GN⁺: "Experian에서 누구나 여전히 쉽게 당신이 될 수 있습니다"

 (krebsonsecurity.com)
1P by neo 2023-11-12 | favorite | 댓글 1개

Experian의 보안 문제 지속

  • 2022년 여름, Experian의 소비자 신용 보고 계정이 이메일 주소만 바꿔 등록함으로써 도용당하는 사례가 보고됨.
  • 16개월 후에도 Experian은 이러한 심각한 보안 문제를 해결하지 못함.
  • 기자의 Experian 계정도 최근 해킹당하고, 계정 접근을 회복하기 위해 계정을 새로 만들어야 했음.

계정 재등록의 쉬운 과정

  • Experian에 SSN(사회보장번호)과 생년월일을 입력하면, 기자가 인증하지 않은 이메일 주소와 연결된 것을 발견함.
  • Experian 웹사이트는 계정의 사용자 이름을 찾기 위해 SSN과 생일을 요구하고, 인증되지 않은 이메일 주소의 일부를 보여줌.
  • Experian은 여전히 개인 정보와 다른 이메일 주소를 사용하여 신용 파일 계정을 재생성할 수 있게 함.

계정 생성 과정의 취약성

  • Experian 홈페이지는 SSN과 모바일 번호를 요구하고, 본인 확인을 위한 링크를 보내겠다고 함.
  • 사용자는 전화 번호 입력 단계를 건너뛸 수 있으며, 이후 이름, 주소, 생일, SSN, 이메일 주소, 비밀번호를 입력해야 함.
  • 3~5개의 다중 선택 보안 질문에 답해야 하지만, 이 질문들은 대부분 공개 기록에 기반하고 있어 쉽게 찾을 수 있음.

계정 변경 시 이메일 통지의 부족

  • 새로운 계정이 생성되면 Experian은 이전 이메일 주소로 사용자 프로필 변경에 대한 통지를 보냄.
  • 이 통지는 변경 사항에 대한 검증 요청이 아니며, 원래 사용자는 Experian.com에서 로그인하라는 링크 외에는 어떠한 조치도 취할 수 없음.

Experian 계정의 중요성

  • Experian 계정이 없는 경우, 계정을 생성하여 신용 파일이 도용될 때 이메일 통지를 받을 수 있음.
  • 계정이 도용되면 기존의 로그인 정보, PIN, 계정 복구 질문이 모두 변경되어, 계정을 다시 만들어 도용범으로부터 되찾는 것 외에는 선택지가 없음.

다른 신용 보고 기관과의 비교

  • Equifax나 TransUnion과 같은 다른 주요 소비자 신용 보고 기관은 계정 변경 시 파일에 등록된 이메일 주소나 전화번호로 보낸 코드를 입력하도록 요구함.

Experian의 반응

  • Experian 대변인 Scott Anderson은 인증되지 않은 이메일 주소에 대한 정보를 공유하는 것을 거부함.
  • Anderson은 Experian이 다중 계층 보안 접근 방식을 도입했으며, 지식 기반 질문과 답변, 장치 소유 및 소지 검증 과정을 포함한다고 주장함.

다중 인증 요소의 효과 문제

  • 모든 소비자는 로그인 시마다 요청되는 다중 인증 요소를 활성화할 수 있는 옵션이 있지만, 새로운 전화번호와 이메일 주소로 계정을 재생성할 수 있다면 이는 무용지물임.

Mastodon 사용자의 실험

  • Mastodon 사용자들은 Experian의 보안 문제를 실험하여 기자의 발견을 검증함.
  • 사용자들은 Experian이 전화번호와 SSN의 마지막 네 자리를 요구할 때, '내 정보를 수동으로 입력' 옵션을 선택하고 새로운 전화번호와 이메일 주소를 입력함.
  • 원래 이메일 주소에서는 어떠한 검증도 요구되지 않았으며, 새로운 전화번호로 2FA(이중 인증)가 이루어짐.

Experian의 과거 보안 문제

  • 2022년 12월, KrebsOnSecurity는 Experian의 보안을 우회하여 어떤 소비자의 전체 신용 보고서에 접근할 수 있는 간단한 방법을 발견함.
  • 2021년 4월, KrebsOnSecurity는 Experian의 PIN 검색 페이지의 느슨한 인증을 악용하여 소비자 신용 파일을 해제하는 신원 도용범들을 밝혀냄.
  • Experian은 과거에도 다양한 보안 문제와 관련하여 여러 차례 비판을 받았음.

GN⁺의 의견

  • 가장 중요한 점은 Experian이 여전히 심각한 보안 취약점을 해결하지 못하고 있으며, 이로 인해 사용자의 신용 정보가 위험에 처할 수 있다는 것임.
  • 이 기사는 소비자들에게 자신의 신용 정보를 보호하기 위해 어떤 조치를 취해야 하는지에 대한 중요한 인식을 제공함.
  • Experian의 보안 문제는 소비자의 개인 정보 보호와 직결되어 있으며, 이는 모든 사람에게 중대한 관심사임.
neo 2023-11-12  [-]
Hacker News 의견

  • 스파이 회사들의 고객은 우리가 아니지만, 보안 부재가 실제 고객들에게 거래 중단 사유가 되지 않는 것에 놀람.

    • 스파이 회사들의 보안이 매우 취약하여 서비스를 이용해 타인을 가장할 수 있는데, 이러한 상황에서 서비스의 존재 의미에 의문 제기.

  • Experian의 임원들이 계속해서 같은 방식으로 계정이 해킹당한다면, 언젠가는 변화가 있을 것임.

    • Experian의 임원들이 반복적인 계정 해킹을 경험한다면, 이 문제에 대한 변화가 일어날 수 있음을 추측.

  • Experian이 고객 보호 실패로 인해 어떻게 소송에서 벗어날 수 있는지 이해할 수 없음.

    • Experian이 고객의 정보를 보호하지 못함에도 불구하고 계속해서 운영될 수 있는 법적 근거에 대한 이해 부족 표현.

  • 최근 몇 주 동안 주요 소매업체들로부터 본인 명의로 된 스마트폰과 노트북 구매 확인 이메일을 끊임없이 받고 있음.

    • 본인의 이름과 신분증 번호가 포함된 구매 확인서를 받고 있으며, 소매업체들과 경찰에 연락했지만 문제 해결에 어려움을 겪고 있음을 설명.

  • Experian 계정이 해킹당해, 동결 해제되었고, Ford Credit으로부터 10만 달러 대출을 받는 데 사용됨.

    • Experian 계정이 해킹되어 큰 금액의 대출이 발생했고, 이를 해결하는 데 오랜 시간이 걸림을 경험담으로 공유.

  • 이 문제에 대한 입법자들의 관심을 촉구하는 청원이 resistbot에 있음.

    • 이 문제에 대해 입법적 관심을 촉구하기 위한 온라인 청원 링크 공유.

  • 신용 보고서에 대한 더 나은 대안이 필요함.

    • 은행과 대출 기관이 인종 차별을 직접적으로 할 수 없게 되자, 신용 점수라는 간접적인 방법으로 차별하는 시스템에 대한 비판적 견해 표현.

  • 3개의 신용 평가 기관 중 하나에서 신용 점수를 피할 방법이 있는지 궁금함.

    • 소비자로서 경쟁을 촉진하기 위해 신용 평가 기관 중 하나에서 신용 점수를 피하는 방법에 대한 정보 탐색.

  • 가벼운 사기(계정 개설 시도 실패 또는 데이터 유출)가 발생하면, 모든 기관에 사기 경보와 신용 동결을 등록할 수 있어, 일정 기간 동안 불필요한 우편물과 실제 사기 계정의 위험을 줄일 수 있음.

    • 사기 경보와 신용 동결을 통해 추가 인증 절차를 강화하고, 이로 인해 여러 문제를 예방할 수 있음을 설명.

  • Experian 웹사이트에 로그인을 시도했지만, 사이트가 너무 불안정해서 로그인조차 할 수 없었음.

    • Experian 웹사이트의 기능 문제로 인해 자신의 계정에 접근하는 데 어려움을 겪었음을 공유.
답변달기