Сервіс Salary Snooping від Equifax усе ще вразливий, каже експерт із безпеки

cfpb розслідування equifax hack штаб-квартира
Колекція Сміта/Gado/Getty Images
А служба пошуку заробітної плати забезпечується нещодавно скомпрометовано Бюро кредитних історій Equifax відновило роботу після того, як 8 жовтня його було відключено через «покращення безпеки». Сервіс дозволяє будь-кому переглянути вашу зарплату та трудову історію за принаймні 10 років надавши кілька частин особистої інформації: номер соціального страхування та дату народження.

Він призначений для надання підтвердження доходів роботодавцям, банкам та іншим «перевіряючим особам», але після Злом Equifax, конфіденційна інформація, яка потрібна для доступу до чиєїсь ще більш конфіденційної інформації, була там, дозрів для прийняття. Коли експерт із безпеки Брайан Кребс звернув увагу на проблему в a опублікувати в своєму блозі, Equifax заблокував сайт.

Рекомендовані відео

Однак тепер веб-сайт відновлено, і, незважаючи на заяви Equifax про протилежне, вдосконалення безпеки, які компанія зробила для робочого номера, не надто покращили безпеку.

Пов'язані

  • Усі процесори AMD з 2011 року мали вразливість системи безпеки
  • У позові стверджується, що дурний пароль Equifax дозволив надзвичайно легко викрасти ваші дані
  • Як подати претензію на 125 доларів США, якщо ви постраждали від витоку даних Equifax у 2017 році

«Єдиним «покращенням безпеки», яке я побачив у моєму джерелі, було запит на введення його повного імені, дати народження, соціального страхування номер, адресу, номер телефону та електронну пошту, а потім звичайний набір із чотирьох множинних здогадок «автентифікації на основі знань» (KBA) запитання. Я давно був критиком цих питань KBA, тому що відповіді зазвичай доступні на таких сайтах, як Zillow і Spokeo, не кажучи вже про профілі соціальних мереж», – написав Кребс.

Отже, коротко кажучи, ви все ще можете отримати доступ до чиєїсь історії доходів і зайнятості з легкодоступною інформацією — і жменька менш доступної інформації, незаконно отриманої з темних куточків Інтернет. Далі Кребс описує, як навіть заморожування кредитів рекомендований курс дій після того, як ваша інформація була скомпрометована — не захистить вас повністю.

Ці запитання автентифікації на основі знань, створені на основі вашої кредитної історії та історії доходів, все одно з’являтимуться під час спроби отримати доступ до вашої історії доходів через робочий номер, але запитання не використовуватимуть фінансову інформацію — вони будуть згенеровані з іншої інформації, яку Equifax має про вас, як-от історія вашої адреси та імена кредиторів, яких ви використовували в минуле.

«Що цікаво, так це те, що на ці запитання легше відповісти, ніж, скажімо, «Якою була сума вашого останнього платежу в кредит на автомобіль?»» Кребс продовжується, описуючи, як заморожування кредитів може полегшити викрадачам особистих даних доступ до конфіденційної особистої інформації, що міститься на Роботі Номер.

Найкращий захист, каже Кребс, — це самостійно ввійти в робочий номер, встановити безпечний PIN-код і додати до свого облікового запису принаймні півдюжини секретних питань і відповідей. Запитання, радить він, повинні мати відповіді, які ви знаєте лише ви, але їх неможливо знайти в соціальних мережах.

Рекомендації редакції

  • Nvidia попереджає власників своїх графічних процесорів про небезпечну вразливість безпеки
  • Після останнього злому експерти кажуть, що системи безпеки розумного дому погано захищають дані
  • З нетерпінням чекаєте на цю компенсацію Equifax у 125 доларів? FTC каже, що буде набагато менше
  • Equifax винен вам гроші? Ось як ви можете дізнатися
  • Equifax погоджується виплатити компенсацію в розмірі 700 мільйонів доларів за витік даних у 2017 році

Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.