信息安全风险：Experian的身份验证漏洞

关键要点

• Experian的身份验证服务Precise ID存在漏洞，可能导致部分社会安全号码泄露。
• 这一问题由安全研究者Lucky225发现，他是在为太平洋煤气电力公司注册时检测到的。
• 两家医疗公司和一个州卫生机构的疫苗验证系统也在使用Experian的服务。
• 社会安全号码等敏感数据泄露，促使组织考虑使用多因素认证以增强安全性。

根据 的报道，威胁方可能利用Experian的知识基础验证服务PreciseID，来促进部分社会安全号码的泄露。安全研究员Lucky225在尝试为太平洋煤气电力公司注册时发现了该漏洞。后续调查发现，两家医疗公司和一个州卫生机构的疫苗验证系统也在使用Experian的PreciseID。

CyberScoop进一步揭示，伊利诺伊州卫生部门曾在其“VaxVerify”门户中使用该系统，但已停止使用该系统的提问功能来进行部分社会安全号码的识别。社会认证系统类似于Experian的越来越容易受到网络攻击，这促使社会安全专家兼SocialProofSecurity首席执行官RachelTobac提出应采用多因素认证。“通过这些身份验证方法泄露敏感数据极为简单……当我可以访问社会安全号码（或者其他数据，例如母亲的姓氏、您居住过的地址、出生日期）时，我可以迅速通过客户支持的身份验证步骤，因为我可以简单地正确回答问题，”Tobac补充道。

相关链接

风险 | 描述
—|—
漏洞 | 使用Precise ID验证的系统可以泄露部分社会安全号码。
受影响的机构 | 包括医疗公司和州卫生机构的疫苗验证系统。

在当今的数字化环境中，组织在选择身份验证方法时需要更加谨慎，以确保敏感信息得到有效保护。