شارك قارئ مجهول هذا التقرير من الأبحاث الأمنية بريان كريبس:
في صيف 2022، KrebsOnSecurity وثقت المحنة من العديد من القراء الذين تم اختطاف حساباتهم في أكبر ثلاثة مكاتب لتقارير الائتمان الاستهلاكي Experian بعد أن قام لصوص الهوية ببساطة بإعادة تسجيل الحسابات باستخدام عنوان بريد إلكتروني مختلف. وبعد مرور ستة عشر شهرًا، من الواضح أن Experian لم يعالج هذا النقص الكبير في الأمن. أعلم ذلك لأن حسابي في Experian قد تم اختراقه مؤخرًا، وكانت الطريقة الوحيدة التي يمكنني من خلالها استعادة الوصول إليه هي إعادة إنشاء الحساب…

قالت الصفحة الرئيسية إنني بحاجة إلى تقديم رقم الضمان الاجتماعي ورقم الهاتف المحمول، وأنني سأتلقى قريبًا رابطًا يجب أن أضغط عليه للتحقق من نفسي. يدعي الموقع أنه سيتم استخدام رقم الهاتف الذي تقدمه للمساعدة في التحقق من هويتك. ولكن يبدو أنه يمكنك توفير أي رقم هاتف في الولايات المتحدة في هذه المرحلة من العملية، ولن يرفض موقع Experian الإلكتروني ذلك.
قال أحد المستخدمين إنه أعاد إنشاء حسابه هذا الأسبوع، على الرغم من أن رقم الهاتف الذي أدخله كان رقمًا عشوائيًا. “الفرق الوحيد: لقد سألني خمسة أسئلة حول تاريخي الشخصي (آخر مرة سألني ثلاثة أسئلة فقط) قبل أن يعلن، “مرحبًا بعودتك، بيت!”، ويمنحني حق الوصول الكامل.” @ بيت مايو كتب. “أشعر بالسخافة في حفظ كلمة المرور الخاصة بي لـ Experian؛ ربما أقوم أيضًا بإنشاء حساب جديد في كل مرة.”

ويشير كريبس إلى أنه “بغض النظر عن ذلك، يمكن للمستخدمين ببساطة تخطي هذه الخطوة عن طريق تحديد خيار “المتابعة بطريقة أخرى”.”
يطلب Experian بعد ذلك اسمك الكامل وعنوانك وتاريخ ميلادك ورقم الضمان الاجتماعي وعنوان البريد الإلكتروني وكلمة المرور المختارة. بعد ذلك، يطلبون منك الإجابة بنجاح على ما بين ثلاثة إلى خمسة أسئلة أمنية متعددة الاختيارات والتي غالبًا ما تعتمد إجاباتها على السجلات العامة. عندما قمت بإعادة إنشاء حسابي هذا الأسبوع، كان اثنان فقط من الأسئلة الخمسة يتعلقان بمعلوماتي الحقيقية، وكان كلا السؤالين يتعلقان بعناوين الشوارع التي عشنا فيها سابقًا – وهي معلومات لا يمكن الوصول إليها إلا من خلال بحث Google…

سيرسل Experian رسالة إلى عنوان البريد الإلكتروني القديم المرتبط بالحساب، يخبره بأن جوانب معينة من ملف تعريف المستخدم قد تغيرت. لكن هذه الرسالة ليست طلبًا للتحقق: إنها مجرد إشعار من Experian بأن بيانات مستخدم الحساب قد تغيرت، ولا يُعرض على المستخدم الأصلي أي ملاذ هنا بخلاف النقر على رابط لتسجيل الدخول على Experian.com. وبالطبع، سيجد المستخدم الذي يتلقى أحد هذه الإشعارات أن بيانات الاعتماد الخاصة بحساب Experian الخاص به لم تعد تعمل. ولا يسألون عن رقم التعريف الشخصي أو استرداد الحساب، لأنه تم تغييرهما أيضًا. خيارك الوحيد في هذه المرحلة هو إعادة إنشاء حسابك في Experian وسرقته مرة أخرى من لصوص الهوية!
أصر سكوت أندرسون، المتحدث باسم إكسبيريان، على أن الإجراءات الأمنية لشركة إكسبيريان “تتطور باستمرار”، على الرغم من أن كريبس لا يزال غير راضٍ.

وقال أندرسون إن جميع المستهلكين لديهم خيار تنشيط طريقة المصادقة متعددة العوامل التي يتم طلبها في كل مرة يقومون فيها بتسجيل الدخول إلى حساباتهم. ولكن ما فائدة المصادقة متعددة العوامل إذا كان بإمكان شخص ما ببساطة إعادة إنشاء حسابك باستخدام رقم هاتف وعنوان بريد إلكتروني جديدين؟