Comment des hackers exploitent les agences d’évaluation du crédit pour exposer des informations sur presque n’importe qui aux États-Unis

 (404media.co)
1 points par GN⁺ 2023-08-23 | 1 commentaires | Partager sur WhatsApp
  • Des bots Telegram accèdent à des données personnelles comme l’adresse, le numéro de téléphone, l’adresse e-mail ou les informations de permis de conduire, et les vendent parfois pour 15 dollars en bitcoin
  • Ces données proviendraient des informations d’en-tête de crédit détenues par des agences comme Experian, Equifax et TransUnion, puis seraient revendues à des entreprises qui les fournissent ensuite à des sociétés de recouvrement, des compagnies d’assurance ou des services de police
  • Des criminels parviennent parfois à accéder à cette chaîne d’approvisionnement de données et, dans certains cas, usurpent l’identité d’anciens membres des forces de l’ordre pour vendre en ligne cet accès à leurs complices
  • Cet outil a servi à collecter des informations sur des cibles de premier plan comme Elon Musk, Joe Rogan et même le président Joe Biden
  • Les communautés où cet outil est promu comprennent des salons de discussion axés sur le swatting, le SIM swapping et la violence physique, ce qui laisse entrevoir diverses activités criminelles
  • Il est très difficile pour les utilisateurs de se retirer de cette collecte de données, et ces informations peuvent aussi être utilisées contre des personnes qui ont pourtant diffusé leurs données personnelles avec prudence
  • Le sénateur Ron Wyden a appelé à une intervention des pouvoirs publics pour empêcher ces entreprises de vendre des informations personnelles sous forme de packages
  • Les agences d’évaluation du crédit collectent et stockent les informations personnelles de la majorité des adultes via les demandes de carte de crédit, puis revendent ensuite ces données à des entreprises tierces
  • La FTC considère les informations d’en-tête de crédit comme faisant partie du rapport de crédit d’un consommateur, ce qui inclut généralement le nom, la date de naissance, les adresses actuelles et précédentes, le numéro de sécurité sociale et le numéro de téléphone
  • Les agences d’évaluation du crédit et les data brokers estiment généralement que les en-têtes de crédit relèvent du Gramm-Leach-Bliley Act (GLBA), une loi qui leur permet de vendre ces informations à des tiers
  • Le Consumer Financial Protection Bureau (CFPB) a proposé une nouvelle règle pour modifier la régulation des données d’en-tête de crédit, mais cela pourrait ne pas limiter l’accès criminel ou les abus révélés par l’enquête
  • Des défenseurs de la vie privée et des juristes estiment que la solution consiste à empêcher les agences d’évaluation du crédit de vendre les données d’en-tête de crédit à des tiers

À lire aussi

1 commentaires

 
GN⁺ 2023-08-23
Avis sur Hacker News
  • L’article traite des failles des agences d’évaluation du crédit que des hackers peuvent exploiter pour obtenir les informations personnelles de particuliers aux États-Unis.
  • Un utilisateur recommande de mettre en place un gel du crédit auprès des trois principales agences (Experian, TransUnion, Equifax) afin de prévenir l’usurpation d’identité.
  • Cet utilisateur partage également des liens vers les pages de gel du crédit de ces agences.
  • Un autre utilisateur critique les agences d’évaluation du crédit qui permettent à des agents immobiliers d’accéder aux données personnelles des propriétaires.
  • L’article indique que les hackers paient de petites sommes à des services de doxing sur Telegram pour obtenir des données personnelles, et que le TLOxp de TransUnion est un choix populaire.
  • Un utilisateur affirme que TransUnion a remis l’intégralité de son rapport de crédit à des hackers, ce qui contredit la déclaration de l’entreprise selon laquelle elle coopère avec les forces de l’ordre en cas d’abus.
  • Un utilisateur suggère que l’identité personnelle et l’authentification ne devraient pas reposer sur des informations publiques et immuables (numéro de sécurité sociale, numéro de permis de conduire, etc.). Il propose à la place une véritable identité numérique, des mécanismes d’authentification et de résolution des litiges adaptés.
  • Il est conseillé aux utilisateurs de ne pas partager d’informations personnelles avec leur interlocuteur au téléphone, même si cette personne semble déjà détenir beaucoup de données personnelles.
  • Un utilisateur critique les agences d’évaluation du crédit qui vendent des données à des criminels en appelant cela une « prestation de service ».
  • Un autre utilisateur prévoit que la situation va empirer à mesure que davantage de données non classifiées deviennent accessibles.
  • L’article mentionne aussi qu’il est possible d’obtenir légalement des informations personnelles, et qu’il existe de nombreux services en ligne qui les fournissent contre paiement.
  • Un utilisateur appelle à l’abolition du système de crédit tel qu’il fonctionne sans consentement explicite des individus, ainsi qu’à une déclaration des droits à la vie privée.