En 2017, BreachTrace a montré à quel point il est facile pour les voleurs d’identité d’annuler la demande d’un consommateur de geler son dossier de crédit à Expérian, l’un des trois grands bureaux de crédit à la consommation aux États-Unis. La semaine dernière, BreachTrace a entendu parler d’un lecteur qui avait dégelé son gel sans autorisation via le site Web d’Experian, et cela m’a rappelé à quel point l’authentification et la sécurité restent vraiment brisées dans l’espace du bureau de crédit.
La page d’Experian pour récupérer le code PIN de gel de crédit de quelqu’un nécessite un peu plus d’informations que celles qui ont déjà été divulguées par les trois grands bureaux Equifax et une myriade d’autres violations.
Dune Thomas est un ingénieur logiciel de Sacramento, en Californie, qui a gelé ses dossiers de crédit l’année dernière chez Experian, Équifax et TransUnion après que des voleurs ont tenté d’ouvrir plusieurs nouveaux comptes de paiement à son nom en utilisant une adresse dans l’État de Washington liée à une maison vacante à vendre.
Mais les escrocs ont persisté : plus tôt ce mois-ci, quelqu’un a débloqué le compte de Thomas chez Experian et a rapidement demandé de nouvelles lignes de crédit en son nom, en utilisant à nouveau la même adresse à Washington. Thomas a déclaré qu’il n’avait entendu parler de l’activité que parce qu’il avait profité d’un service gratuit de surveillance du crédit offert par sa compagnie de carte de crédit.
Thomas a déclaré qu’après plusieurs jours au téléphone avec Experian, un représentant de l’entreprise a reconnu que quelqu’un avait utilisé le fonction « demander votre code PIN » sur le site d’Experian pour obtenir son code PIN puis débloquer son dossier.
Thomas a déclaré que lui et un ami avaient tous deux suivi le processus de récupération de leur code PIN de gel chez Experian et avaient été surpris de constater qu’une seule des cinq questions à devinettes multiples qui leur avaient été posées après avoir entré leur adresse, leur numéro de sécurité sociale et leur date de naissance avait rien à voir avec des informations que seul le bureau de crédit pourrait connaître.
BreachTrace a suivi le même processus et a trouvé des résultats similaires. La première question portait sur une nouvelle hypothèque que j’aurais soi-disant contractée en 2019 (je ne l’ai pas fait), et la réponse n’était aucune des réponses ci-dessus. La réponse à la deuxième question était également rien de ce qui précède.
Les deux questions suivantes étaient inutiles à des fins d’authentification car elles avaient déjà été posées et répondues ; l’un était « lequel des éléments suivants correspond aux quatre derniers chiffres de votre SSN », et l’autre était « je suis né dans l’année ou l’année de la date ci-dessous ». Une seule question importait et était pertinente pour mon historique de crédit (elle concernait les quatre derniers chiffres d’un numéro de compte courant).
La meilleure partie de ce processus d’authentification laxiste est que on peut entrer n’importe quelle adresse e-mail pour récupérer le code PIN – il n’a pas besoin d’être lié à un compte existant chez Experian. De plus, lorsque le code PIN est récupéré, Experian ne prend pas la peine de notifier les autres adresses e-mail déjà enregistrées pour ce consommateur.
Enfin, votre compte client de base (lire : gratuit) chez Experian ne donne pas aux utilisateurs la possibilité d’activer une sorte d’authentification multifacteur qui pourrait aider à contrecarrer certaines de ces attaques de récupération de code PIN sur les gels de crédit.
À moins que vous ne vous abonniez au programme « CreditLock», qui facture entre 14,99 $ et 24,99 $ par mois pour la possibilité de « verrouiller et déverrouiller votre dossier facilement et rapidement, sans retarder le processus de demande ». Les utilisateurs de CreditLock peuvent à la fois activer l’authentification multifacteur et recevoir des alertes lorsque quelqu’un tente d’accéder à leur compte.
Thomas a déclaré qu’il était furieux qu’Experian ne fournisse une sécurité de compte supplémentaire qu’aux consommateurs qui paient pour des forfaits mensuels.
« Experian avait la capacité de donner aux gens une meilleure protection grâce à une authentification supplémentaire, mais au lieu de cela, ils ne le font pas car ils peuvent facturer 25 $ par mois pour cela », a déclaré Thomas. « Ils autorisent cette énorme faille de sécurité afin de pouvoir réaliser des bénéfices. Et cela dure depuis au moins quatre ans.
Experian n’a pas encore répondu aux demandes de commentaires.
Lorsqu’un consommateur bloqué se connecte au site d’Experian, il est immédiatement dirigé vers un message pour l’un des services payants d’Experian, tel que son service CreditLock. Le message que j’ai vu lors de la connexion a confirmé que même si j’avais un gel en place avec Experian, mon « niveau de protection » actuel était « faible » parce que mon dossier de crédit était déverrouillé.
« Lorsque votre dossier est déverrouillé, vous êtes plus vulnérable au vol d’identité et à la fraude », prévient Experian, mensongèrement. « Vous ne verrez pas d’alertes si quelqu’un essaie d’accéder à votre dossier. Les banques peuvent vérifier votre dossier si vous faites une demande de crédit ou de prêt. Les fournisseurs de services publics et de services peuvent voir votre dossier de crédit. »
Experian dit que ma sécurité est faible parce que même si j’ai un gel en place, je n’ai pas souscrit à leur « service de verrouillage » douteux.
Ça fait peur, non ? La chose est – à l’exception de la partie sur le fait de ne pas voir les alertes – aucune des déclarations ci-dessus n’est vraie si vous avez déjà un gel sur votre fichier. Un gel de sécurité empêche essentiellement tout créancier potentiel de consulter votre dossier de crédit, à moins que vous ne dégeliez ou ne dégeliez votre dossier au préalable.
Avec un gel de votre dossier de crédit, les voleurs d’identité peuvent demander un crédit en votre nom autant qu’ils le souhaitent, mais ils ne réussiront pas à obtenir de nouvelles marges de crédit en votre nom car peu de créanciers, voire aucun, accorderont ce crédit sans pouvoir d’abord le faire. pour évaluer à quel point il est risqué de vous prêter (c’est-à-dire consulter votre dossier de crédit). Il est maintenant libre de geler votre crédit dans tous les États et territoires américains.
Experian, comme les autres agences d’évaluation du crédit à la consommation, utilise sa terminologie de « verrouillage » intentionnellement déroutante pour effrayer les consommateurs et les inciter à payer pour des services d’abonnement mensuels. Un argument de vente clé pour ces services de verrouillage est qu’ils peuvent être un moyen plus rapide de permettre aux créanciers de consulter votre dossier lorsque vous souhaitez demander un nouveau crédit. Cela peut être vrai ou non dans la pratique, mais considérez pourquoi il est si important pour Experian d’amener les consommateurs à s’inscrire à leurs programmes de verrouillage.
La vraie raison est qu’Experian gagne de l’argent chaque fois que quelqu’un fait une enquête de crédit en votre nom, et il ne veut rien faire pour entraver ces enquêtes. L’inscription à un service de verrouillage permet à Experian de continuer à vendre des informations de rapport de solvabilité à divers tiers. Selon la FAQ d’Experian, une fois verrouillé, votre dossier de crédit Experian reste accessible à une multitude d’entreprises, notamment :
-Employeurs potentiels ou compagnies d’assurance
-Agences de recouvrement agissant pour le compte de sociétés dont vous pourriez être redevable
-Entreprises proposant des offres de cartes de crédit présélectionnées
-Les entreprises qui ont une relation de crédit existante avec vous (cela vaut également pour les dossiers gelés)
-Offres personnalisées d’Experian, si vous choisissez de les recevoir
Il est ennuyeux qu’Experian puisse s’en tirer en offrant une sécurité de compte supplémentaire uniquement aux personnes qui paient à l’entreprise une somme importante chaque mois pour vendre leurs informations. Il est également étonnant que cette sécurité bâclée dont j’ai parlé en 2017 soit toujours aussi répandue en 2021.
Mais Experian n’est pas le seul. En 2019, j’ai écrit sur la façon dont le nouveau site MyEquifax d’Equifax permettait aux voleurs de lever facilement un gel de crédit existant chez Equifax et de contourner le code PIN s’ils n’étaient armés que de votre nom, de votre numéro de sécurité sociale et de votre date de naissance.
Toujours en 2019, les voleurs d’identité ont pu obtenir une copie de mon rapport de solvabilité auprès de TransUnion après avoir réussi à deviner les réponses à des questions à devinettes multiples comme celles posées par Experian. Je ne l’ai découvert qu’après avoir entendu un détective de l’État de Washington, qui m’a informé qu’une copie du rapport avait été trouvée sur un lecteur amovible saisi à un homme de la région qui avait été arrêté parce qu’il était soupçonné de faire partie d’un gang de voleurs d’identité.
TransUnion a enquêté et a découvert qu’elle était en effet coupable d’avoir donné mon rapport de solvabilité à des voleurs d’identité, mais que du bon côté, ses systèmes ont bloqué une autre tentative frauduleuse d’obtenir mon rapport en 2020.
« Dans notre enquête, nous avons déterminé qu’une tentative similaire d’obtention frauduleuse de votre rapport s’est produite en avril 2020 et a été bloquée avec succès par des contrôles renforcés. TransUnion a mis en œuvre depuis l’année dernière », a déclaré la société. « TransUnion déploie un programme de sécurité à plusieurs niveaux pour lutter contre la menace continue et croissante de fraude, de cyberattaques et d’activités malveillantes. Dans l’environnement de menace dynamique d’aujourd’hui, TransUnion améliore et affine constamment nos contrôles pour faire face aux dernières menaces de sécurité, tout en permettant aux consommateurs d’accéder à leurs informations.
Pour plus d’informations sur les gels de crédit (également appelés «gels de sécurité»), comment en demander un et d’autres conseils pour prévenir la fraude d’identité, consultez cette histoire.
Si vous ne l’avez pas fait récemment, le moment est peut-être venu de commander une copie gratuite de votre rapport de solvabilité auprès de rapportannueldecredit.com. Ce service permet à chaque consommateur d’obtenir chaque année une copie gratuite de son dossier de crédit auprès de chacun des trois bureaux de crédit, soit en une seule fois, soit répartis sur l’année.