追蹤《研究生》臉書粉專

[助教專欄] Equifax 大規模個資外流 - 身為消費者自保的六個方法

文章僅供旅行參考用,詳細資訊請參考官方網站公告。資訊不完善處還請見諒,若有錯誤還請提醒更正。網頁中的部分連結為介紹連結,本網站可能會收到一點回饋。感謝同學們對研究生的支持。

想必各位同學都已經看到最近美國信用卡圈的大消息,美國三大信用記錄局之一的

於 9/7/2017 宣佈駭客於今年五月中透過網站漏洞取得了約一億四千三百萬名美國消費者的個資,主要包含

  • 姓名全名
  • Social Security Number 社會安全號碼
  • 生日
  • 地址
  • 部分消費者駕照資料
  • 除此之外,還有約 21萬美國消費者的信用卡卡號。

 

美國目前人口大約三億兩千三百萬,其中有 8.35% 未滿 13歲,並不會擁有信用卡正卡,正常來說也不應該持有副卡或任何借貸行為 (偶有例外就是)。所以「可能持有」信用報告的人數為 323 million x 91.65% = 296 million,也就是說將近一半的美國消費者的個資和 SSN 已經遭駭客取得。

而剩下的一半的人是倖免於難嗎? 不,而是因為有很大一部分的人其實根本沒有信用報告 XD 根據 2014 美國聯準會統計,美國約有 167 million 人持有信用卡。以此數據來看,有 85% 持有美國信用卡的人的資料都外流了

不知道同學們光看這些敘述是否有感受到這件事的嚴重性? 講白一點:取得資料的人,隨時可以幫美國共 一億四千三百萬的人填信用卡申請表;如果搭配免洗手機門號和偽造的證件及文書,可以幫一億四千三百萬人申請個人貸款或是買車然後變現。

合理推斷,正在讀這篇文章的你,個資應該也已經在這一次外流了。

Equifax 有提供一個檢查自己是否有受到此次事件影響的專門網頁 (在這裡故意不附連結),根據華特自己和很多 blogger / 網友的測試和分析,認為它是一個幾乎沒有意義的網站:因為同樣的資料有時顯示有中獎,有時顯示沒有;完全亂輸入的假資料,也有時會顯示中獎。已經使用的人可以參考看看結果,還沒使用的人可以直接跳過了。

消息公布後,華特收到很多同學私訊詢問現在到底該怎麼辦? 資料已經外流,是否還能亡羊補牢? 利用這個機會,華特就來跟各位同學分享一下面對這樣的事件該如何做到自我保護。

 

目次

1. 【持續關心你的信用報告動態】

信用報告就像帳單,因為他分分秒秒都在改變,所以應該每個月關注。

之前有同學詢問 5/24 相關事項,我請他先去看看信用報告,他說「有的! 去年買車的時候有看過囉!」

一年前的信用報告就跟一年前的牙齒 X光片一樣,已經失去參考價值。

同學可能會認為「我最近也沒在辦卡,每個月的報告內容都差不多吧?」沒錯,在沒辦卡的情況下,每個月大概只有 balance 有變化,也正因為如此,快速看一下報告不需要花幾分鐘的時間

這次大規模個資外洩,對消費者來說可能發生的最直接影響就是身分被盜用來辦信用卡或其他借貸。而如果有這些狀況發生,都會被記錄在信用報告上,所以持續關注信用報告,就是發現這些異常事件最好的方法。

聯邦政府授權的 annualcreditreport 是一個可以每年獲得三份 (一局一份) 信用報告的網站,但它並非唯一獲得信用報告的管道。 事實上 annualcreditreport 提供的報告其實過度詳細,反而導致難以閱讀。其實有很多其他方法可以獲得免費報告的方法,這裡華特推薦兩個網站,可以 「持續」「免費」 提供「三家信用記錄局」的信用報告

1. Free Credit Report by Experian

服務內容:【持續提供完整 Experian 報告,含 FICO Score. New account, New inquiry, Credit Score Change alert.】

Free Credit Report 這個網站名字看起來蠻像是來騙錢的,在過去也曾經因為廣告不實被 FTC 罰款,但近年改版後的網站不但介面清晰好用,也可以真正完全不用付費的獲得所有我們需要的信用報告資訊。同學們在註冊的過程,會看到很多次網站要求輸入信用卡資料的畫面,但是全部都是可以 Skip 的,別不小心上當了。 這是目前能夠固定取得 Experian 報告最安全,準確,且方便的網站。

2. Credit Karma

服務內容: 【持續提供完整 Equifax, TransUnion 報告。各類 alert】

Credit Karma 是美國最大的第三方信用及借貸資訊網站。它使用 Equifax 和 TransUnion 雙局做為資料來源,同時也做到各類 alert (不過 e-mail 標題常常有點中二 XD)。 切記,不要參考 CK 提供的信用分數,因為他們目前使用信用分數計分模型是非主流的 VantageScore 3.0, 跟 FICO Score 有不小的差異,所以其分數可以完全忽視當作沒看到就好。此服務也是完全免費。

兩個網站都需要美國 IP 才能使用。只要透過這兩個網站,就能夠 100% 看到三局的信用報告內容,能做到最全面的自我防衛。

 

2. 【瞭解信用報告,而不是只看分數高低】

介紹了怎麼取得信用報告,更需要知道的則是「怎麼看報告」

很多同學一註冊完就把重點擺在信用分數是 780 還是 815,但事實上,信用分數僅僅是一個透過數學模型把信用報告內容轉換出來的數字。 信用報告就像一張申論題考卷,分數高或分數低並不代表了申論題寫得好或壞,而是受閱卷老師怎麼評分影響。 如果目的是要「避免身分被盜用卻不自覺」,則應該把重點擺在三件事:

  1. 預期外的 New Inquiry
  2. 預期外的 New Account
  3. 預期外的 Collection
  • Inquiry 就是俗稱的 HP = Hard Pull,簡單來說,是一個只有在「消費者授權銀行索取信用報告」的時候才會出現的東西。 如果你沒辦卡沒買車沒辦門號沒租房沒貸款,但就不應該有 HP 的出現。
  • Account 就是信用卡帳號 (或是其他類型借貸產品),沒申請信用卡,副卡,店家卡或貸款,就不應該出現。
  • Collection 就是討債紀錄。 通常只有在長期未繳欠款,銀行把債務賣給討債公司後才應該會出現。 如果在報告發現不明的 collection 紀錄,要立刻連絡討債公司或往來銀行釐清問題。 有些詐騙集團利用此手段騙錢,所以看到 collection 處理時也是要提高警覺。

如果在信用報告發現任何一項不該出現的東西,就要立即連絡銀行和該信用記錄局了解狀況,並在必要時提出 dispute.

 

3. 【持續關注信用卡帳單】

這次的事件除了個資料外流,也有一部分的人信用卡卡號外流,所以也是要注意盜刷的可能性。

事實上,無論有沒有發生 data breach, [持續關注信用卡帳單] 都是身為消費者的基本責任之一。

雖然在美國使用信用卡消費,有 Zero fraud liability 的保障,【但那也是在你有發現信用卡被盜刷的情況下才有意義!】

如果傻傻的不管帳單細節,一律使用自動繳費,搞不好被盜刷了也沒發現! 不要依賴銀行的防盜刷機制,自己持續看 transactions 才是王道。

「我身為一名信用卡玩家,每個月空出一段時間看看帳單,也很合邏輯」

 

4. 【Optional: 向信用記錄局提出 90 Days Initial Fraud Alert (盜用警示)】

美國信用記錄局有一個讓消費者在自己的信用報告上暫時標記盜用警示的方法。

簡單來說,就像開車時會看到【路面顛陂,小心慢行】這樣,Fraud Alert 是在信用報告上註記「如果有人想要索取信用報告(來進行借貸行為),提供借貸的單位要特別仔細的檢查申請人的身分是否是本人」

在經過妥善驗證後,銀行還是可以取得信用報告並審核申請。三大信用記錄局的 Fraud Alert 是共享的,也就是說如果向其中一局提出申請,三局都會一併標記警示。實際的操作方法,可以參考這篇文章 (Doctor of Credit – Fraud Alert)

 

5. 【Optional: 向信用記錄局要求 Security Freeze (凍結信用報告)】

除了盜用警示,另一個更徹底的做法,就是 freeze credit report. 這就像在路上看到【此路不通】,直接禁止任何單位索取信用報告。 在執行 freeze 的時候,credit bureau 會讓申請人設定一組 PIN number,這個 PIN number 除了可以事後用來解鎖,也可以在申請人想要申辦信用卡或貸款的時候,提供給銀行來讓銀行取得報告 (但報告依舊是維持凍結的狀態)。

身分被盜用的受害者,可以免費進行無限次的 freeze / unfreeze;但「個資外流」跟身分被盜用仍有一牆之隔,像這次的個資外流還沒有構成 identity theft,所以 freeze / unfreeze credit report 需要付出一筆費用,在大部分的州是 $5-10 左右,只有少部分州是免費。 (freeze 和 unfreeze 是分開收費的)

Equifax 針對這次的事件,已承諾提供消費者於 11/21/17 之前免費 freeze 信用報告。不過,Credit freeze 不像 fraud alert,在三局之間是沒有同步的,所以凍結報告的時候,是針對消費者提出的信用記錄局凍結信用報告;如果要全部凍結則要三局分別作 (也就是要付三次費用)。 實際的操作方法,可以參考這篇文章 (Doctor of Credit – Credit Freeze)

但是 Initial Fraud Alert 和 Security Freeze 對我們研究點數哩程的同學們來說,其實是有缺點的

因為這兩件事都會自動 opt-out credit card prescreened offers,簡單說就是「排除了收到好的 credit card pre-approval offer 的機會」。 每天一堆廣告信很煩沒錯, 但華特其實每天都很期待開信箱,看看有沒有夾雜在垃圾信中的寶物,所以華特是不會做上述兩項動作的。

 

6. 【多關心美國消費者相關新聞】

Be a well-informed consumer

Equifax 的資料外流事件是美國史上最嚴重的個資外洩事件,但絕對不會是最後一個。未來也有可能有各式各樣需要消費者主動關注及動作的事件發生。 隨時注意各類消費者相關的消息,才不會資訊落後,發生事情卻不自覺。

「入鮑魚之肆,久而不聞其臭」 (誤)

 


同學願意讀到這邊,代表你已經具備了面對身分盜用和信用卡盜刷的基本知識了! 如果事項都已經了解,該做的也都做了,即可放心恢復正常生活,無須膽戰心驚。

卡還是要刷,日子還是要過 XD


追蹤研究生臉書與IG

追蹤臉書《研究生》,關於日本旅遊,點數和旅行,我都會放臉書分享。
追蹤 IG 《研究生・日本散策》,會分享一些日本的攝影作品和連續影片。

分享這篇文章給朋友吧!
  • URLをコピーしました!
  • URLをコピーしました!
目次