La demanda colectiva apunta a Experian por la seguridad de la cuenta – Krebs on Security


Se ha presentado una demanda colectiva contra las tres grandes agencias de crédito al consumidor Experian sobre los informes de que la compañía hizo poco para evitar que los ladrones de identidad secuestraran las cuentas de los consumidores. La presentación legal cita generosamente una investigación de KrebsOnSecurity publicada en julio, que descubrió que los ladrones de identidad podían asumir el control de las cuentas existentes de Experian simplemente registrándose en nuevas cuentas utilizando la información personal de la víctima y una dirección de correo electrónico diferente.

La demanda, presentada el 28 de julio de 2022 en el Tribunal del Distrito Central de California, argumenta que la práctica documentada de Experian de permitir la reinscripción de cuentas Experian existentes sin verificar primero que el titular de la cuenta existente autorizó los cambios viola la

En Experian de julio, tiene algunas explicaciones que hacer, escuchamos de dos lectores diferentes que tenían congelaciones de seguridad en sus archivos de crédito con Experian y que también recibieron recientemente notificaciones de Experian de que la dirección de correo electrónico en su cuenta había sido cambiada. También tenían sus contraseñas y PIN de cuenta y preguntas secretas. Ambos habían usado administradores de contraseñas para seleccionar y almacenar contraseñas únicas y complejas para sus cuentas.

Ambos pudieron recuperar el acceso a su cuenta de Experian simplemente recreándola: compartiendo su nombre, dirección, número de teléfono, número de seguro social, fecha de nacimiento y obteniendo o adivinando con éxito las respuestas a cuatro preguntas de opción múltiple que se basan casi en su totalidad en registros públicos (o información que no es terriblemente difícil de encontrar).

Aquí está la parte de esa historia que se extrajo en la demanda colectiva:

KrebsOnSecurity buscó replicar la experiencia de Turner y Rishi, para ver si Experian me permitiría volver a crear mi cuenta usando mi información personal pero con una dirección de correo electrónico diferente. El experimento se realizó desde una computadora y dirección de Internet diferente a la que creó la cuenta original hace años.

Después de proporcionar mi Número de Seguro Social (SSN), fecha de nacimiento y responder varias preguntas de opción múltiple cuyas respuestas se derivan casi en su totalidad de registros públicos, Experian cambió de inmediato la dirección de correo electrónico asociada con mi archivo de crédito. Lo hizo sin confirmar primero que la nueva dirección de correo electrónico podía responder a los mensajes o que la dirección de correo electrónico anterior aprobaba el cambio.

El sistema de Experian luego envió un mensaje automático a la dirección de correo electrónico original registrada, diciendo que la dirección de correo electrónico de la cuenta había sido cambiada. El único recurso que Experian ofreció en la alerta fue iniciar sesión o enviar un correo electrónico a una bandeja de entrada de Experian que responda con el mensaje «esta dirección de correo electrónico ya no se supervisa».

Después de eso, Experian me pidió que seleccionara nuevas preguntas y respuestas secretas, así como un nuevo PIN de cuenta, lo que borró efectivamente el PIN de la cuenta y las preguntas de recuperación previamente elegidos. Una vez que cambié el PIN y las preguntas de seguridad, el sitio de Experian me recordó amablemente que tengo un bloqueo de seguridad registrado y que me gustaría eliminarlo o levantarlo temporalmente.

Para ser claros, Experian tiene una unidad comercial que vende servicios de contraseñas de un solo uso a las empresas. Si bien el sistema de Experian solicitó un número de teléfono móvil cuando me registré por segunda vez, en ningún momento ese número recibió una notificación de Experian. Además, no pude ver ninguna opción en mi cuenta para habilitar la autenticación multifactor para todos los inicios de sesión.

En respuesta a mi historia, Experian sugirió que los informes de los lectores eran incidentes aislados y que la compañía hace todo tipo de cosas de las que no puede hablar públicamente para evitar que personas malas abusen de sus sistemas.

“Creemos que estos son incidentes aislados de fraude utilizando información de consumidores robada”, se lee en la declaración de Experian. «Específicamente a su pregunta, una vez que se crea una cuenta de Experian, si alguien intenta crear una segunda cuenta de Experian, nuestros sistemas notificarán el correo electrónico original en el archivo».

“Vamos más allá de la confianza en la información de identificación personal (PII) o la capacidad de un consumidor para responder preguntas de autenticación basadas en el conocimiento para acceder a nuestros sistemas”, continúa la declaración. “No revelamos procesos adicionales por obvias razones de seguridad; sin embargo, nuestras capacidades analíticas y de datos verifican elementos de identidad a través de múltiples fuentes de datos y no son visibles para el consumidor. Esto está diseñado para crear una experiencia más positiva para nuestros consumidores y brindar capas adicionales de protección. Nos tomamos en serio la privacidad y la seguridad del consumidor, y revisamos continuamente nuestros procesos de seguridad para protegernos contra las amenazas constantes y en evolución que plantean los estafadores”.

Eso suena genial, pero desde que se publicó esa historia, he escuchado de varios lectores más que estaban haciendo todo bien y aún tenían sus cuentas de Experian secuestradas, con poco que mostrar, excepto una alerta por correo electrónico de Experian diciendo que habían cambiado la dirección en archivo de la cuenta.

Me gustaría creer que esta demanda colectiva cambiará las cosas, pero no es así. Probablemente, lo único que saldrá de esta demanda, si no se desestima por completo, es un gran pago para los abogados de los demandantes y un control crediticio «gratuito» durante algunos años, cortesía de Experian.

Los burós de crédito no ven a los consumidores como clientes, sino que son el producto que se vende a empresas de terceros. A menudo, esos datos se venden en función de los intereses de la entidad que compra los datos, en los que los registros de los consumidores se pueden agrupar en categorías como «dueño del perro», «futuro padre» o «paciente con diabetes».

Una conversación de chat entre el demandante y el personal de soporte de Experian muestra que experimentó el mismo secuestro de cuenta descrito por nuestros lectores, a pesar de que usó una contraseña única generada por computadora para su cuenta de Experian.

Sin embargo, la mayoría de los prestamistas confían en las tres grandes agencias de informes crediticios del consumidor, incluidas Equifax, Experian y Trans Union, para determinar el puntaje crediticio de todos, las fluctuaciones en las que pueden hacer o deshacer la solicitud de un préstamo o trabajo.

El martes, El periodico de Wall Street rompió una historia diciendo que Equifax envió a los prestamistas puntajes de crédito incorrectos para millones de consumidores esta primavera.

Mientras tanto, los burós de crédito siguen disfrutando de ganancias récord. Por su parte, Equifax informó un ingreso récord en el cuarto trimestre de 2021 de 1.300 millones. Gran parte de esos ingresos provino de su negocio Workforce Solutions, que vende información sobre los historiales salariales de los consumidores a una variedad de clientes.

Según se informa, la administración de Biden quiere crear una entidad pública dentro del Oficina de Protección Financiera del Consumidor (CFPB) que incorporaría factores como el alquiler y los pagos de servicios públicos en las decisiones de préstamo. Tal medida requeriría la aprobación del Congreso, pero los funcionarios de la CFPB ya están discutiendo cómo podría establecerse, Reuters reportado.

“Las firmas de informes crediticios se oponen a la medida, diciendo que ya están trabajando para proporcionar crédito justo y asequible a todos los consumidores”, escribió Reuters. “Una oficina de crédito pública sería mala para los consumidores porque expandiría el poder del gobierno de manera inapropiada y sus objetivos cambiarían con los vientos políticos”, dijo en un comunicado la Asociación de la Industria de Datos del Consumidor (CDIA), que representa a las firmas de calificación privadas. ”

Es probable que una oficina de crédito pública encuentre una feroz resistencia por parte de los electores más generosos del Congreso, la industria bancaria, que detesta los cambios rápidos y depende en gran medida de las oficinas de crédito.

Y hay un anticipo de esa lucha que se está llevando a cabo en este momento sobre el bipartidista Ley estadounidense de privacidad y protección de datoscual La colina descrito como uno de los proyectos de ley más cabildeados en el Congreso. La idea detrás del proyecto de ley es que las empresas no pueden recopilar más información de usted de la que necesitan para brindarle el servicio que está buscando.

“El proyecto de ley bipartidista, que representa un gran avance para los legisladores después de años de negociaciones, restringiría el tipo de datos que las empresas pueden recopilar de los usuarios en línea y las formas en que pueden usar esos datos”. La colina informó el 3 de agosto. “Sus disposiciones afectarían a las empresas en todas las industrias centradas en el consumidor, incluidos los minoristas, los gigantes del comercio electrónico, las telecomunicaciones, las compañías de tarjetas de crédito y las empresas de tecnología, que recopilan cantidades masivas de datos de usuarios y dependen de anuncios dirigidos para atraer clientes. .”

De acuerdo con la Fundación Frontera Electrónicaun grupo de derechos digitales sin fines de lucro, el proyecto de ley tal como está redactado se queda corto en la protección de los consumidores en varias áreas. Para empezar, anularía o se adelantaría a muchos tipos de leyes estatales de privacidad. La EFF argumenta que el proyecto de ley también bloquearía la Comisión Federal de Comunicaciones (FCC) de hacer cumplir las leyes federales de privacidad que ahora se aplican a la televisión por cable y satélite, y que los consumidores aún deben poder demandar a las empresas que violan su privacidad.

Una copia de la demanda colectiva contra Experian está disponible aquí (PDF).



Enlace a la noticia original