La plupart des gens qui ont gelé leur dossier de crédit avec Équifax ont reçu un numéro d’identification personnel (NIP) numérique censé être requis avant qu’un gel puisse être levé ou dégelé. Malheureusement, si vous n’avez pas encore de compte au nouveau bureau de crédit Portail monEquifaxil peut être simple pour les voleurs d’identité de lever un gel de crédit existant chez Equifax et de contourner le code PIN armé d’un peu plus que votre nom, votre numéro de sécurité sociale et votre date de naissance.
Les consommateurs de tous les États américains peuvent désormais geler leurs dossiers de crédit gratuitement avec Equifax et deux autres grands bureaux (Trans Union et Expérian). Un gel rend beaucoup plus difficile pour les voleurs d’identité d’ouvrir de nouvelles lignes de crédit en votre nom.
À la suite de l’épique violation de données d’Equifax en 2017, qui a touché quelque 148 millions d’Américains, de nombreuses personnes ont gelé leurs dossiers de crédit chez les trois grands en réponse. Mais Equifax a changé certaines choses depuis lors.
Cherchant à gérer mon propre gel de crédit sur equifax.com comme je l’avais fait dans le passé, j’ai été orienté vers la création d’un compte sur myequifax.com, que j’ai été choqué de découvrir que je ne possédais pas auparavant.
Obtenir un compte sur myequifax.com était facile. En fait, c’était trop facile. Le portail m’a demandé une adresse e-mail et m’a suggéré un mot de passe long et aléatoire, que j’ai accepté. J’ai choisi une ancienne adresse e-mail dont je savais qu’elle n’était pas directement liée à mon identité réelle.
La page suivante m’a demandé d’entrer mon SSN et ma date de naissance, et de partager un numéro de téléphone (le partage était facultatif, donc je ne l’ai pas fait). Les données SSN et DOB sont largement disponibles à la vente dans le milieu de la cybercriminalité sur presque tous les citoyens américains. C’est la réalité depuis des années, et c’était bien avant qu’Equifax n’annonce sa grande brèche en 2017.
myEquifax a déclaré qu’il ne pouvait pas vérifier que mon adresse e-mail appartenait à Meguetaoui à ce SSN et DOB. Il a ensuite posé une série de quatre questions de sécurité – appelées « authentification basée sur les connaissances » ou questions KBA conçues pour voir si je pouvais me rappeler des éléments de mon historique financier récent.
En général, les données interrogées dans ces questionnaires KBA sont extraites de documents publics, ce qui signifie que ces informations sont probablement accessibles au public sous une forme ou une autre, soit numériquement, soit en personne. En effet, j’ai longtemps attaqué l’industrie KBA comme créant un faux sentiment de sécurité qui est facilement contourné par les fraudeurs.
L’un des problèmes potentiels liés au recours aux questions KBA pour authentifier les consommateurs en ligne est qu’une grande partie des informations nécessaires pour deviner avec succès les réponses à ces questions à choix multiples sont désormais indexées ou exposées par les moteurs de recherche, les réseaux sociaux et les services tiers en ligne – à la fois criminel et commercial.
Les trois premières questions à devinettes multiples posées par myEquifax portaient sur des prêts ou des dettes que je n’ai jamais dus. Ainsi, la réponse aux trois premières questions KBA posées était « aucune de ces réponses ». La dernière question demandait le nom de notre dernière société de prêt hypothécaire. Encore une fois, des informations qui ne sont pas difficiles à trouver.
Satisfait de mes réponses, Equifax m’a informé que oui en effet j’étais Meguetaoui et que je pouvais maintenant gérer mon gel existant avec l’entreprise. Après avoir demandé un dégel, j’ai été amené à une page Equifax vintage qui ne ressemblait en rien au nouveau plumage en ligne plus ensoleillé de myEquifax.
Le site d’Equifax indique qu’il exigera que les utilisateurs demandant des modifications à un gel de crédit existant aient accès à leur code PIN de gel et soient prêts à le fournir. Mais Equifax ne demande jamais le NIP.
Cette page m’a informé que si j’avais précédemment obtenu un gel de mon dossier de crédit avec Equifax et que j’avais reçu un code PIN nécessaire pour annuler ce statut de quelque manière que ce soit, je devrais être prêt à fournir ces informations. si je demandais des modifications par téléphone ou par e-mail.
En d’autres termes, les gels et dégels de crédit demandés via myEquifax n’exigent pas que les utilisateurs fournissent un code PIN préexistant.
Bien, j’ai dit. Faisons cela.
myEquifax a ensuite demandé la plage de dates demandée pour dégeler mon crédit. Soumettre.
« Nous avons traité avec succès votre demande de gel de sécurité ! », a déclaré le site.
Cela a également été annoncé dans un e-mail à l’ancienne adresse aléatoire que j’avais utilisée sur myEquifax, bien que le site n’ait jamais tenté une seule fois de valider que j’avais accès à cette boîte de réception, ce qui pourrait être fait en envoyant simplement un lien de confirmation qui nécessite à cliquer pour activer le compte.
De plus, j’ai remarqué qu’Equifax avait ajouté mon ancien numéro de téléphone portable à mon compte, même si je n’avais jamais fourni cette information et que je n’utilisais pas ce téléphone lorsque j’ai créé le compte myEquifax.
Pour dégeler (dégeler temporairement) avec succès mon crédit gelé, je n’ai jamais eu besoin de fournir mon NIP de gel précédemment émis par Equifax. Quiconque connaissait les détails les plus vagues et les plus connus à mon sujet aurait pu faire la même chose.
myEquifax.com ne cherche pas actuellement à vérifier le compte en demandant une confirmation via un appel téléphonique ou un SMS au numéro de téléphone associé au compte (rappelez-vous également que même fournir un numéro de téléphone était facultatif).
Heureusement, j’ai découvert que lorsque j’ai utilisé un ordinateur et une adresse Internet différents pour essayer d’ouvrir un autre compte sous mon nom, ma date de naissance et mon SSN, cela m’a informé qu’un profil existait déjà pour cette information. Cela suggère que l’inscription à myEquifax est probablement une bonne idée, étant donné que l’alternative est plus risquée.
C’était trop facile de créer mon compte, mais je ne dis pas que tout le monde pourra en créer un en ligne. En testant avec plusieurs lecteurs au cours des dernières 24 heures, myEquifax semble renvoyer beaucoup plus de pages d’erreur au stade KBA du processus, incitant les gens à réessayer plus tard ou à faire une demande par e-mail ou par téléphone.
Porte-parole d’Equifax Nancy Bistritz-Balkan a déclaré que le fait de ne pas exiger de code PIN pour les personnes ayant des blocages existants était par conception.
« Avec myEquifax, nous avons créé une expérience en ligne qui permet aux consommateurs de gérer en toute sécurité et de manière pratique les gels de sécurité et les alertes de fraude », a déclaré Bistritz-Balkan.
« Nous avons déployé une expérience qui englobe à la fois les normes de sécurité (en utilisant une approche multi-facteurs et en couches pour vérifier l’identité du consommateur) et reflète les commentaires spécifiques des consommateurs sur la gestion des blocages de sécurité et des alertes de fraude en ligne sans l’utilisation d’un code PIN », a-t-elle poursuivi. « Le processus de configuration du compte, qui implique la création d’un nom d’utilisateur et d’un mot de passe, repose à la fois sur les entrées de l’utilisateur et sur d’autres facteurs pour établir, vérifier et authentifier en toute sécurité que l’identité du consommateur est connectée au consommateur à chaque fois. »
J’ai demandé à Bistritz-Balkan ce que l’entreprise aurait pu entendre d’autre, à part un nom d’utilisateur et un mot de passe, par « multi-facteurs » ; J’attends toujours des éclaircissements. Mais je n’ai rien ressenti de multifacteur lors de la configuration ou de la connexion à mon compte myEquifax.
Cela peut être plus proche de l’idée d’Equifax du multifacteur : la société m’a dit que si je voulais toujours vraiment utiliser mon code PIN de gel, je pouvais toujours appeler leur numéro 800 (800-349-9960) ou faire la demande par courrier. Peu importe que si je suis un méchant qui cherche à pirater les autres, je vais certainement utiliser le site Web myEquifax — ne pas les options qui m’obligent à fournir un code PIN.
Pratiquement toute la population des États-Unis en 2017 est devenue éligible à la surveillance gratuite du crédit d’Equifax à la suite de sa violation de 2017. La surveillance du crédit peut être utile pour se remettre d’un vol d’identité, mais les consommateurs ne doivent pas s’attendre à ce que ces services bloquent la fraude à l’ouverture d’un nouveau compte ; le plus qu’ils feront probablement dans ce cas est de vous alerter après que les voleurs d’identité ont déjà ouvert de nouveaux comptes en votre nom.
Un gel de crédit n’affecte pas votre capacité à utiliser les comptes financiers existants que vous pourriez avoir, y compris les comptes bancaires et de crédit/débit. Cela ne vous protégera pas non plus de la fraude sur ces comptes existants. Il s’agit principalement d’un moyen de minimiser le risque que quelqu’un puisse créer de nouveaux comptes à votre nom.
Si vous ne l’avez pas fait récemment, il serait peut-être temps de commander une copie gratuite de votre dossier de crédit auprès de rapportannueldecredit.com. Ce service permet à chaque consommateur d’obtenir chaque année une copie gratuite de son dossier de crédit auprès de chacun des trois bureaux de crédit, soit en une seule fois, soit répartis sur l’année.
Lecture complémentaire :
NYTimes, 8 mars 2019 : Comment Equifax complique une tâche simple : geler le crédit d’un enfant
Le Registre, 8 mars 2019 : Tech Security chez Equifax était si diabolique que les sénateurs veulent faire passer des lois américaines rendant son incompétence illégale.
Enquête sur Equifax par le comité sénatorial de la sécurité intérieure (.PDF, sénateur Carper).
Les gels de crédit sont gratuits : que l’ère glaciaire commence
Plantez votre drapeau, marquez votre territoire
Le site Experian peut donner à n’importe qui votre code PIN Freeze
Enquête : les Américains ont dépensé 1,4 milliard de dollars en frais de gel de crédit suite à la violation d’Equifax
Equifax Breach Fallout : votre historique de salaire
Des géants du courtage de données piratés par un service de vol d’identité
Experian a vendu l’accès au service de vol d’identité