益百利的在线PIN恢复系统可以让攻击者通过找出一些简单的事实来撤销信用冻结。在Equifax事件发生后的几周内，消费者被告知冻结他们的信用，从而阻止可能的攻击者以他们的名义开设新的信用额度。作为一种防御策略，这是有道理的，但正如网络安全记者布莱恩·克雷布斯（Brian Krebs）今天报道的那样，围绕这些冻结的保护措施很容易被颠覆。

益百利通过一个易于访问的账户恢复页面，重置被冻结人的个人识别码，使撤销信用冻结变得容易。当有人想要取回他们的信用卡冻结密码时，该页面只会询问一个人的姓名、地址、出生日期和社会保险号码。所有这些数据都在Equifax漏洞以及其他漏洞中被泄露，因此我们可以假设黑客拥有这些信息。

在输入这些数据之后，攻击者只需输入一个电子邮件地址—任何电子邮件—并回答一些安全问题。可能不会因为不安全而跳出来；安全问题的存在是有原因的。但是问题本身很容易回答，特别是如果你知道如何使用互联网和搜索栏的话。克雷布斯说，示例问题包括要求用户确定他们以前居住过的城市以及与他们一起居住的人。

这些信息大部分是通过一个人自己的社交媒体账户、搜索引擎或像数据库这样的黄页（包括Spokeo和Zillow）获得的。我们可以假设一个黑客会很好地理解互联网，并可以做一些快速谷歌获得您的安全冻结PIN。

针对Krebs的报告，益百利声称，它超越了认证用户的措施该公司在一份声明中说：“虽然我们没有披露这些额外的流程，但其中包括一系列消费者看不到的检查。”，Krebs声称，他的几个Twitter追随者在回答益百利基于知识的认证问题后，“报告说在网站上和通过电子邮件检索他们的PIN成功”。

冻结你的账户并不意味着你永远不想要一张新的信用卡或办理抵押贷款，但它为你这样做增加了一个额外的步骤。每次你想要一个新的信用额度或提供给某人访问你的信用报告，你将不得不解除冻结暂时（或永久）使用PIN码要么你选择或由每个信用报告机构提供。当然，人们往往会忘记密码和PIN，因此这些公司开发了恢复系统。问题是这些系统也不一定是安全的。

公平地说，其他信贷公司的复苏策略似乎没有益百利那么脆弱。TransUnion要求用户在启动冻结之前创建一个帐户，因此他们也必须登录才能获得PIN。大概他们的用户名和密码没有出现在互联网上（只要他们没有重复使用密码）。Equifax要求员工写信向公司申请个人识别码，并提供身份证明，如驾照、护照或出生证明的副本。对你来说，这可能是更多的工作，但伪造驾照也更难。

尽管益百利的恢复系统不是很好，但冻结你的账户仍然是个好主意。身份窃贼会去寻找最容易的目标，强迫他们采取额外的步骤可能会阻止他们使用你的名字。你只需掌握你的信用报告，即使你已经冻结到位，以确保没有可疑的事情发生。

美国东部时间9月22日凌晨1:12更新：益百利声明更新。