Experian, tienes algunas explicaciones que dar
Dos veces en el último mes, KrebsOnSecurity recibió noticias de lectores cuyas cuentas en las tres grandes agencias de crédito de Experian fueron pirateadas y actualizadas con una nueva dirección de correo electrónico que no era la suya. En ambos casos, los lectores utilizaron administradores de contraseñas para seleccionar contraseñas seguras y únicas para sus cuentas de Experian. La investigación sugiere que los ladrones de identidad pudieron secuestrar cuentas simplemente abriendo nuevas cuentas con Experian utilizando la información personal de la víctima y una dirección de correo electrónico diferente.
John Turner es un ingeniero de software que vive en Salt Lake City. Turner dijo que creó la cuenta en Experian en 2020 para congelar la seguridad de su archivo de crédito y usó un administrador de contraseñas para seleccionar y almacenar una contraseña segura y única para su cuenta de Experian.
Turner dijo que, a principios de junio de 2022, recibió un correo electrónico de Experian en el que se le informaba que la dirección de correo electrónico de su cuenta había cambiado. El proceso de restablecimiento de contraseña de Experian fue inútil en este momento, ya que todos los enlaces de restablecimiento de contraseña se enviarían a la nueva dirección de correo electrónico (impostora).
Se contactó por teléfono con una persona de soporte de Experian, Turner, después de una larga espera. Ella le pidió su número de seguro social (SSN) y fecha de nacimiento, junto con el PIN de su cuenta y las respuestas a sus preguntas secretas. Pero el código PIN y las preguntas secretas ya habían sido cambiados por quien se volvió a registrar en Experian.
"Pude responder con éxito las preguntas del informe de crédito, lo que me autenticó en su sistema", dijo Turner. "En ese momento, el representante me leyó las preguntas de seguridad y el PIN actualmente almacenados, y definitivamente no eran cosas que hubiera usado".
Turner dijo que pudo recuperar el control de su cuenta de Experian al crear una cuenta nueva. Pero ahora se pregunta qué más podría hacer para evitar otra cuenta comprometida. Esto se debe a que Experian no ofrece ningún tipo de opción de autenticación multifactor en cuentas personales.
"La parte más frustrante de todo esto es que más tarde recibí varios correos electrónicos con el mensaje 'Aquí están sus detalles de inicio de sesión' que atribuí a los atacantes originales que regresaron e intentaron usar el feed "Olvidé mi correo electrónico/nombre de usuario", probablemente usando mi SSN y DOB, pero no llegó al correo electrónico que esperaban", dijo Turner. "Dado que Experian no admite ningún tipo de autenticación de dos factores, y no sé cómo ingresaron a mi cuenta en primer lugar, me he sentido muy impotente desde entonces".
Para ser claros, Experian tiene una unidad comercial que vende servicios de contraseñas de un solo uso a empresas. Pero no lo ofrece directamente a los consumidores que se registran para administrar su informe crediticio en el sitio web de Experian.
Arthur Rishi es músico y codirector ejecutivo de la Boston Landmarks Orchestra. Rishi dijo que recientemente descubrió que su cuenta de Experian había sido pirateada después de recibir una alerta de su servicio de monitoreo de crédito (no Experian) de que alguien había intentado abrir una cuenta a su nombre en JPMorgan Chase.
Rishi dijo que la alerta lo sorprendió porque su archivo de crédito en Experian estaba congelado en ese momento y Experian no le había informado de ninguna actividad en su cuenta. Rishi dijo que Chase acordó cancelar la solicitud de cuenta no autorizada e incluso canceló su solicitud de crédito (cada solicitud de crédito puede afectar levemente su puntaje de crédito).
Pero nunca pudo lograr que nadie del equipo de soporte de Experian contestara el teléfono, a pesar de pasar lo que pareció una eternidad tratando de hacer progresos en el sistema telefónico de la empresa. Fue entonces cuando Rishi decidió ver si podía crear una nueva cuenta con Experian.
"Pude abrir una nueva cuenta con Experian desde cero, usando mi SSN, fecha de nacimiento y respondiendo algunas preguntas realmente básicas, como para qué tipo de automóvil obtuvo un préstamo o en qué ciudad vivir”, dijo Rishi.
Después de completar el registro, Rishi notó que su crédito estaba desbloqueado.
Al igual que Turner, Rishi ahora teme que los ladrones de identidad vuelvan a secuestrar su cuenta de Experian, y no hay nada que pueda hacer para evitar ese escenario. Por ahora, Rishi ha decidido pagar a Experian $25.99 por mes para monitorear su cuenta más de cerca en busca de actividad sospechosa. Incluso usando el servicio de pago de Experian, no había opciones adicionales de autenticación multifactor disponibles, aunque dijo que Experian había enviado recientemente un código de un solo uso a su teléfono cuando inició sesión.
"Experian a veces necesita MFA para mí ahora si estoy usando un nuevo navegador o tengo mi VPN activada", dijo Rishi, pero no está seguro de si el servicio gratuito de Experian habría...
Dos veces en el último mes, KrebsOnSecurity recibió noticias de lectores cuyas cuentas en las tres grandes agencias de crédito de Experian fueron pirateadas y actualizadas con una nueva dirección de correo electrónico que no era la suya. En ambos casos, los lectores utilizaron administradores de contraseñas para seleccionar contraseñas seguras y únicas para sus cuentas de Experian. La investigación sugiere que los ladrones de identidad pudieron secuestrar cuentas simplemente abriendo nuevas cuentas con Experian utilizando la información personal de la víctima y una dirección de correo electrónico diferente.
John Turner es un ingeniero de software que vive en Salt Lake City. Turner dijo que creó la cuenta en Experian en 2020 para congelar la seguridad de su archivo de crédito y usó un administrador de contraseñas para seleccionar y almacenar una contraseña segura y única para su cuenta de Experian.
Turner dijo que, a principios de junio de 2022, recibió un correo electrónico de Experian en el que se le informaba que la dirección de correo electrónico de su cuenta había cambiado. El proceso de restablecimiento de contraseña de Experian fue inútil en este momento, ya que todos los enlaces de restablecimiento de contraseña se enviarían a la nueva dirección de correo electrónico (impostora).
Se contactó por teléfono con una persona de soporte de Experian, Turner, después de una larga espera. Ella le pidió su número de seguro social (SSN) y fecha de nacimiento, junto con el PIN de su cuenta y las respuestas a sus preguntas secretas. Pero el código PIN y las preguntas secretas ya habían sido cambiados por quien se volvió a registrar en Experian.
"Pude responder con éxito las preguntas del informe de crédito, lo que me autenticó en su sistema", dijo Turner. "En ese momento, el representante me leyó las preguntas de seguridad y el PIN actualmente almacenados, y definitivamente no eran cosas que hubiera usado".
Turner dijo que pudo recuperar el control de su cuenta de Experian al crear una cuenta nueva. Pero ahora se pregunta qué más podría hacer para evitar otra cuenta comprometida. Esto se debe a que Experian no ofrece ningún tipo de opción de autenticación multifactor en cuentas personales.
"La parte más frustrante de todo esto es que más tarde recibí varios correos electrónicos con el mensaje 'Aquí están sus detalles de inicio de sesión' que atribuí a los atacantes originales que regresaron e intentaron usar el feed "Olvidé mi correo electrónico/nombre de usuario", probablemente usando mi SSN y DOB, pero no llegó al correo electrónico que esperaban", dijo Turner. "Dado que Experian no admite ningún tipo de autenticación de dos factores, y no sé cómo ingresaron a mi cuenta en primer lugar, me he sentido muy impotente desde entonces".
Para ser claros, Experian tiene una unidad comercial que vende servicios de contraseñas de un solo uso a empresas. Pero no lo ofrece directamente a los consumidores que se registran para administrar su informe crediticio en el sitio web de Experian.
Arthur Rishi es músico y codirector ejecutivo de la Boston Landmarks Orchestra. Rishi dijo que recientemente descubrió que su cuenta de Experian había sido pirateada después de recibir una alerta de su servicio de monitoreo de crédito (no Experian) de que alguien había intentado abrir una cuenta a su nombre en JPMorgan Chase.
Rishi dijo que la alerta lo sorprendió porque su archivo de crédito en Experian estaba congelado en ese momento y Experian no le había informado de ninguna actividad en su cuenta. Rishi dijo que Chase acordó cancelar la solicitud de cuenta no autorizada e incluso canceló su solicitud de crédito (cada solicitud de crédito puede afectar levemente su puntaje de crédito).
Pero nunca pudo lograr que nadie del equipo de soporte de Experian contestara el teléfono, a pesar de pasar lo que pareció una eternidad tratando de hacer progresos en el sistema telefónico de la empresa. Fue entonces cuando Rishi decidió ver si podía crear una nueva cuenta con Experian.
"Pude abrir una nueva cuenta con Experian desde cero, usando mi SSN, fecha de nacimiento y respondiendo algunas preguntas realmente básicas, como para qué tipo de automóvil obtuvo un préstamo o en qué ciudad vivir”, dijo Rishi.
Después de completar el registro, Rishi notó que su crédito estaba desbloqueado.
Al igual que Turner, Rishi ahora teme que los ladrones de identidad vuelvan a secuestrar su cuenta de Experian, y no hay nada que pueda hacer para evitar ese escenario. Por ahora, Rishi ha decidido pagar a Experian $25.99 por mes para monitorear su cuenta más de cerca en busca de actividad sospechosa. Incluso usando el servicio de pago de Experian, no había opciones adicionales de autenticación multifactor disponibles, aunque dijo que Experian había enviado recientemente un código de un solo uso a su teléfono cuando inició sesión.
"Experian a veces necesita MFA para mí ahora si estoy usando un nuevo navegador o tengo mi VPN activada", dijo Rishi, pero no está seguro de si el servicio gratuito de Experian habría...
What's Your Reaction?
