Experian: Übernahme fremder Konten wohl schon 1,5 Jahre möglich
Die in Dublin ansässige und in über 90 Ländern aktive Wirtschaftsauskunftei Experian hat offenbar ein bestehendes Sicherheitsproblem, das es Angreifern erlaubt, fremde Benutzerkonten zu übernehmen, nach knapp 1,5 Jahren noch immer nicht behoben. Das geht aus einem Bericht des Security-Journalisten Brian Krebs(öffnet im neuen Fenster) hervor, der das Problem nach eigenen Angaben erstmals im Sommer 2022 dokumentierte.
"Ich weiß das, weil mein Konto bei Experian vor kurzem gehackt wurde und ich den Zugang nur wiederherstellen konnte, indem ich das Konto neu anlegte", erklärt Krebs in seinem Beitrag. Aufgefallen war der Diebstahl des Kontos wohl dadurch, dass der Journalist sich beim Versuch, eine Kopie seiner Kreditakte anzufordern, nicht mehr einloggen konnte. Dabei stellte er fest, dass sein Benutzerkonto mit einer fremden E-Mail-Adresse verknüpft war.
Experian erlaubt wohl Registrierung bestehender Konten
Laut Krebs lassen sich bestehende Konten einfach übernehmen, indem sie mit denselben persönlichen Daten wie zuvor, aber einer anderen E-Mail-Adresse neu registriert werden. Auf gleichem Wege verschaffte sich der Sicherheitsexperte auch selbst wieder Zugriff auf seinen Experian-Account.
Dabei habe das Unternehmen zwar eine Rufnummer abgefragt, um seine Identität zu überprüfen, jedoch lasse sich dort eine fremde Nummer eintragen, ohne dass tatsächlich irgendeine Prüfung erfolge. Alternativ könne dieser Schritt aber auch gänzlich übersprungen werden.
"Experian fragt dann nach Ihrem vollständigen Namen, Ihrer Adresse, Ihrem Geburtsdatum, Ihrer Sozialversicherungsnummer, Ihrer E-Mail-Adresse und Ihrem gewählten Passwort", erklärt Krebs weiter. Im Anschluss folge noch eine Reihe von Multiple-Choice-Sicherheitsfragen. Diese beruhten in Krebs' Fall aber wohl auf öffentlich verfügbaren Informationen und ließen sich mit einer Google-Suche leicht ermitteln.
E-Mail-Benachrichtigung erfolgt nur rein informativ
Danach habe er nur noch eine Pin erstellen und eine Antwort auf eine von mehreren vordefinierten Fragen geben müssen, um die Kontoerstellung abzuschließen. "Sie werden zum Experian-Dashboard weitergeleitet, wo Sie Ihre vollständige Kreditakte einsehen und diese einfrieren oder freigeben können", so Krebs.
Der Journalist behauptet, Experian versende zwar eine Nachricht an die alte E-Mail-Adresse, die zuvor mit dem Konto verknüpft war, jedoch enthalte diese lediglich einen rein informativen Hinweis auf die erfolgten Änderungen am Nutzerprofil. Eine Sicherheitsaufforderung zur Überprüfung der Änderungen gebe es hingegen nicht.
Auf Mastodon erhielt Krebs mehrere Hinweise(öffnet im neuen Fenster) darauf, dass es anderen Nutzern zuletzt ähnlich erging. "Ich komme mir albern vor, mein Passwort für Experian zu speichern; ich könnte genauso gut jedes Mal ein neues Konto anlegen", witzelte einer davon(öffnet im neuen Fenster).
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.