifter: Ditt personnummer och ditt datum för födelse.

Det är utformat för att tillhandahålla inkomstverifiering till arbetsgivare, banker och andra "legitimerade verifierare", men efter Equifax hack, den känsliga informationen du behöver för att komma åt någons ännu känsligare information fanns där ute, mogen att ta till sig. När säkerhetsexperten Brian Krebs uppmärksammade frågan i en inlägg på sin blogg, tog Equifax ner sidan.

Rekommenderade videor

Nu är dock webbplatsen uppe igen och trots Equifax påståenden om motsatsen, har säkerhetsförbättringarna företaget gjort av arbetsnumret inte precis förbättrat säkerheten så mycket.

Relaterad

  • Alla AMD-processorer sedan 2011 har haft en säkerhetsrisk
  • Rättegång hävdar att Equifax dumma lösenord gjorde det superlätt att stjäla din data
  • Hur man lämnar in ett krav på $125 om du drabbades av 2017 års Equifax dataintrång

"De enda "säkerhetsförbättringarna" jag såg att min källa stötte på var en uppmaning att ange hans fullständiga namn, födelsedatum, socialförsäkring nummer, adress, telefonnummer och e-post, följt av det vanliga följet av fyra "kunskapsbaserad autentisering" (KBA) med flera gissningar. frågor. Jag har länge varit en kritiker av dessa KBA-frågor, eftersom svaren vanligtvis är tillgängliga på sajter som Zillow och Spokeo, för att inte säga något om sociala nätverksprofiler." skrev Krebs.

Så kort sagt, du kan fortfarande komma åt någons inkomst- och anställningshistorik med lättillgänglig information — och en handfull mindre lättillgänglig information, olagligt anskaffad från de mörka hörnen av internet. Krebs fortsätter med att beskriva hur till och med en kreditfrysning rekommenderade handlingssätt efter att din information har äventyrats – kommer inte att skydda dig helt.

Dessa kunskapsbaserade autentiseringsfrågor, genererade från din kredit- och inkomsthistorik, kommer fortfarande att dyka upp när du försöker komma åt din inkomsthistorik via arbetsnumret, men frågor kommer inte att använda finansiell information – de kommer att genereras från annan information som Equifax har om dig, som din adresshistorik och namnen på långivare som du har använt i dåtid.

"Det som är intressant är att den här typen av frågor tenderar att vara lättare att besvara än, säg, "Vad var beloppet för ditt senaste billån?"" Krebs fortsätter och beskriver hur en kreditfrysning bara kan göra det lättare för identitetstjuvar att komma åt den känsliga personliga informationen som finns på Verket Siffra.

Det bästa försvaret, säger Krebs, är att själv logga in på arbetsnumret, ställa in en säker PIN-kod och lägga till minst ett halvdussin säkerhetsfrågor och svar till ditt konto. Frågorna, råder han, bör ha svar som bara du skulle veta som inte kan hittas via sociala medier.

Redaktörens rekommendationer

  • Nvidia varnar ägare av sina GPU: er om en farlig säkerhetsrisk
  • Efter senaste hacket säger experter att smarta hemsäkerhetssystem stinker att säkra data
  • Ser du fram emot den där $125 Equifax-uppgörelsen? FTC säger att det kommer att bli mycket mindre
  • Är Equifax skyldig dig pengar? Så här kan du ta reda på det
  • Equifax går med på att betala en förlikning på 700 miljoner dollar för sitt dataintrång 2017

Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.