Credit Karma Güvenli ve Güvenilir mi?

XS-Search abusing the Chrome XSS Auditor - filemanager 35c3ctf (Kasım 2024)

XS-Search abusing the Chrome XSS Auditor - filemanager 35c3ctf (Kasım 2024)
Credit Karma Güvenli ve Güvenilir mi?

İçindekiler:

Anonim

Credit Karma Inc, geçtiğimiz günlerde 50 milyondan fazla kullanıcının tüketim üssünü ilan etti. Hizmetleri ABD'nin her beş sakininden biri tarafından kullanılmakta ve şirket bir milyardan fazla serbest kredi raporu yayınladı. Bu ücretsiz kredi raporlarını almak için, kullanıcı Sosyal Güvenlik numarası da dahil olmak üzere kişisel bilgiler girmelidir. Skoru belirlemek için kişisel bilgileri topladığı için Credit Karma, müşterilerinin hassas bilgileri üzerinde gizlilik, takdir ve güvenlik önlemlerini en üst seviyede tutmalıdır.

Güvenlik Önlemleri

Credit Karma, hassas verileri güvence altına almak için 128 bit şifreleme kullanır ve şirketin sonunda bireysel hesap bilgilerine erişim salt okunurdur. Sunucuları fiziksel olarak güvenlik personeli tarafından korunmaktadır. Web sitesi güvenli bir ağ kullanıyor ve güvenlik duvarlarını ve diğer önleyici güvenlik önlemlerini koruyor. Kullanıcılar beş dakika işlem yapılmadığında veya bir kullanıcı masaüstü web sitesini kapattığında otomatik olarak çıkış yaparlar. Mobil cihaz kullanıcıları, uygulamayı tekrar açtıktan sonra bir şifre girmelidir. Son olarak, yeni bir kullanıcı, hesap açmadan önce finansal geçmişiyle ilgili birden çok güvenlik sorusunu doğru bir şekilde yanıtlamalıdır.

Kredi Karma kullanıcıların ödeme bilgilerini girmesini gerektirmez. Bu nedenle, şifreli bir kredi kartı bilgi veritabanını güvence altına almanız veya muhafaza etmeniz gerekmez. Şirket, gönderdiği e-postaların sayısını en aza indirgeyerek kullanıcıya maruz kalma riskini sınırlamıştır. Credit Karma sözcüsü Christina Ra, bunun "çok nadiren e-postayla bulaşmanın" temel bir uygulaması olduğunu belirtti. Bu ek güvenlik önlemi, kullanıcıların bir kimlik avı aldatmacasında yakalanma olasılığı daha düşük olması nedeniyle olumludur.

Veri İhlalleri

2014 yılında, Credit Karma, Federal Ticaret Komisyonu (FTC) tarafından getirilen suçlamaları halletti. FTC, Credit Karma'nın mobil uygulamasını güvence altına alamadığını ve hassas tüketici bilgilerini Temmuz 2012'den Ocak 2013'e kadar güvence altına almadığını iddia etti. Credit Karma mobil uygulamasının geliştirilmesi sırasında dış kaynak kullandı ve kurum içi geliştiriciler, Sınama sırasında devre dışı bırakılan kod son üründe kaldı. Credit Karma, bir kullanıcı uygulamanın içine girme kabiliyetini fark ettikten ve şirkete ortadaki adam saldırısı güvenlik açığı hakkında bilgi verdikten sonra güvenlik başarısızlığını keşfetti. IOS sorununu çözdükten bir ay sonra, Credit Karma uygulamanın Android sürümünü yayımladı. Android uygulaması aynı güvenlik başarısızlığını çoğalttığı için, yeterli güvenlik incelemelerini yapmadığı veya daha önce tanımlanmış güvenlik açıkları için uygulamayı test ettiği gerekçesiyle belirtildi.

Kuruluşun iddiasıyla ilgili resmi konumu, hassas verilerin kaybedilmemesi, konunun mobil programıyla sınırlı olması ve bu konunun çözülmesi oldu.Çözüm sonucunda, şirket bir dizi güvenlik programı oluşturdu ve iki yılda bir bağımsız bir güvenlik değerlendirmesi yapacak. Çözüm, ürünlerinin mahremiyet seviyesini yanlış göstererek yasaklayarak güvenlik şeffaflığı da öngörüyor.

Gizlilik Politikası

Per Credit Karma'nın web sitesinde toplanan tüm kişisel bilgiler üçüncü şahıslara satılmamaktadır. Buna ek olarak, kullanıcıdan başka herhangi bir dış tarafla kredi puanı bilgisi paylaşılmaz. Bununla birlikte, Credit Karma'nın kullanım şartları bu bilgilerin bir kısmıyla çelişmektedir. Yeni başlayanlar için Credit Karma, hükümet taleplerini yerine getirmek ve kullanım şartlarını yerine getirmek için bilgiye erişme, kullanma, koruma, aktarma ve açıklama hakkını saklı tutar. Buna ek olarak, haklar, dolandırıcılık, güvenlik veya teknik konularda tespit, önleme veya adres vermenin yanı sıra herhangi bir üçüncü tarafın güvenliğini, haklarını, mülkiyetini veya güvenliğini korumak için saklıdır. Kişisel bilgilerin herhangi bir şekilde erişilmesi, kullanılması veya aktarılması, Credit Karma kullanıcısına bildirimde bulunulmaksızın gerçekleştirilebilir.

Kredi karmasının özel politikası, şirket tarafından elinde tutulan potansiyel bilgi açıklamalarına rağmen TRUSTe tarafından onaylanmıştır. TRUSTe'nin sertifikasyon standartları bir şirketin çevrimiçi özelliklerini, veri yönetimi uygulamalarını ve tüketicileri koruyan gizlilik standartlarını oluşturma konusunda uygulanabilir düzenleyici çerçeveleri analiz eder. Sertifikasyon, üçüncü şahıslarla hiçbir kişisel bilginin satılmadığını veya paylaşılmadığını ve ortaklarla paylaşılan herhangi bir bilginin açık rıza için tüketiciye sunulduğunu belirtti. Bu nedenle, Credit Karma'nın tüketicinin kişisel bilgileri ile yapabileceği ve yapamayacağının ne olduğu konusunda bazı tutarsızlıklar vardır.

FAKO Skor

Kredi Karma, gerçek bir FICO kredi puanıyla bir tüketici sağlamaz. Bunun yerine, tahmini bir kredi puanı olan bir FAKO puanı döndürür. Kredi Karma, kişisel bilgileri toplar ve algoritmalar uygulayarak bir kredi puanı tahmininde kullanır. Bir FAKO puanı belirlenmesi, şirketin güvenliğini veya güvenliğini mutlaka yansıtmamakla birlikte, şirket gerçek FICO kredi raporları sağlamadığını açıkça belirtmediğinden, şeffaflık sorununu gündeme getirmektedir.

The Bottom Line

Credit Karma, tahmini ücretsiz kredi raporları sunan otantik bir organizasyondur. Müşterilerin hassas bilgilerinin korunmasıyla ilgili daha önce güvenlik konularına sahiptir. Ayrıca, şirketin web sitesinde yayınlanan metin ile şirketin kullanım şartları arasında çok sayıda tutarsızlık var. Bu nedenle, tüketicilerin Credit Karma'nın hizmetlerini değerlendirirken dikkatle yaklaşmaları gerekiyor.