开个帖子来说一下UC系统的这次信息泄露

更新一下,为了测试在credit freeze的情况下,可不可以通过soft pull办贷款之类的
我特别去credit karma prequalify了一下personal loan,申请前已经网站已经注明soft pull
credit karma会一次性自动帮你去跟多个personal loan prequalify
结论是,就算是soft pull, creditor也不能正确的pull到信息

贴几个图


image

整体来说,应该freeze credit report可以有效的防止被恶意贷款之类的

根据Equifax的描述,在credit report 被freeze的情况下,下列行为还是可以pull到credit report的

  1. Companies like Equifax Global Consumer Solutions, which provide you with access to your credit report or credit score, or monitor your credit report as part of a subscription or similar service;
  2. Companies that provide you with a copy of your credit report or credit score, upon your request;
  3. Federal, state and local government agencies and courts in certain circumstances;
  4. Companies using the information in connection with the underwriting of insurance, or for employment, tenant or background screening purposes;
  5. Companies that have a current account or relationship with you, and collection agencies acting on behalf of those whom you owe;
  6. Companies that authenticate a consumer’s identity for purposes other than granting credit, or for investigating or preventing actual or potential fraud; and
  7. Companies that wish to make pre-approved offers of credit or insurance to you. To opt out of such pre-approved offers, visit www.optoutprescreen.com.

个人理解 第二点对应的是类似credit karma这类型的查信用的网站,第四点保证了租房子买保险做background check一类事情的时候不受影响,第五点确保现在已经持有的银行可以随时pull到你的记录来随时review你的账户(所以想通过锁信用报告来躲FR肯定是不现实的哈哈哈)
第七点确保你还是可以如愿以偿的收到capital one的小广告。

至于amex 已有卡客服申请soft pull的问题就不太确定了,我因为amex卡槽已经满了,暂时也测试不了,欢迎各位dp!

-----------------以下是原贴---------------------

整件事情就很扯,我因为subscribe了Experian的付费服务,会自动去暗网帮我scan我的信息有没有外泄。
突然前两天就收到了Experian的邮件说在暗网发现了我的SSN qtnnd。。。
然后紧接着Discover也发来了邮件提醒。(突然发现Discover是个良心公司啊。。免费服务还做到这份上,不错了)

大体来说,整个UC(University of California)系统都受到了影响。UC各大分校虽然平时运营上比较独立,但是上面其实有个叫UNIVERSITY OF CALIFORNIA的机构来管理各种信息(包括payroll和benefits这种事情现在也在一个集中一起进行管理)。

这次事件的起因是,UC系统使用一个叫做Accellion的软件来传输数据,然后这软件被攻破了。
使用这个软件的大约还有另外100多个机构也被攻击了,不过估计UC系统算是其中最大的一个。

不清楚这次事件具体影响了多少人,但是除了我以外,坛子里面也有人被影响了 (discover 通知了SSN被泄露了)。
据官方的说法,虽然具体名单还没确定,但是包括职工,和退休人员都有波及。甚至如果有家属使用了UC的benefits,被列为dependent的话,也被影响了。

前任员工和学生则是不确定(我估计如果做过RA或者其他on campus的也被波及了)

被泄露的消息基本上就是。。。everything。。
名字,地址,生日,电话,SSN, 和银行账户信息 (估计是用来payroll的银行账户,我正在考虑是不是要把所有checking account重新开一次)

具体受影响的人后续应该会被分别通知到,不知道这次受波及的范围到底有多大。

UC现阶段给出的建议和措施是:

  1. 免费一年期的Experian Credit Monitoring。
    链接在这
    之于一年之后?自己花钱去 (…qnmd)

引用
UC is pleased to provide one year of free monitoring at no cost to you. After the first year, you may continue service through a private arrangement between you and Experian.

  1. 监控银行账户
    介于美国只需要routing 和 account number就可以直接从账户里面扣钱,这点其实让人很在意。

个人建议,至少这个阶段应该先freeze自己的credit report。同时添加fraud alert在信报上。
具体链接另外那个帖子里面也有,或者搜一搜google 就出来了。

总之,就是很操蛋。。。

12赞

赞楼主… 分析的好详细

看新闻说这个系统已经二十多年了,本来计划今年4月30日support ending,第一个0day漏洞是SQL注入

唉,这个世界上只有少数几个公司能真正做到high security,其余的都默认迟早会被泄漏。

就算是微软的系统,其他公司的IT部门傻逼了导致被攻破的事情也是屡屡发生。典型的有key被人偷了,打了个补丁以为就好了,居然不换key。