Cracked it! Highlights from KringleCon 5: Golden Rings

Learning meets fun at the 2022 SANS Holiday Hack Challenge – strap yourself in for a crackerjack ride at the North Pole as I foil Grinchum’s foul plan and recover the five golden rings

The post Cracked it! Highlights from KringleCon 5: Golden Rings appeared first on WeLiveSecurity

from WeLiveSecurity https://ift.tt/OFsq9ny
via IFTTT

Tilck Project, un kernel simplificado compatible con Linux

tilck

Tilckes un kernel x86 monolítico educativo diseñado para ser compatible con Linux a nivel binario.

Se dio a conocer la noticia de un nuevo desarrollo que tiene como nombre «Proyecto Tilck», en el cual un empleado de VMware está desarrollando un núcleo monolítico que es fundamentalmente diferente de Linux, pero diseñado para ser compatible binariamente con Linux y capaz de ejecutar aplicaciones creadas para Linux.

El desarrollo tiene como objetivo la implementación de las características mínimas requeridas, evitar la sobrecarga de funcionalidad, arquitectura simple y comprensible, máxima simplificación de código, tamaño pequeño de archivos binarios, comportamiento predecible (determinista), asegurando retrasos mínimos, logrando alta confiabilidad y simplificando el desarrollo y procesos de prueba.

Tilck es fundamentalmente diferente de Linux, ya que no apunta a servidores multiusuario ni máquinas de escritorio, en absoluto porque eso no tendría sentido: Linux no es grande y complejo debido a una implementación deficiente , sino a la increíble cantidad de características que tiene. ofrece y la complejidad intrínseca que requieren. En otras palabras, Linux es genial dado el problema que resuelve. Tilck ofrecerá menos funciones a cambio de:

código más simple (por mucho)
tamaño binario más pequeño
comportamiento extremadamente determinista
latencia ultrabaja
desarrollo y pruebas más fáciles
robustez adicional

El proyecto no pretende ser utilizado en entornos de servidor multiusuario o sistemas de escritorio. De los sistemas de archivos, FAT16 y FAT32 son compatibles en modo de lectura, así como ramfs, devfs y sysfs. Los dispositivos de bloque aún no se han implementado; todo está en la memoria.

Se proporciona VFS para abstraer las operaciones de FS. Los subprocesos múltiples en la etapa actual de desarrollo solo están disponibles a nivel de kernel (aún no se proporcionan en el espacio del usuario).

El kernel admite la multitarea preventiva e implementa unas 100 llamadas básicas al sistema Linux, como fork(), waitpid(), read(), write(), select() y poll(), que son suficientes para ejecutar aplicaciones de consola como BusyBox, Vim, TinyCC, Micropython y Lua, así como aplicaciones gráficas basadas en framebuffer como el juego fbDOOM. Para crear programas para Tilck, se ofrece un conjunto de herramientas basado en la biblioteca Musl.

Se menciona que el conjunto de controladores propuesto permite ejecutar Tilck tanto en el entorno QEMU como en sistemas convencionales arrancando desde una unidad USB. Ademas de ello, tambien se destaca que hay soporte para conjuntos de instrucciones extendidas SSE, AVX y AVX2. Ofrece su propio cargador de arranque interactivo que admite sistemas con BIOS y UEFI, pero también es posible utilizar cargadores de arranque de terceros como GRUB2. Cuando se carga en QEMU, el kernel puede ejecutarse en un entorno con 3 MB de RAM.

Actualmente, el proyecto se posiciona como un proyecto educativo, pero a largo plazo es posible que Tilck crezca a un nivel adecuado para su uso como kernel para sistemas integrados que requieren un comportamiento predecible y baja latencia.

Si bien Tilck usa internamente el concepto de subproceso, los subprocesos múltiples no están actualmente expuestos al espacio de usuario (los subprocesos del núcleo existen, por supuesto). Ambos fork()y vfork()están implementados correctamente y la copia en escritura se usa para procesos bifurcados. La waitpid() llamada al sistema está completamente implementada (lo que implica grupos de procesos, etc.).

Una característica interesante en esta área merece una mención especial: a pesar de la falta de subprocesos múltiples en el espacio de usuario, Tilck tiene soporte completo para TLS

Se espera que Tilck llene el vacío entre las soluciones basadas en el kernel de Linux y los sistemas operativos dedicados en tiempo real, como FreeRTOS y Zephyr. Los planes incluyen la migración de Tilck a ARM y procesadores que no sean unidades de administración de memoria (MMU), la adición de un subsistema de red, soporte para dispositivos de bloque y sistemas de archivos adicionales como ext2.

El código está escrito en C y se distribuye bajo la licencia BSD. En la etapa actual de desarrollo, el kernel solo admite la arquitectura x86, pero el código está diseñado teniendo en cuenta la universalidad y la implementación del soporte futuro para otras arquitecturas.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/C8wQY4W
via IFTTT

Llega la versión estable de OpenWrt 22.03.3

OpenWrt

OpenWrt es un firmware basado en una distribución de Linux empotrada en dispositivos tales como routers personales

Se acaba de dar a conocer el lanzamiento de la nueva versión estable de OpenWrt 22.03.3, versión que llega corriendo diversos errores de las cuales se destacan los arreglos de Busybox, dnsmasq y otros, ademas de ello, tambien se destacan algunas mejoras de soporte en esta nueva versión.

Para quienes desconocen de OpenWrt, deben saber que esta es una distribución de Linux que está diseñada para su uso en varios dispositivos de red, como enrutadores y puntos de acceso.

OpenWrt es compatible con muchas plataformas y arquitecturas diferentes y tiene un sistema de compilación que le permite realizar una compilación cruzada fácil y conveniente, incluidos varios componentes en el ensamblaje, lo que facilita la creación de un firmware o una imagen de disco listos para usar adaptados para tareas específicas con un conjunto deseado de paquetes preinstalados.

Principales novedades de OpenWrt 22.03.3

En esta nueva versión que se presenta de OpenWrt 22.03.3 se presentan diversas actualizaciones de los componentes del sistema, de los cuales podremos encontrar las versiones actualizadas del kernel de Linux 5.10.161 (version que añade la pila inalámbrica mac80211 portada desde la versión 5.15.81), strace 5.19, mbedtls 2.28.2, openssl 1.1.1s, wolfssl 5.5.4, util-linux 2.37.4, firewall4 2022-10-18, odhcpd 2023-01-02, uhttpd 2022-10-31, iwinfo 2022-12-15, ucode 2022-12-02.

Junto con el Kernel de Linux tambien se menciona qagregaron los nuevos paquetes de módulos del núcleo: kmod-sched-prio, kmod-sched-red, kmod-sched-act-police, kmod-sched-act-ipt, kmod-sched-pie, kmod-sched-drr, kmod-sched- fq-pie, kmod-sched-act-sample, kmod-nvme, kmod-phy-marvell, kmod-hwmon-sht3x, kmod-netconsole y kmod-btsdio.

Por la parte de las mejoras de soporte podremos encontrar en esta nueva versión que se añadió él soporte para dispositivos Ruckus ZoneFlex 7372/7321, ZTE MF289F, TrendNet TEW-673GRU, Linksys EA4500 v3 y Wavlink WS-WN572HP3 4G.

Ademas de ello, tambien podremos que encontrar que para D-Link DIR-825 B1 se añadieron las configuraciones para la imagen del sistema de fábrica y rootfs extendidos. De forma predeterminada, el firmware para el chip Broadcom 4366b1 se agregó a la compilacion para Asus RT-AC88U.

Por la parte de las correcciones podremos encontrar que se ha resuelto el problema con el reinicio en bucle al usar el cargador de arranque LZMA en dispositivos NETGEAR EX6150, HiWiFi HC5962, ASUS RT-N56U B1, Belkin F9K1109v1, D-Link DIR-645, D-Link DIR-860L B1, NETIS WF2881 y ZyXEL WAP6805.

Tambien se menciona que se solucionó el problema de asignación de direcciones MAC de WAN en dispositivos UniElec U7621-01, UniElec U7621-06, TP-Link AR7241, TP-Link TL-WR740N, TP-Link TL-WR741ND v4, Teltonika RUT230 y Luma Home WRTQ-329ACN.

De las vulnerabilidades corregidas se mencionan

  • CVE-2022-30065: busybox: Arreglar un use-after-free en Busybox 1.35-x’s
    subprograma awk
  • CVE-2022-0934: dnsmasq: Corrige la escritura/uso no arbitrario de un solo byte.
    falla posterior libre en el servidor dnsmasq DHCPv6
  •  CVE-2022-1304: e2fsprogs: una vulnerabilidad de lectura/escritura fuera de los límites
    fue encontrado en e2fsprogs 1.46.5
  • CVE-2022-47939: kmod-ksmbd: ZDI-22-1690: Linux Kernel ksmbd Use-
    Vulnerabilidad de ejecución remota de código After-Free
  • CVE-2022-46393: mbedtls: corrige la sobrelectura potencial del búfer de montón y
    Sobrescribir
  • CVE-2022-46392: mbedtls: un adversario con acceso a datos suficientemente precisos
    la información sobre los accesos a la memoria puede recuperar una clave privada RSA
  • CVE 2022-42905: wolfssl: En el caso de que el WOLFSSL_CALLBACKS
    macro se establece al construir wolfSSL, hay un montón potencial sobre
    lectura de 5 bytes al manejar conexiones de cliente TLS 1.3.

De los demás cambios que se destacan:

  • En los dispositivos Youku YK-L2 y YK-L1, initramfs-kernel.bin se puede instalar a través de la interfaz web del fabricante.
  • D-Link DGS-1210-10P admite botones e indicadores LED adicionales.
  • Se ha agregado un controlador USB al ensamblaje para el AVM FRITZ!Box 7430.
  • Controlador de audio agregado al ensamblaje HAOYU Electronics MarsBoard A10.
    Los dispositivos Linksys EA6350v3, EA8300, MR8300 y WHW01 pueden actualizar el firmware de fábrica.
    Se corrigió el bloqueo al arrancar con firewall4 y loadfile.
  • Se agregaron archivos de firmware para dispositivos mt7916 y mt7921.
  • El paquete ustream-openssl deshabilita la negociación de conexión basada en TLSv1.2 y versiones anteriores del protocolo.
  • Se agregó soporte para el módem Quectel EC200T-EU al paquete comgt-ncm.
  • La utilidad umbim permite el roaming y la conexión a través de redes asociadas.
  • Se ha agregado soporte para modos HE (Wifi 6), nuevos dispositivos (MT7921AU, MT7986 WiSoC) y cifrados adicionales (CCMP-256, GCMP-256) a la utilidad iwinfo.

Si quieres conocer más al respecto sobre los detalles que se integran a esta nueva liberación del firmware OpenWrt 22.03.3 puedes consultar la información en la publicación original en el siguiente enlace.

Descarga la nueva versión de OpenWrt 22.03.3

Las compilaciones de esta nueva versión están preparadas para 35 plataformas diferentes, de las cuales se pueden obtener los paquetes de actualización desde el siguiente enlace.

from Linux Adictos https://ift.tt/BpcS6rs
via IFTTT

OpenMandriva Lx ROMA llega cargada de actualizaciones

OpenMandriva

OpenMandriva Lx es una distribución de Linux única e independiente, no basada en ninguna otra.

Hace poco el proyecto OpenMandriva dio a conocer el primer lanzamiento de una nueva edición de su distribución «OpenMandriva Lx ROME (23.01)», que utiliza un modelo de entrega continua de actualizaciones (rolling releases).

La edición propuesta permite acceder a nuevas versiones de paquetes desarrollados para la rama OpenMandriva Lx 5, sin esperar a la formación de la distribución clásica.

Para quienes desconocen de OpenMandriva Lx, deben saber que esta es una distribución de Linux creada y orientada para todo tipo de usuarios, esta distribución es distribuida y desarrollada por la asociación llamada OpenMandriva, la cual es una asociación sin fines de lucro.

Esta distribución de Linux está basada en Mandriva Linux la cual fue una distribución francesa, no tan popular entre los usuarios de Linux, pero que en su tiempo algunos usuarios llegaron a recomendar.

Para aquellas personas que no les suene el nombre de Mandriva Linux les puedo comentar lo siguiente sobre esta distribución de Linux que finalizo su desarrollo hace ya varios años.

Mandriva Linux fue una distribución de Linux publicada por la compañía francesa Mandriva destinada tanto para principiantes como para usuarios experimentados, orientada a computadoras personales y servidores con un enfoque a los usuarios que se están introduciendo al mundo de Linux y al software libre.

Principales novedades de OpenMandriva Lx ROMA

En la nueva edición de OpenMandriva Lx ROMA se han propuesto nuevas versiones de paquetes, incluido el kernel de Linux 6.1 (de forma predeterminada, se ofrece un kernel creado con Clang y opcionalmente en GCC), systemd 252, PHP 8.2.0, FFmpeg 5.1.2, binutils 2.39, gcc 12.2, glibc 2.36, Java 20.

Tambien se destacan las actualizaciones de los diferentes componentes del sistema, tales como la pila de gráficos actualizados tales como Xorg Server 21.1.6, Wayland 1.21.0, Mesa 22.3 asi como el entorno de escritorio KDE Plasma .5.26.4,

Por la parte de las aplicaciones podremos encontrar por ejemplo, KDE Gears 22.12.0,.2, LibreOffice 7.5.0.0 beta1, Krita 5.1.4, Digikam 7.9, SMPlayer 22.7.0, VLC 3.0.18, Falkon 22.12, Chromium 108.0, Firefox 108.0, Thunderbird 102.6 Virtualbox 7.0.4, OBS Studio 28.1.2, GIMP 2.10.32, Calligra 3.2.1, Qt 5.15.7.

Ademas de que se incluyen las herramientas exclusivas de la marca OpenMandriva: OM Welcome, OM Control Center, Repository Selector (repo-picker), Update Configuration (om-update-config), Desktop Presets (om-feeling-like), una herramienta que ayuda a los usuarios a configurar su escritorio para parecerse a algo con lo que ya están familiarizados, ya sea Windows, Mac OS o un sistema Linux diferente.

Otro de los cambios que se menciona que es que el compilador de Clang que se utiliza para compilar paquetes se actualizó a la rama LLVM 15. Para compilar todos los componentes del kit de distribución, solo puede usar Clang, incluido un paquete con el kernel de Linux integrado en Clang.

Tambien se destaca que la estructura del sistema de archivos se ha reorganizado: todos los archivos ejecutables y las bibliotecas de los directorios root se han movido a la partición /usr (los directorios /bin, /sbin y /lib* son enlaces simbólicos a los directorios correspondientes dentro de /usr).

De los demás cambios que se destacan de OpenMandriva Lx ROME (23.01)

  • KDE ha aplicado parches adicionales para admitir el formato de imagen JPEG XL.
  • Se ha reanudado el soporte para la instalación en particiones con sistemas de archivos BTRFS y XFS.
  • Además del administrador de paquetes dnf4 predeterminado, se han sugerido dnf5 y zypper como alternativas.
  • Controlador oficial AMDVLK 2022.Q4.4 AMD Vulkan con soporte RayTracing. Es un controlador alternativo y se puede instalar al mismo tiempo que RADV. 
  • Se puede usar para mejorar el rendimiento o la estabilidad en algunos juegos en Linux
  • software OBS-Studio 28.1.2 para grabación de video y transmisión en vivo; finalmente es compatible con la sesión wayland. También admite la grabación h264 con VAAPI (codificación de video acelerada por hardware) y con esta versión hemos eliminado el parche que agrega soporte nativo HEVC-x265 con HW VAAPI para complementos separados en forma de obs-gstreamer y obs-vaapi compatibles con x264 y Codificadores x265 con HW VAAPI.

Finalmente si estás interesado en conocer más al respecto sobre este nuevo lanzamiento deOpenMandriva Lx ROME (23.01), puedes consultar los detalles en el siguiente enlace.

Obtener OpenMandriva Lx ROMA

Para quienes estén interesados en poder descargar esta nueva versión pueden obtener las imágenes del sistema ya preparadas para los diferentes dispositivos, desde el sitio web oficial de la distribución.

Las imágenes iso de 2,8 GB con escritorios KDE y GNOME están preparadas para su descarga y admiten el arranque en modo Live.

El enlace es este.

 

from Linux Adictos https://ift.tt/BAkPUs2
via IFTTT

Valetudo un firmware para evitar que robo aspiradoras se vinculen con servicios en la nube

Valetudo

Valetudo es un reemplazo en la nube para robo aspiradoras que permite la operación solo local.

Se dio a conocer el lanzamiento de la nueva versión de Valetudo 2023.01.0, el cual es un proyecto que ofrece una solución abierta para evitar que los robots aspiradores estén vinculados a los servicios en la nube.

Muchos modelos de aspiradoras robóticas admiten el control a través de una aplicación móvil o un sitio web, pero el costo de tal oportunidad está ligado al servicio de nube externo del fabricante. Valetudo está desarrollando un conjunto de cambios para el firmware estándar que permite reemplazar el enlace a la nube con una interfaz completamente controlada por el usuario que no accede a hosts externos.

El proyecto da soporte a más de 20 modelos de aspiradoras robóticas fabricadas por empresas como Xiaomi, Dreame, Roborock, MOVA, Viomi, Cecotec y Proscenic. La instalación de Valetudo requiere obtener acceso de raíz al entorno de software del robot y realizar cambios en el firmware (la raíz y la modificación se realizan conectando el robot a través de USB, UART o Wi-Fi).

Después de modificar el firmware, para controlar el robot, basta con conectarse al punto de acceso a la red inalámbrica proporcionado por el robot y abrir la página con la dirección IP del dispositivo en un navegador web (por ejemplo, http://192.168.5.1).

Para simplificar la conexión con el robot, también puede utilizar una aplicación móvil especialmente desarrollada. Admite la integración de Valetudo con sistemas domésticos inteligentes basados ​​en las plataformas de automatización del hogar OpenHab y Home Assistant.

Con la ayuda de Valetudo, el usuario puede obtener control total sobre su dispositivo, protegerse de la transferencia de datos (por ejemplo, mapas de habitaciones) a servicios de terceros, librarse de estar atado a un proveedor externo y no depender sobre la presencia de una conexión a Internet, posibles problemas en la infraestructura de la nube y el cierre del fabricante.

Al mismo tiempo, dado que el firmware nativo no se reemplaza, sino que se modifica, el dispositivo conserva todas las funciones estándar para administrar la limpieza, navegar por la habitación y elegir estrategias de derivación. El usuario puede definir el programa de funcionamiento y cambiar varios ajustes del dispositivo, como el volumen de notificación, la tasa de entrada de aire y el consumo de agua. Hay soporte para establecer paredes virtuales para restringir el movimiento en lugares específicos, asignando zonas que no requieren limpieza,

De las características avanzadas, existe soporte para exportar mapas de habitaciones creados por el robot, que, por ejemplo, se pueden convertir en un nivel para Minecraft o juegos basados ​​en el motor Source. Por separado, se está desarrollando un complemento que le permite usar el robot para construir un mapa de red inalámbrica que evalúe la calidad de la recepción en varias partes del apartamento.

¿Qué hay de nuevo en la nueva versión?

En esta nueva versión que se presenta se destaca la compatibilidad con algunos modelos de robots aspiradores de la marca Viomi:.

Ademas de ello, tambien se destaca el soporte mejorado para dispositivos Roborocks, ademas de que se agregó soporte para el dispositivo Roborocks Q7 Max y se espera que pronto se publiquen actualizaciones de firmware para los modelos S5 Max y S7.

El complemento Tray Companion que permite mostrar un indicador para detectar dispositivos basados ​​en Valetudo (detectados a través de solicitudes de transmisión de Bonjour/mDNS) en la bandeja del sistema se ha adaptado para funcionar en Linux (anteriormente compatible solo con Windows).

De los demás cambios que se destacan:

  • Se ha rediseñado la interfaz para mostrar un mapa de la habitación en modo en vivo (Live Map), que se ha vuelto más conveniente y comprensible para los principiantes.
  • Se agregaron nuevos íconos e íconos de menú actualizados.
  • Se agregó un nuevo cuadro de diálogo de primera ejecución con información útil para nuevos usuarios.
  • Se agregó un nuevo submenú con configuraciones.
  • Se agregó un botón para restablecer la configuración a su estado original.

Finalmente si estás interesado en poder conocer más al respecto, debes saber que el código de la interfaz está escrito en JavaScript (la parte del servidor usa Node.js) y se distribuye bajo la licencia Apache 2.0.

from Linux Adictos https://ift.tt/BzTkIQO
via IFTTT

Identity Thieves Bypassed Experian Security to View Credit Reports

Identity thieves have been exploiting a glaring security weakness in the website of Experian, one of the big three consumer credit reporting bureaus. Normally, Experian requires that those seeking a copy of their credit report successfully answer several multiple choice questions about their financial history. But until the end of 2022, Experian’s website allowed anyone to bypass these questions and go straight to the consumer’s report. All that was needed was the person’s name, address, birthday and Social Security number.

The vulnerability in Experian’s website was exploitable after one applied to see their credit file via annualcreditreport.com.

In December, KrebsOnSecurity heard from Jenya Kushnir, a security researcher living in Ukraine who said he discovered the method being used by identity thieves after spending time on Telegram chat channels dedicated to the cashing out of compromised identities.

“I want to try and help to put a stop to it and make it more difficult for [ID thieves] to access, since [Experian is] not doing shit and regular people struggle,” Kushnir wrote in an email to KrebsOnSecurity explaining his motivations for reaching out. “If somehow I can make small change and help to improve this, inside myself I can feel that I did something that actually matters and helped others.”

Kushnir said the crooks learned they could trick Experian into giving them access to anyone’s credit report, just by editing the address displayed in the browser URL bar at a specific point in Experian’s identity verification process.

Following Kushnir’s instructions, I sought a copy of my credit report from Experian via annualcreditreport.com — a website that is required to provide all Americans with a free copy of their credit report from each of the three major reporting bureaus, once per year.

Annualcreditreport.com begins by asking for your name, address, SSN and birthday. After I supplied that and told Annualcreditreport.com I wanted my report from Experian, I was taken to Experian.com to complete the identity verification process.

Normally at this point, Experian’s website would present four or five multiple-guess questions, such as “Which of the following addresses have you lived at?”

Kushnir told me that when the questions page loads, you simply change the last part of the URL from “/acr/oow/” to “/acr/report,” and the site would display the consumer’s full credit report.

But when I tried to get my report from Experian via annualcreditreport.com, Experian’s website said it didn’t have enough information to validate my identity. It wouldn’t even show me the four multiple-guess questions. Experian said I had three options for a free credit report at this point: Mail a request along with identity documents, call a phone number for Experian, or upload proof of identity via the website.

But that didn’t stop Experian from showing me my full credit report after I changed the Experian URL as Kushnir had instructed — modifying the error page’s trailing URL from “/acr/OcwError” to simply “/acr/report”.

Experian’s website then immediately displayed my entire credit file.

Even though Experian said it couldn’t tell that I was actually me, it still coughed up my report. And thank goodness it did. The report contains so many errors that it’s probably going to take a good deal of effort on my part to straighten out.

Now I know why Experian has NEVER let me view my own file via their website. For example, there were four phone numbers on my Experian credit file: Only one of them was mine, and that one hasn’t been mine for ages.

I was so dumbfounded by Experian’s incompetence that I asked a close friend and trusted security source to try the method on her identity file at Experian. Sure enough, when she got to the part where Experian asked questions, changing the last part of the URL in her address bar to “/report” bypassed the questions and immediately displayed her full credit report. Her report also was replete with errors.

KrebsOnSecurity shared Kushnir’s findings with Experian on Dec. 23, 2022. On Dec. 27, 2022, Experian’s PR team acknowledged receipt of my Dec. 23 notification, but the company has so far ignored multiple requests for comment or clarification.

By the time Experian confirmed receipt of my report, the “exploit” Kushnir said he learned from the identity thieves on Telegram had been patched and no longer worked. But it remains unclear how long Experian’s website was making it so easy to access anyone’s credit report.

In response to information shared by KrebsOnSecurity, Senator Ron Wyden (D-Ore.) said he was disappointed — but not at all surprised — to hear about yet another cybersecurity lapse at Experian.

“The credit bureaus are poorly regulated, act as if they are above the law and have thumbed their noses at Congressional oversight,” Wyden said in a written statement. “Just last year, Experian ignored repeated briefing requests from my office after you revealed another cybersecurity lapse the company.”

Sen. Wyden’s quote above references a story published here in July 2022, which broke the news that identity thieves were hijacking consumer accounts at Experian.com just by signing up as them at Experian once more, supplying the target’s static, personal information (name, DoB/SSN, address) but a different email address.

From interviews with multiple victims who contacted KrebsOnSecurity after that story, it emerged that Experian’s own customer support representatives were actually telling consumers who got locked out of their Experian accounts to recreate their accounts using their personal information and a new email address. This was Experian’s advice even for people who’d just explained that this method was what identity thieves had used to lock them in out in the first place.

Clearly, Experian found it simpler to respond this way, rather than acknowledging the problem and addressing the root causes (lazy authentication and abhorrent account recovery practices). It’s also worth mentioning that reports of hijacked Experian.com accounts persisted into late 2022. That screw-up has since prompted a class action lawsuit against Experian.

Sen. Wyden said the Federal Trade Commission (FTC) and Consumer Financial Protection Bureau (CFPB) need to do much more to protect Americans from screw-ups by the credit bureaus.

“If they don’t believe they have the authority to do so, they should endorse legislation like my Mind Your Own Business Act, which gives the FTC power to set tough mandatory cybersecurity standards for companies like Experian,” Wyden said.

Sadly, none of this is terribly shocking behavior for Experian, which has shown itself a completely negligent custodian of obscene amounts of highly sensitive consumer information.

In April 2021, KrebsOnSecurity revealed how identity thieves were exploiting lax authentication on Experian’s PIN retrieval page to unfreeze consumer credit files. In those cases, Experian failed to send any notice via email when a freeze PIN was retrieved, nor did it require the PIN to be sent to an email address already associated with the consumer’s account.

A few days after that April 2021 story, KrebsOnSecurity broke the news that an Experian API was exposing the credit scores of most Americans.

It’s bad enough that we can’t really opt out of companies like Experian making $2.6 billion each quarter collecting and selling gobs of our personal and financial information. But there has to be some meaningful accountability when these monopolistic companies engage in negligent and reckless behavior with the very same consumer data that feeds their quarterly profits. Or when security and privacy shortcuts are found to be intentional, like for cost-saving reasons.

And as we saw with Equifax’s consolidated class-action settlement in response to letting state-sponsored hackers from China steal data on nearly 150 million Americans back in 2017, class-actions and more laughable “free credit monitoring” services from the very same companies that created the problem aren’t going to cut it.

WHAT CAN YOU DO?

It is easy to adopt a defeatist attitude with the credit bureaus, who often foul things up royally even for consumers who are quite diligent about watching their consumer credit files and disputing any inaccuracies.

But there are some concrete steps that everyone can take which will dramatically lower the risk that identity thieves will ruin your financial future. And happily, most of these steps have the side benefit of costing the credit bureaus money, or at least causing the data they collect about you to become less valuable over time.

The first step is awareness. Find out what these companies are saying about you behind your back. Keep in mind that — fair or not — your credit score as collectively determined by these bureaus can affect whether you get that loan, apartment, or job. In that context, even small, unintentional errors that are unrelated to identity theft can have outsized consequences for consumers down the road.

Each bureau is required to provide a free copy of your credit report every year. The easiest way to get yours is through annualcreditreport.com.

Some consumers report that this site never works for them, and that each bureau will insist they don’t have enough information to provide a report. I am definitely in this camp. Thankfully, a financial institution that I already have a relationship with offers the ability to view your credit file through them. Your mileage on this front may vary, and you may end up having to send copies of your identity documents through the mail or website.

When you get your report, look for anything that isn’t yours, and then document and file a dispute with the corresponding credit bureau. And after you’ve reviewed your report, set a calendar reminder to recur every four months, reminding you it’s time to get another free copy of your credit file.

If you haven’t already done so, consider making 2023 the year that you freeze your credit files at the three major reporting bureaus, including Experian, Equifax and TransUnion. It is now free to people in all 50 U.S. states to place a security freeze on their credit files. It is also free to do this for your partner and/or your dependents.

Freezing your credit means no one who doesn’t already have a financial relationship with you can view your credit file, making it unlikely that potential creditors will grant new lines of credit in your name to identity thieves. Freezing your credit file also means Experian and its brethren can no longer sell peeks at your credit history to others.

Anytime you wish to apply for new credit or a new job, or open an account at a utility or communications provider, you can quickly thaw a freeze on your credit file, and set it to freeze automatically again after a specified length of time.

Please don’t confuse a credit freeze (a.k.a. “security freeze”) with the alternative that the bureaus will likely steer you towards when you ask for a freeze: “Credit lock” services.

The bureaus pitch these credit lock services as a way for consumers to easily toggle their credit file availability with push of a button on a mobile app, but they do little to prevent the bureaus from continuing to sell your information to others.

My advice: Ignore the lock services, and just freeze your credit files already.

One final note. Frequent readers here will have noticed that I’ve criticized these so-called “knowledge-based authentication” or KBA questions that Experian’s website failed to ask as part of its consumer verification process.

KrebsOnSecurity has long assailed KBA as weak authentication because the questions and answers are drawn largely from consumer records that are public and easily accessible to organized identity theft groups.

That said, given that these KBA questions appear to be the ONLY thing standing between me and my Experian credit report, it seems like maybe they should at least take care to ensure that those questions actually get asked.

from Krebs on Security https://ift.tt/5sulaxe
via IFTTT