Số An sinh xã hội của bạn đã bị hack. Tại sao chúng ta vẫn có chúng?
Mặc dù có rất nhiều vi phạm an ninh và thực tế là những con số không bao giờ đặc biệt bí mật, rất nhiều tổ chức vẫn coi chúng như mật khẩu.
Với các báo cáo về việc vi phạm dữ liệu lớn tại Capital One trong tuần này đã đưa ra một cảnh báo quen thuộc: khoảng 140.000 số An sinh xã hội của những người xin thẻ tín dụng của ngân hàng rõ ràng đã bị đánh cắp , cùng với 80.000 số tài khoản ngân hàng khác.
Thông báo của Capital One được đưa ra ngay sau khi khoản thanh toán 700 triệu USD được Ủy ban Thương mại Liên bang công bố trong vụ vi phạm dữ liệu năm 2017 tại Equachus, nơi đã tiết lộ hơn 140 triệu số An sinh xã hội.
Và ngay cả trước khi những vi phạm lớn trở nên phổ biến trong những năm gần đây, số An sinh Xã hội vẫn còn rất xa vời. Chúng được chia sẻ rộng rãi với chủ lao động, văn phòng bác sĩ, trường học và ngân hàng. Trong nhiều thập kỷ, chúng thường được in trên thẻ căn cước từ giấy phép lái xe đến ID sinh viên đại học.
Được sử dụng bởi rất nhiều tổ chức khác nhau làm cho chúng thực sự hữu ích để đảm bảo hai tệp khác nhau thực sự đề cập đến cùng một người có tên, giả sử, John Smith. Nhưng nó cũng làm cho chúng ngày càng vô giá trị như mật khẩu bí mật.
Mike Chúng tôi đã chia sẻ Số An sinh Xã hội của chúng tôi với mọi công ty nơi chúng tôi từng làm việc, mọi tổ chức tài chính nơi chúng tôi từng mở một tài khoản và vô số các tổ chức khác trong suốt cuộc đời của chúng tôi, ông Viết Chap Chap , giáo sư giảng dạy CNTT. , phân tích và hoạt động tại Đại học Kinh doanh Mendoza của Notre Dame, trong email gửi tới Công ty Nhanh . Việc chia sẻ rộng rãi các Số An sinh Xã hội của chúng tôi khiến chúng hoàn toàn không phù hợp để sử dụng làm bằng chứng về danh tính của chúng tôi.
Trong nhiều thế hệ, chúng thậm chí được tạo ra theo cách giúp chúng dễ đoán nếu bạn biết khi nào ai đó được sinh ra.
Tuy nhiên, số An sinh Xã hội được sử dụng thường xuyên để giúp xác minh danh tính người tiêu dùng tại tất cả các loại tổ chức, cho dù đăng ký tín dụng hoặc gọi điện bằng câu hỏi về tài khoản ngân hàng hoặc chính sách bảo hiểm. Các chuyên gia nói rằng điều đó một phần bởi vì việc chuyển sang một hệ thống an toàn hơn thực sự là thách thức của Haiti và một phần là do quán tính của các doanh nghiệp và cơ quan quản lý, những người có thể đưa ra những cách an toàn hơn để mọi người thể hiện danh tính của họ.
KIẾN THỨC LÀ MỘT LOẠI TRÁI CÂY TREO THẤP
Các ngân hàng và các tổ chức khác chấp nhận một số gian lận là chi phí kinh doanh, Jim Fenton , một nhà tư vấn công nghệ độc lập, người đã làm việc về vấn đề bản sắc và quyền riêng tư.
Họ có thể đối phó với nó giống như cách các cửa hàng đối phó với việc mua sắm, anh ấy nói. Họ chấp nhận một mức độ nhất định của việc mua sắm như những gì họ gọi là co ngót.
Rốt cuộc, chi phí xử lý một vài giao dịch thẻ tín dụng lừa đảo hoặc thậm chí các khoản vay được thực hiện dưới tên giả thường giảm so với chi phí nâng cấp máy tính cũ để xử lý xác minh danh tính tinh vi hơn. Pat Cox, phó chủ tịch của công ty viễn thông và công nghệ Neustar cho biết, việc chuyển sang các hệ thống yêu cầu người dùng làm nhiều hơn là chứng minh rằng họ biết một mã như số An sinh xã hội, mật khẩu hoặc mã PIN .
Biometrics rất khó bởi vì trước tiên bạn phải lấy dấu vân tay, anh ấy nói. Kiến thức là loại trái cây treo thấp. Đó chính là vấn đề."
Trong khi nhiều tổ chức đã xem xét các cách khác để xác minh danh tính, từ công nghệ blockchain đến sinh trắc học, họ cũng tự nhiên miễn cưỡng đầu tư vào một công nghệ có thể trở thành ngõ cụt, Neal O'Farrell, giám đốc điều hành của tổ chức phi lợi nhuận nói. Hội đồng trộm cắp danh tính .
Các công ty cũng không thấy nhiều áp lực từ khách hàng. Có lẽ một phần là do người tiêu dùng chưa thấy đủ tác hại cụ thể từ các vi phạm dữ liệu để thúc đẩy, nói rằng, các công ty tẩy chay đã bị họ tấn công, ông nói.
O'Farrell cho biết, cho đến khi điều đó xảy ra, không có sự khẩn cấp thực sự nào đối với các tổ chức này phải chịu rủi ro và đầu tư lớn như vậy để bán số An sinh Xã hội cho một số phương án khác.
Mặc dù các khu định cư tập trung vào quyền riêng tư gần đây với các công ty như Equachus và Facebook, những người ủng hộ cũng cho rằng các nhà lập pháp và cơ quan quản lý đã không làm đủ để thúc đẩy tập đoàn lớn đầu tư mạnh vào quyền riêng tư.
Laila Abdelaziz, một nhà vận động của nhóm quyền kỹ thuật số Fight for the Future , cho biết, các nhà lập pháp của Liên bang đã lấy số tiền khổng lồ từ ngành công nghệ và ngân hàng và từ chối làm bất cứ điều gì có ý nghĩa để bảo vệ quyền riêng tư và an ninh của mọi người . Đại hội hoàng cung đã cúi đầu trước các yêu cầu của ngành mà họ tự điều chỉnh, và kết quả là họ đã gây nguy hiểm cho sự an toàn của cả quốc gia. Vi phạm như thế này sẽ tiếp tục xảy ra cho đến khi Quốc hội thông qua các biện pháp bảo vệ mạnh mẽ yêu cầu các công ty tư nhân xây dựng công nghệ với sự an toàn và an ninh của mọi người.
LỜI HỨA CỦA HỆ THỐNG ID KỸ THUẬT SỐ CỦA ESTONIA
Một số quốc gia khác, có lẽ đáng chú ý nhất là Estonia , đã thiết lập các hệ thống nhận dạng kỹ thuật số quốc gia mà mọi người có thể sử dụng để chứng minh họ trực tuyến hoặc trực tiếp mà không cần chỉ dựa vào mã kiểu mật khẩu như số An sinh xã hội Hoa Kỳ. Khái niệm này tương tự như cách điện thoại di động hiện đại có thể tự nhận dạng an toàn với các mạng mà không bị nhân bản bởi những kẻ lừa đảo gần đó.
Đó không phải là thuốc chữa bách bệnh: ID kỹ thuật số tiếng Estonia đã phải được cập nhật vào năm 2017 sau khi một số lỗ hổng bảo mật được phát hiện trong mã cơ bản. Và nhiều chuyên gia cho rằng sẽ khó chấp nhận ở Mỹ, nơi ý tưởng về thẻ ID quốc gia từ lâu đã khiến mọi người cảnh giác, mặc dù thẻ và số An sinh xã hội về cơ bản là bắt buộc đối với hầu hết người dân chỉ đơn giản là làm việc, ngân hàng, lái xe, và nộp thuế.
Thái độ của bạn đối với loại điều này là một hiện tượng rất đặc trưng về văn hóa, ông Fenton nói. Hoa Kỳ không muốn người dân có ID chính phủ tập trung.
Một thách thức khác, theo Steven Bellovin , giáo sư khoa học máy tính tại Đại học Columbia, là ngay cả hệ thống ID an toàn nhất cũng phải xử lý những người bị mất ID hoặc bị đánh cắp, điều này thường có nghĩa là xác định người bằng một số phương tiện kém an toàn hơn.
Để chắc chắn, nhiều tổ chức đã thực hiện các bước để tăng cường bảo mật ngoài việc nhắc nhở về số và mật khẩu An sinh xã hội. Từ nhà cung cấp email đến ngân hàng, nhiều tổ chức đã cho phép khách hàng thiết lập xác thực hai yếu tố, trong đó họ cũng cần xác minh danh tính của họ bằng số nhận dạng sinh trắc học như dấu vân tay hoặc bằng chứng cho thấy họ đang sở hữu thiết bị như điện thoại thông minh. Và một số tổ chức đã bắt đầu yêu cầu khách hàng mới chứng minh họ là ai bằng cách tải lên, giả sử, một bức ảnh tự sướng có ID như bằng lái xe, nhưng điều đó không có nghĩa là phổ biến.
Một cách để nhanh chóng thực hiện những điều như, Chapple đã đề xuất trong một ý kiến gần đây cho CNN, sẽ là chính phủ chỉ đơn giản là công bố số An sinh xã hội của mọi người sau một thời gian dẫn đầu, năm năm. Bằng cách công khai các con số chính thức, các quan chức sẽ buộc các doanh nghiệp phải thừa nhận những gì một số nạn nhân lừa đảo đã học được một cách khó khăn: Số an sinh xã hội không đặc biệt bí mật.
Xuất bản những con số này sẽ loại bỏ giả định sai lầm rằng có bất kỳ bí mật nào trong những con số này và yêu cầu các tổ chức tài chính và những người khác áp dụng các kỹ thuật xác thực mạnh mẽ hơn, ông nói với Fast Company . Đây là một công việc khó khăn sẽ mất nhiều thời gian, vì vậy việc đặt ra thời hạn năm năm kể từ bây giờ cung cấp đủ thời gian cho các nền tảng kỹ thuật, thủ tục và pháp lý cần thiết để tránh xa việc sử dụng SSN.
Với các báo cáo về việc vi phạm dữ liệu lớn tại Capital One trong tuần này đã đưa ra một cảnh báo quen thuộc: khoảng 140.000 số An sinh xã hội của những người xin thẻ tín dụng của ngân hàng rõ ràng đã bị đánh cắp , cùng với 80.000 số tài khoản ngân hàng khác.
Thông báo của Capital One được đưa ra ngay sau khi khoản thanh toán 700 triệu USD được Ủy ban Thương mại Liên bang công bố trong vụ vi phạm dữ liệu năm 2017 tại Equachus, nơi đã tiết lộ hơn 140 triệu số An sinh xã hội.
Và ngay cả trước khi những vi phạm lớn trở nên phổ biến trong những năm gần đây, số An sinh Xã hội vẫn còn rất xa vời. Chúng được chia sẻ rộng rãi với chủ lao động, văn phòng bác sĩ, trường học và ngân hàng. Trong nhiều thập kỷ, chúng thường được in trên thẻ căn cước từ giấy phép lái xe đến ID sinh viên đại học.
Được sử dụng bởi rất nhiều tổ chức khác nhau làm cho chúng thực sự hữu ích để đảm bảo hai tệp khác nhau thực sự đề cập đến cùng một người có tên, giả sử, John Smith. Nhưng nó cũng làm cho chúng ngày càng vô giá trị như mật khẩu bí mật.
Mike Chúng tôi đã chia sẻ Số An sinh Xã hội của chúng tôi với mọi công ty nơi chúng tôi từng làm việc, mọi tổ chức tài chính nơi chúng tôi từng mở một tài khoản và vô số các tổ chức khác trong suốt cuộc đời của chúng tôi, ông Viết Chap Chap , giáo sư giảng dạy CNTT. , phân tích và hoạt động tại Đại học Kinh doanh Mendoza của Notre Dame, trong email gửi tới Công ty Nhanh . Việc chia sẻ rộng rãi các Số An sinh Xã hội của chúng tôi khiến chúng hoàn toàn không phù hợp để sử dụng làm bằng chứng về danh tính của chúng tôi.
Trong nhiều thế hệ, chúng thậm chí được tạo ra theo cách giúp chúng dễ đoán nếu bạn biết khi nào ai đó được sinh ra.
Tuy nhiên, số An sinh Xã hội được sử dụng thường xuyên để giúp xác minh danh tính người tiêu dùng tại tất cả các loại tổ chức, cho dù đăng ký tín dụng hoặc gọi điện bằng câu hỏi về tài khoản ngân hàng hoặc chính sách bảo hiểm. Các chuyên gia nói rằng điều đó một phần bởi vì việc chuyển sang một hệ thống an toàn hơn thực sự là thách thức của Haiti và một phần là do quán tính của các doanh nghiệp và cơ quan quản lý, những người có thể đưa ra những cách an toàn hơn để mọi người thể hiện danh tính của họ.
KIẾN THỨC LÀ MỘT LOẠI TRÁI CÂY TREO THẤP
Các ngân hàng và các tổ chức khác chấp nhận một số gian lận là chi phí kinh doanh, Jim Fenton , một nhà tư vấn công nghệ độc lập, người đã làm việc về vấn đề bản sắc và quyền riêng tư.
Họ có thể đối phó với nó giống như cách các cửa hàng đối phó với việc mua sắm, anh ấy nói. Họ chấp nhận một mức độ nhất định của việc mua sắm như những gì họ gọi là co ngót.
Rốt cuộc, chi phí xử lý một vài giao dịch thẻ tín dụng lừa đảo hoặc thậm chí các khoản vay được thực hiện dưới tên giả thường giảm so với chi phí nâng cấp máy tính cũ để xử lý xác minh danh tính tinh vi hơn. Pat Cox, phó chủ tịch của công ty viễn thông và công nghệ Neustar cho biết, việc chuyển sang các hệ thống yêu cầu người dùng làm nhiều hơn là chứng minh rằng họ biết một mã như số An sinh xã hội, mật khẩu hoặc mã PIN .
Biometrics rất khó bởi vì trước tiên bạn phải lấy dấu vân tay, anh ấy nói. Kiến thức là loại trái cây treo thấp. Đó chính là vấn đề."
Trong khi nhiều tổ chức đã xem xét các cách khác để xác minh danh tính, từ công nghệ blockchain đến sinh trắc học, họ cũng tự nhiên miễn cưỡng đầu tư vào một công nghệ có thể trở thành ngõ cụt, Neal O'Farrell, giám đốc điều hành của tổ chức phi lợi nhuận nói. Hội đồng trộm cắp danh tính .
Các công ty cũng không thấy nhiều áp lực từ khách hàng. Có lẽ một phần là do người tiêu dùng chưa thấy đủ tác hại cụ thể từ các vi phạm dữ liệu để thúc đẩy, nói rằng, các công ty tẩy chay đã bị họ tấn công, ông nói.
O'Farrell cho biết, cho đến khi điều đó xảy ra, không có sự khẩn cấp thực sự nào đối với các tổ chức này phải chịu rủi ro và đầu tư lớn như vậy để bán số An sinh Xã hội cho một số phương án khác.
Mặc dù các khu định cư tập trung vào quyền riêng tư gần đây với các công ty như Equachus và Facebook, những người ủng hộ cũng cho rằng các nhà lập pháp và cơ quan quản lý đã không làm đủ để thúc đẩy tập đoàn lớn đầu tư mạnh vào quyền riêng tư.
Laila Abdelaziz, một nhà vận động của nhóm quyền kỹ thuật số Fight for the Future , cho biết, các nhà lập pháp của Liên bang đã lấy số tiền khổng lồ từ ngành công nghệ và ngân hàng và từ chối làm bất cứ điều gì có ý nghĩa để bảo vệ quyền riêng tư và an ninh của mọi người . Đại hội hoàng cung đã cúi đầu trước các yêu cầu của ngành mà họ tự điều chỉnh, và kết quả là họ đã gây nguy hiểm cho sự an toàn của cả quốc gia. Vi phạm như thế này sẽ tiếp tục xảy ra cho đến khi Quốc hội thông qua các biện pháp bảo vệ mạnh mẽ yêu cầu các công ty tư nhân xây dựng công nghệ với sự an toàn và an ninh của mọi người.
LỜI HỨA CỦA HỆ THỐNG ID KỸ THUẬT SỐ CỦA ESTONIA
Một số quốc gia khác, có lẽ đáng chú ý nhất là Estonia , đã thiết lập các hệ thống nhận dạng kỹ thuật số quốc gia mà mọi người có thể sử dụng để chứng minh họ trực tuyến hoặc trực tiếp mà không cần chỉ dựa vào mã kiểu mật khẩu như số An sinh xã hội Hoa Kỳ. Khái niệm này tương tự như cách điện thoại di động hiện đại có thể tự nhận dạng an toàn với các mạng mà không bị nhân bản bởi những kẻ lừa đảo gần đó.
Đó không phải là thuốc chữa bách bệnh: ID kỹ thuật số tiếng Estonia đã phải được cập nhật vào năm 2017 sau khi một số lỗ hổng bảo mật được phát hiện trong mã cơ bản. Và nhiều chuyên gia cho rằng sẽ khó chấp nhận ở Mỹ, nơi ý tưởng về thẻ ID quốc gia từ lâu đã khiến mọi người cảnh giác, mặc dù thẻ và số An sinh xã hội về cơ bản là bắt buộc đối với hầu hết người dân chỉ đơn giản là làm việc, ngân hàng, lái xe, và nộp thuế.
Thái độ của bạn đối với loại điều này là một hiện tượng rất đặc trưng về văn hóa, ông Fenton nói. Hoa Kỳ không muốn người dân có ID chính phủ tập trung.
Một thách thức khác, theo Steven Bellovin , giáo sư khoa học máy tính tại Đại học Columbia, là ngay cả hệ thống ID an toàn nhất cũng phải xử lý những người bị mất ID hoặc bị đánh cắp, điều này thường có nghĩa là xác định người bằng một số phương tiện kém an toàn hơn.
Để chắc chắn, nhiều tổ chức đã thực hiện các bước để tăng cường bảo mật ngoài việc nhắc nhở về số và mật khẩu An sinh xã hội. Từ nhà cung cấp email đến ngân hàng, nhiều tổ chức đã cho phép khách hàng thiết lập xác thực hai yếu tố, trong đó họ cũng cần xác minh danh tính của họ bằng số nhận dạng sinh trắc học như dấu vân tay hoặc bằng chứng cho thấy họ đang sở hữu thiết bị như điện thoại thông minh. Và một số tổ chức đã bắt đầu yêu cầu khách hàng mới chứng minh họ là ai bằng cách tải lên, giả sử, một bức ảnh tự sướng có ID như bằng lái xe, nhưng điều đó không có nghĩa là phổ biến.
Một cách để nhanh chóng thực hiện những điều như, Chapple đã đề xuất trong một ý kiến gần đây cho CNN, sẽ là chính phủ chỉ đơn giản là công bố số An sinh xã hội của mọi người sau một thời gian dẫn đầu, năm năm. Bằng cách công khai các con số chính thức, các quan chức sẽ buộc các doanh nghiệp phải thừa nhận những gì một số nạn nhân lừa đảo đã học được một cách khó khăn: Số an sinh xã hội không đặc biệt bí mật.
Xuất bản những con số này sẽ loại bỏ giả định sai lầm rằng có bất kỳ bí mật nào trong những con số này và yêu cầu các tổ chức tài chính và những người khác áp dụng các kỹ thuật xác thực mạnh mẽ hơn, ông nói với Fast Company . Đây là một công việc khó khăn sẽ mất nhiều thời gian, vì vậy việc đặt ra thời hạn năm năm kể từ bây giờ cung cấp đủ thời gian cho các nền tảng kỹ thuật, thủ tục và pháp lý cần thiết để tránh xa việc sử dụng SSN.
Nhận xét
Đăng nhận xét