Temel kavram ilk başta kulağa kötü gelmiyor: Bu haftadan itibaren tüketiciler, Schufa'nın kredi değerliliklerini nasıl ve hangi temelde sınıflandırdığını daha şeffaf bir şekilde öğrenme fırsatına sahip. Yeni bir çevrimiçi portal aracılığıyla erişim için başvuruda bulunabilirler ve ardından kendi puanlarını (hesaplanma kriterleri dahil) görüntüleyebilirler.
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
Yeni Schufa puanı, en eski kredi kartının yaşı, mevcut adresin yaşı veya ödeme sorunları gibi faktörlerle ölçülüyor ve bunların tümü artık çevrimiçi portala giriş yapıldıktan sonra görüntülenebiliyor. Tüketici savunucuları daha önce Schufa'yı yıllardır şeffaflıktan yoksun olduğu için eleştirmişti; son olarak Lüksemburg'daki Avrupa Adalet Divanı da Wiesbaden şirketini daha şeffaf olmaya zorladı.
Sorun: Yeni portal kullanıma sunulduğunda kullanıcılar, en kötü durumda suçlular tarafından istismar edilebilecek bir güvenlik riskine maruz kalıyor. Yeni portalda, diğer birçok hizmette uzun süredir standart olan çok önemli bir işlev eksik: iki faktörlü kimlik doğrulama.
Önemli güvenlik adımı eksik
Bu yöntem genellikle kullanıcı adı ve şifreyle çevrimiçi bir hesaba giriş yaptıktan sonra ek bir güvenlik adımı içerir. Örneğin, kayıt sırasında girmeniz gereken SMS veya e-posta yoluyla sayısal bir kod gönderilir. Sayısal kodlar üreten kimlik doğrulama uygulamaları artık daha yaygın ve güvenli kabul ediliyor. Birçok banka ayrıca bir kaydı veya transferi ayrı ayrı onaylamanız gereken kendi uygulamalarını da kullanır.
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
Yeni Schufa portalında ne biri ne de diğeri var; her ne kadar son derece hassas veriler burada da görüntülenebiliyor olsa da. Schufa portalına kaydolmak için kimliğinizi açıkça doğrulamanız gerekir; bu, elektronik kimlik kartı veya posta yoluyla PIN mektubu yoluyla yapılabilir. Portalda daha sonra oturum açma işlemi yalnızca e-posta adresi ve şifre kombinasyonu kullanılarak gerçekleştirilir ve herhangi bir ek güvenlik adımına gerek kalmaz. Daha sonra kendi Schufa puanınıza hemen erişebilirsiniz.
Bir Schufa sözcüsü, Editoryal Ağ Almanya'ya (Haberler), iki faktörlü kimlik doğrulamanın lansman sırasında kullanılamayacağını doğruladı. Daha sonra yeniden donatılacak – “teknik ve kullanıcı dostu olma ile ilgili nihai koordinasyon şu anda devam ediyor”. Bunun için kesin bir tarih vermedi. Schufa'nın neden işlevi beklemediği ve portalın zaten yayınlandığı da belirsizliğini koruyor.
Schufa benim hakkımda ne saklıyor? Yeni portal ücretsiz bilgi sağlıyor
Schufa daha şeffaf olmak istiyor ve Salı gününden itibaren herkese kendi Schufa puanlarını çevrimiçi olarak ücretsiz olarak görüntüleme fırsatı sunuyor. Şirket yakın zamanda bu amaçla yeni Schufa hesabını başlattı. Portalın neler yapabileceğini ve kaydın nasıl çalıştığını gösteriyoruz.
“Şüpheli güvenlik düzeyi”
Bianca Kastl şaşırdı. BT güvenlik uzmanı, Kaos Bilgisayar Kulübü'nde (CCC) yer alıyor ve ayrıca yıllık konferansında elektronik hasta kaydındaki (ePA) güvenlik açıklarını kamuoyuna açıkladı. Schufa'nın başlangıçta kullanıcılarına iki faktörlü kimlik doğrulama sunamaması, Kastl için “şüpheli bir güvenlik düzeyi”ne işaret ediyor. Haberler'ye konuşan Kastl, “Schufa'nın veri koruma ihtiyaçlarını şirket içinde nasıl ele aldığı” sorusunun ortaya çıktığını söylüyor. “Normal düzeyde BT güvenliğine sahip bir şirketin rafında buna benzer bir şey bulunur.”
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
Kastl'a göre tüketicilere yönelik riskler çok çeşitli: Uzmana göre kimlik avı saldırıları özellikle mümkün. Bu, suçluların Schufa adına e-posta gönderip sahte bir sayfaya giriş bilgilerini girmelerini isteyebilecekleri anlamına geliyor. Veriler suçluların eline geçtiğinde kredi puanına erişebilecekler.
Başka bir yöntem: Suçlular Schufa oturum açma verilerini veri sızıntıları yoluyla bulabilir. E-posta adresleri veya şifreler, çeşitli sağlayıcılardaki güvenlik açıkları nedeniyle sıklıkla karanlık ağa düşer. Kastl, birçok kullanıcının “bireysel şifre kullanma konusunda iyi olmadığını” belirtiyor. Sızan bir hesaptaki verilerin aynısını Schufa'da kullanan herkes bilgisayar korsanlarına kapı açıyor.
Otomatik saldırı olasılığı düşük
Yakalanan bu veriler daha sonra başka saldırılar için kullanılabilir. Kastl şöyle açıklıyor: “Kredi verileri, finansal fırsatlara ve ihtiyaçlara daha iyi yanıt verebilmek için kişiye özel kimlik avı saldırıları gerçekleştirmeye son derece uygundur.” “Kimlik avı kurbanları genellikle bu şekildeki mesajlara daha iyi tepki veriyor.” Örneğin Kastl, özellikle Schufa puanı düşük kişilere yönelik “Schufa'sız ucuz krediler” reklamı yapan dolandırıcılık e-postalarının akla yatkın olduğunu düşünüyor.
Kastl ayrıca Schufa'nın oturum açmak için bir e-posta adresi ve parola gerektirmesi gerçeğini de belirli bir tehlike olarak görüyor. Çevrimiçi bankacılık gibi diğer hassas alanlarda, oturum açma işleminin tahmin edilmesi daha zor olduğundan bankalar genellikle bireysel bir kullanıcı adının bir parola ile birlikte kullanılmasını zorunlu tutuyor. Sorulduğunda Schufa, prosedürü tüketiciler için “özellikle basit ve net” olduğu kanıtlandığı için seçtiğini açıkladı.
Sonuçta: Schufa'ya göre kaba kuvvet yöntemleri olarak adlandırılan sistematik saldırılar mümkün değil. Böyle bir saldırıda bilgisayar korsanları, doğru olanı bulana kadar genellikle otomatik olarak tüm olası şifre ve e-posta adresi kombinasyonlarını dener. Ancak Schufa, çevrimiçi portala giriş kısıtlaması olduğunu açıklıyor. Yani: Potansiyel saldırganların, hesap geçici olarak engellenmeden önce yalnızca belirli sayıda deneme hakkı vardır. Schufa ayrıca “şüpheli etkinlikleri tanıyan, erişimi sınırlayan ve kötüye kullanımı erken aşamada ele alan” “çok seviyeli bir güvenlik konseptine” sahip olduğunu söyledi.
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
Bilgisayar korsanları için bir saldırı buna değer mi?
Özel bir Schufa hesabına hacker saldırısının gerçekte ne kadar muhtemel olduğu başka bir konudur. Kastl, verilerin son derece özel olması ve potansiyel dolandırıcılık mağdurlarına yönelik olarak kolayca kullanılabilmesi nedeniyle bir risk görüyor. Ancak siber suçlular genellikle “ölçeklenen” hedefleri özellikle iyi seçerler; sonuçta mümkün olduğu kadar çok para kazanmak isterler. Burada özel bir Schufa hesabına yapılan saldırının gerçekten “buna değer” olup olmadığı sorgulanabilir.
“Saldırgan açısından bakıldığında, şirketlerden Schufa puanlarına sahip kişisel verilerin bir listesini almak daha heyecan verici”; bu size doğrudan hitap edebileceğiniz kişiler için daha fazla adres verisi sağlar. Bir şirketten Schufa soruşturmasına erişim de muhtemelen kazançlı olacaktır. Özel bir hesaba yapılan saldırı muhtemelen çok daha az maliyetli olacaktır.
Ancak geriye kalan bir risk var. Beklemek istemiyorsanız ve iki faktörlü kimlik doğrulamanın olmamasına rağmen hizmeti kullanmak istiyorsanız, güçlü bir şifre kullanmalı ve bunu hiçbir durumda başka hizmetler için kullanmamalısınız. Schufa ayrıca kimlik avı e-postalarına karşı dikkatli olmanızı ve bilinmeyen kaynaklardan gelen bağlantıları açmamanızı tavsiye ediyor. Bir sözcü ayrıca kendi e-posta hesabınızı özellikle iyi korumanızı ve şifrelenmiş yerel depolamaya sahip bir şifre yöneticisi kullanmanızı tavsiye ediyor.
Bir yanıt yazın