益百利允許使用者只需知道一些可違反的事實就可以撤銷信貸凍結

益百利的線上PIN恢復系統可以讓攻擊者透過找出一些簡單的事實來撤銷信用凍結。在Equifax事件發生後的幾周內，消費者被告知凍結他們的信用，從而阻止可能的攻擊者以他們的名義開設新的信用額度。作為一種防禦策略，這是有道理的，但正如網路安全記者布萊恩·克雷布斯（Brian Krebs）今天報道的那樣，圍繞這些凍結的保護措施很容易被顛覆。...

益百利透過一個易於訪問的賬戶恢復頁面，重置被凍結人的個人識別碼，使撤銷信用凍結變得容易。當有人想要取回他們的信用卡凍結密碼時，該頁面只會詢問一個人的姓名、地址、出生日期和社會保險號碼。所有這些資料都在Equifax漏洞以及其他漏洞中被洩露，因此我們可以假設駭客擁有這些資訊。

在輸入這些資料之後，攻擊者只需輸入一個電子郵件地址—任何電子郵件—並回答一些安全問題。可能不會因為不安全而跳出來；安全問題的存在是有原因的。但是問題本身很容易回答，特別是如果你知道如何使用網際網路和搜尋欄的話。克雷布斯說，示例問題包括要求使用者確定他們以前居住過的城市以及與他們一起居住的人。

這些資訊大部分是透過一個人自己的社交媒體賬戶、搜尋引擎或像資料庫這樣的黃頁（包括Spokeo和Zillow）獲得的。我們可以假設一個駭客會很好地理解網際網路，並可以做一些快速谷歌獲得您的安全凍結PIN。

針對Krebs的報告，益百利聲稱，它超越了認證使用者的措施該公司在一份宣告中說：“雖然我們沒有披露這些額外的流程，但其中包括一系列消費者看不到的檢查。”，Krebs聲稱，他的幾個Twitter追隨者在回答益百利基於知識的認證問題後，“報告說在網站上和透過電子郵件檢索他們的PIN成功”。

凍結你的賬戶並不意味著你永遠不想要一張新的信用卡或辦理抵押貸款，但它為你這樣做增加了一個額外的步驟。每次你想要一個新的信用額度或提供給某人訪問你的信用報告，你將不得不解除凍結暫時（或永久）使用PIN碼要麼你選擇或由每個信用報告機構提供。當然，人們往往會忘記密碼和PIN，因此這些公司開發了恢復系統。問題是這些系統也不一定是安全的。

公平地說，其他信貸公司的複蘇策略似乎沒有益百利那麼脆弱。TransUnion要求使用者在啟動凍結之前建立一個帳戶，因此他們也必須登入才能獲得PIN。大概他們的使用者名稱和密碼沒有出現在網際網路上（只要他們沒有重覆使用密碼）。Equifax要求員工寫信向公司申請個人識別碼，並提供身份證明，如駕照、護照或出生證明的副本。對你來說，這可能是更多的工作，但偽造駕照也更難。

儘管益百利的恢復系統不是很好，但凍結你的賬戶仍然是個好主意。身份竊賊會去尋找最容易的目標，強迫他們採取額外的步驟可能會阻止他們使用你的名字。你只需掌握你的信用報告，即使你已經凍結到位，以確保沒有可疑的事情發生。

美國東部時間9月22日凌晨1:12更新：益百利宣告更新。