1 Punkte von GN⁺ 2023-11-12 | 1 Kommentare | Auf WhatsApp teilen
  • Experian-Konten konnten übernommen werden, indem man sich mit denselben personenbezogenen Daten und einer anderen E-Mail-Adresse erneut registrierte; das 2022 aufgedeckte Authentifizierungsproblem bestand 16 Monate später weiterhin
  • Die erneute Registrierung erfolgte mit Social Security Number, Geburtsdatum, Name, Adresse, E-Mail, Passwort und wissensbasierten Sicherheitsfragen; die Mobiltelefon-Verifizierung ließ sich über „Continue another way“ umgehen
  • Nach Erstellung des neuen Kontos waren der Zugriff auf die vollständige Kreditakte sowie das Setzen und Aufheben einer Kreditsperre möglich; an die bisherige E-Mail-Adresse wurde keine Genehmigungsanfrage, sondern nur eine Änderungsbenachrichtigung gesendet
  • Equifax und TransUnion verlangen bei Änderungen an bestehenden Konten die Bestätigung per Code an die registrierte E-Mail-Adresse oder Telefonnummer; Experian bot bestehenden Nutzern jedoch weder eine Änderungsfreigabe noch Wiederherstellungsoptionen an
  • Wenn Angreifer ein Konto mit neuer Telefonnummer und E-Mail-Adresse neu erstellen können, reicht Multi-Faktor-Authentifizierung beim Login allein kaum aus, um Kontoübernahmen zu verhindern

Experian-Konten ließen sich mit einer anderen E-Mail-Adresse neu erstellen

  • Im Sommer 2022 wurde bestätigt, dass Experian-Konten durch erneute Registrierung mit einer anderen E-Mail-Adresse übernommen wurden
  • 16 Monate später bestand dasselbe Problem weiter, und auch Krebs’ eigenes Experian-Konto war kürzlich übernommen worden
  • Über annualcreditreport.com wurde eine Kopie der Experian-Kreditakte angefordert, doch Experian verweigerte sie mit der Begründung, die Identität könne nicht verifiziert werden
  • Auch der direkte Login auf Experian.com schlug fehl; die Website meldete, Benutzername oder Passwort würden nicht erkannt
  • Beim Anfordern des Benutzernamens waren die vollständige Social Security Number und das Geburtsdatum erforderlich; anschließend wurde ein Teil einer E-Mail-Adresse angezeigt, die Krebs weder genehmigt hatte noch kannte

Authentifizierungsschwächen im erneuten Registrierungsprozess

  • Die Experian-Startseite verlangt Social Security Number und Mobiltelefonnummer und kündigt an, dass ein Link zur Identitätsprüfung gesendet werde
  • Es schien, als blockiere die Website auch bei Eingabe einer beliebigen US-Telefonnummer nicht; durch Auswahl von „Continue another way“ ließ sich dieser Schritt überspringen
  • Für die anschließende Neuerstellung des Kontos wurden folgende Informationen verlangt
    • Vollständiger Name
    • Adresse
    • Geburtsdatum
    • Social Security Number
    • E-Mail-Adresse
    • Gewähltes Passwort
  • Im nächsten Schritt mussten 3 bis 5 Multiple-Choice-Sicherheitsfragen beantwortet werden, deren Antworten häufig auf öffentlichen Datensätzen basierten
  • Als Krebs das Konto neu erstellte, bezogen sich von 5 Fragen nur 2 auf tatsächliche Informationen, beide auf frühere Wohnadressen
  • Nach Bestehen der Multiple-Choice-Fragen musste eine 4-stellige PIN sowie die Antwort auf eine der vorgegebenen Fragen neu festgelegt werden
  • Nach Erstellung des neuen Kontos war der Zugriff auf das Experian-Dashboard möglich; dort konnten die vollständige Kreditakte eingesehen sowie Kreditsperren gesetzt und aufgehoben werden

Für bestehende Nutzer bleibt nur eine Änderungsbenachrichtigung

  • Wenn Kontodaten geändert werden, sendet Experian an die bisherige E-Mail-Adresse eine Nachricht, dass Teile des Nutzerprofils geändert wurden
  • Diese Nachricht ist keine Bestätigungsanfrage, sondern lediglich eine Änderungsbenachrichtigung; die einzige angebotene Aktion für bestehende Nutzer ist ein Klick auf einen Login-Link zu Experian.com
  • Nach Erhalt der Benachrichtigung können sich bestehende Nutzer mit ihren bisherigen Experian-Zugangsdaten nicht mehr anmelden
  • Auch PIN und Fragen zur Kontowiederherstellung wurden bereits geändert, sodass bestehende Nutzer ihr Konto bei Experian erneut erstellen müssen, um es zurückzubekommen
  • Equifax und TransUnion erlauben Änderungen an bestehenden Konten erst, nachdem ein Code eingegeben wurde, der an die registrierte E-Mail-Adresse oder Telefonnummer gesendet wurde

Experians Antwort und Verifizierungen durch Leser

  • Experian verweigerte die Weitergabe der vollständigen E-Mail-Adresse, die Krebs’ Kreditakte unbefugt hinzugefügt worden war
  • Experian-Sprecher Scott Anderson erklärte, das Unternehmen habe einen mehrschichtigen Sicherheitsansatz mit manuellen und aktiven Maßnahmen implementiert und entwickle ihn weiter, um die Identität und Informationen von Verbrauchern zu schützen
  • Laut Anderson umfassen diese Maßnahmen wissensbasierte Fragen und Antworten sowie Verfahren zur Prüfung von Gerätebesitz und -kontrolle
  • Alle Verbraucher können Multi-Faktor-Authentifizierung aktivieren, die bei jedem Konto-Login angefordert wird; wenn ein Konto jedoch mit neuer Telefonnummer und E-Mail-Adresse neu erstellt werden kann, ist die Wirkung begrenzt
  • Leser, die Beiträge zu Experian auf Mastodon gesehen hatten, bestätigten dasselbe Problem
    • @Jackerbee gab an, eine zweite Telefonnummer und eine neue E-Mail-Adresse eingegeben zu haben; an die bisherige E-Mail kam lediglich eine einzelne Nachricht, dass Informationen aktualisiert worden seien, ohne Verifizierung der alten E-Mail
    • An die bisherige Telefonnummer kam auch keine SMS-Benachrichtigung; beim späteren Login funktionierte 2FA über die neue Telefonnummer
    • PeteMayo erstellte sein Experian-Konto in derselben Woche zweimal neu; beim zweiten Mal gab er eine zufällige Festnetznummer ein
    • Im Fall von PeteMayo erschienen 5 Fragen zur persönlichen Historie, danach wurde mit der Meldung „Welcome back, Pete!“ vollständiger Zugriff gewährt

Wiederholte Sicherheitsvorfälle bei Experian

  • Der Angreifer, der Krebs’ Konto übernommen hatte, hatte die Kreditsperre nicht aufgehoben oder sie, falls doch, anschließend wieder gesetzt
  • Wenn Experian seine Authentifizierungsverfahren nicht ändert, kann Krebs’ Experian-Konto erneut übernommen werden
  • Bei Experian gab es in der Vergangenheit wiederholt Vorfälle im Zusammenhang mit grundlegenden Authentifizierungsschwächen
    • Im Dezember 2022 wurde ein Umgehungsweg entdeckt, mit dem sich allein mit Name, Adresse, Geburtsdatum und Social Security Number vollständige Kreditberichte von Verbrauchern abrufen ließen; Experian räumte ein, dass die Schwachstelle vom 9. November bis 26. Dezember 2022 fast sieben Wochen lang bestand
    • Im April 2021 war die Authentifizierung der Experian-Seite zur PIN-Suche so schwach, dass Identitätsdiebe Kreditsperren in Verbraucherakten aufheben konnten
    • Im selben Monat wurde öffentlich, dass eine Experian-API die Kredit-Scores der meisten US-Amerikaner offenlegte
  • Zu den einschlägigen früheren Fällen zählen eine Sammelklage zur Kontosicherheit aus dem Jahr 2022, die Offenlegung von PINs für Kreditsperren 2017, ein Angriff auf 15 Millionen Kunden 2015, die Ermöglichung des Zugriffs auf 200 Millionen Verbraucherdatensätze 2014 sowie der Verkauf von Verbraucherdaten an einen Identitätsdiebstahl-Dienst 2013

1 Kommentare

 
GN⁺ 2023-11-12
Hacker-News-Kommentare
  • Das Grundproblem hier ist, dass Sicherheit aufrechtzuerhalten teuer ist und es manchmal billiger ist, sich nach einem Hack darum zu kümmern.
    Die einzige Lösung besteht darin, durch Bußgelder und Klagen von Opfern von Identitätsdiebstahl dafür zu sorgen, dass gehackte Unternehmen einen sehr hohen Preis zahlen.

    • So hoch sind die Kosten nicht.
      Für ein paar Cent pro Abfrage einer Kreditauskunft kann man wissensbasierte Authentifizierung nutzen, etwa „Wo haben Sie gewohnt?“ oder „Gehört diese Geschäftsbeziehung Ihnen?“.
      Auch Identitätsprüfungen auf Basis staatlicher Ausweisdokumente wie ID.me oder Stripe Identity liegen bei etwa 1,50 bis 2,00 Dollar pro Versuch.
      Das Problem ist, dass die Last von Betrugsschäden auf die Verbraucher abgewälzt wird; deshalb gibt es keinen Anreiz, die Kosten ein wenig zu erhöhen, um Betrug zu reduzieren, und die Kreditauskunfteien wollen auch nicht, dass ihr Burggraben und ihre Einnahmequellen angegriffen werden.
      Kurz gesagt: Mit einem besseren staatlichen digitalen Identitätssystem würde dieses Problem verschwinden.
      Im Fintech-Bereich bin ich für Kunden-IAM einschließlich Identitätsprüfung zuständig, und als Bürgeraktivist arbeite ich auch ein wenig an Login.gov mit.
    • „Sicherheit aufrechtzuerhalten ist teuer“ mag bis zu einem gewissen Grad stimmen, aber wenn das gesamte Geschäft darin besteht, auf Grundlage der Identitäten von Menschen Garantien bereitzustellen, sollte man sich viel stärker bemühen, den Dienst sicherer zu machen.
      Wenn es zu teuer ist, ihn sicher zu betreiben, sollte man zuerst infrage stellen, ob ein solcher Dienst überhaupt existieren darf und ob er berechtigt ist, so viele persönliche und private Informationen zu speichern.
    • Auffällig ist, dass dieses Problem der Identitätsprüfung per SSN nicht in den Geltungsbereich der DSGVO fällt.
      Die DSGVO kann Bußgelder von bis zu 4 % des weltweiten Umsatzes verhängen.
  • Natürlich sind wir nicht die Kunden solcher Überwachungsunternehmen.
    Trotzdem ist es erstaunlich, dass ein praktisch völliges Fehlen von Sicherheit für die tatsächlichen Kunden kein Grund ist, die Geschäftsbeziehung zu beenden.
    Wenn sich mit diesem Dienst faktisch jeder als jemand anderes ausgeben kann, weiß ich nicht, wozu man ihn überhaupt nutzen sollte.

    • Diese Konten sind nicht für die Leute gedacht, die Experian Geld zahlen.
      Unternehmen zahlen Experian, um Zugriff auf Informationen über Einzelpersonen zu erhalten, und der einzige Grund, warum Experian Privatkonten zulässt, ist, dass sie gesetzlich verpflichtet sind, Dinge wie Kreditsperren oder jährliche Kreditauskünfte bereitzustellen.
      Wenn es keine Pflicht wäre, würden sie es gar nicht tun, und sie haben keinerlei Anreiz, Nutzererlebnis oder Sicherheit zu verbessern.
    • Ziel ist es, plausible deniability zu schaffen und das erhebliche Risiko des Identitätsdiebstahls so weit wie möglich vom Unternehmen auf die Verbraucher abzuwälzen.
    • Wenn Identitätsdiebstahl so verbreitet ist, dass die Daten statistisch unzuverlässig werden, wird der Zeitpunkt, an dem selbst der Kongress das Gefühl bekommt, etwas tun zu müssen, längst überschritten sein.
    • Hat man überhaupt eine Wahl? Wo ich lebe, kann man sich von Experian oder anderen Kreditauskunftsdiensten nicht abmelden.
    • Für personenbezogene Daten brauchen wir ein Gesetz wie HIPAA.
  • Wenn man einen Schritt zurücktritt und sich die Gesamtsituation ansieht, ist das eigentliche Problem das Fehlen von Datenschutzgesetzen.
    Banken, Unternehmen und Arbeitgebern sollte verboten werden, personenbezogene Informationen mit Dritten zu teilen.
    In der Schweiz, wo ich lebe, ist das tatsächlich so, und nicht einmal die Regierung bekommt diese Informationen.
    Wenn die Regierung Steuerhinterziehung vermutet, muss sie einen Durchsuchungsbeschluss einholen und dasselbe Verfahren wie bei anderen Straftaten einhalten.
    Die zugänglichen Finanzunterlagen sind nur die Aufzeichnungen über rechtmäßige Inkassoverfahren, die „Betreibungen“.
    Bevor man jemandem Kredit gewährt, kann man prüfen, ob jemand anders bis zu einer Klage gehen musste, um Geld zu bekommen.
    Und trotzdem funktioniert alles auch ohne Kreditauskunfteien mit so wenigen Informationen gut.
    Allerdings haben internationale Druckmittel wie FATCA dazu geführt, dass sich das Schweizer Recht geändert hat und Banken nun über internationale Kunden berichten müssen.

    • „Alles funktioniert gut“ war für Leute wie Diktatoren und Steuerhinterzieher sicher großartig.
      Die Schweiz zeigt gut, warum vollständige finanzielle Privatsphäre gegenüber normalen Steuerzahlern unfair ist.
      Denn sie ermöglicht es den Superreichen, die Steuern zu verbergen, die sie eigentlich zahlen müssten.
    • Dieses Problem ließe sich wohl lösen, wenn man die Sozialversicherungsnummer nicht wie einen ernsthaften Ersatz für einen sicheren staatlichen Ausweis behandeln würde.
    • Ich frage mich, wie sich die Schweizer Finanzprivatsphäre und die Gesetze zur Kreditauskunft von denen in EU-Ländern unterscheiden.
      Es heißt: „Etwa 36 % der Schweizer besitzen ein Haus oder eine Wohnung; das ist der niedrigste Wert in der westlichen Welt und liegt weit unter dem EU-Durchschnitt von 70 % und den 67 % in den USA.“
      Es gibt sicher viele Faktoren, aber wenn weniger Informationen über die Kreditwürdigkeit vorliegen, dürfte man weniger bereit sein, größere Käufe von jemandem zu finanzieren.
      [1] https://www.nytimes.com/2023/11/06/realestate/zurich-switzer...
    • Das stimmt wirklich.
      Das Unternehmen, bei dem ich arbeite, ist ein FAANG-Unternehmen, den Namen werde ich nicht nennen, und wenn dieses Unternehmen Daten kauft und Experian-Cookies erhält, nutzt es sie für besseres Tracking und den Aufbau von Graphen.
      Die USA sagen ständig, sie kümmerten sich um die Privatsphäre ihrer Bürger, aber in Wirklichkeit tun sie es nicht.
      Wenn Datenschutzgesetze streng durchgesetzt würden, hätte das wohl auch Auswirkungen auf Bereiche wie Bankkonten, weil Big Tech unter den Top-500-Aktien ganz oben steht.
  • Es gibt eine Resistbot-Petition, um dieses Problem den Gesetzgebern vor Augen zu führen.
    https://resist.bot/petitions/PONADR

    • Ich bin kein Amerikaner und sehe das zum ersten Mal, aber die Reichweite scheint begrenzt zu sein.
      https://resist.bot/petitions
      In Deutschland gibt es zum Beispiel Campact, und eine Petition bekommt dort normalerweise über 200.000 Unterschriften.
      Wenn es so etwas in den USA nicht gibt, sollte meiner Meinung nach jemand mit Geld es aufbauen oder eine bestehende Lösung wie OpenPetition bei genügend regelmäßigen Unterzeichnern bekannt machen.
      https://en.wikipedia.org/wiki/Campact
  • Wenn es drei Kreditauskunfteien gibt: Gibt es eine Möglichkeit, zu vermeiden, bei einer davon einen Credit Score zu haben?
    Ich denke, das könnte eine Möglichkeit sein, als Verbraucher den Wettbewerb in diesem Bereich zu erhöhen.
    Ich habe gesucht, aber eine einfache Option scheint es nicht zu geben.

    • Es gibt keine Möglichkeit, aus dem Credit Reporting auszusteigen.
      Kreditgeber melden Informationen normalerweise an alle drei großen Kreditauskunfteien. Damit also gar keine Informationen gemeldet werden, müsste man alle Kreditkarten und Kredite schließen und seine Kreditauskunft einfrieren lassen.
      Ich glaube nicht, dass „mehr Wettbewerb“ hier funktioniert.
      Wir sind nicht die Kunden der Kreditauskunfteien, sondern das Produkt; die Kunden sind die Kreditgeber und andere, die unsere Informationen brauchen.
      Aus Sicht der Kreditgeber funktioniert diese Struktur gut, weil die Verantwortung, die Identität eines Antragstellers vor der Kreditvergabe korrekt zu prüfen, nicht bei ihnen liegt, sondern als Last der „Identitätsdiebstahl“-Problematik auf die breite Öffentlichkeit abgewälzt wird.
      Der Begriff „Identitätsdiebstahl“ selbst ist eher eine irreführende Bezeichnung, die dazu dient, die Verantwortung auf Einzelpersonen abzuschieben.
      Idealerweise sollten Kreditgeber dafür verantwortlich sein, zu verhindern, dass Kriminelle meine Informationen missbrauchen, und es zu korrigieren, wenn Kriminelle versuchen, meine Informationen betrügerisch zu verwenden.
      Die bessere Lösung wäre, die Standards zur Identitätsprüfung der Kreditgeber anzuheben.
      Dann würde die Last, vor der Kreditvergabe tatsächlich die Identität zu prüfen, auf die Kreditgeber übergehen.
      Manche Kreditgeber prüfen tatsächlich ziemlich gut, andere scheinen die erhaltenen Informationen unkritisch zu akzeptieren.
      Hohe Standards in der gesamten Branche, ob freiwillig oder gesetzlich vorgeschrieben, würden bei der Lösung dieses Problems helfen.
    • Ich glaube, so eine Veränderung muss unbedingt passieren.
      Kreditauskunfteien funktionieren wie private Unternehmen für öffentliche Güter, bei denen es kaum Ausweichmöglichkeiten gibt.
      Wenn es wie bei Passwortmanager-Apps wäre, könnte man mehrere Anbieter bewerten, den gewünschten auswählen und bei Problemen jederzeit wechseln.
    • Das Problem ist, dass wir nicht die Verbraucher sind.
      Sie erhalten unsere Daten von allen Unternehmen, mit denen wir Geschäfte machen.
      Man müsste jede einzelne Verbindung zu Kreditauskunfteien ermitteln.
      Wahrscheinlich kann man sich in gewissem Maß vor deren „Ermittlungen“ schützen, wenn man keine Kreditkarten abschließt und keine Kredite aufnimmt.
    • Unternehmen melden ihnen Daten.
      Daher müsstest du Unternehmen vermeiden, die an eine bestimmte Stelle melden, aber normalerweise melden sie gleichzeitig an mehrere Auskunfteien.
    • Als Verbraucher ist das unmöglich.
      Als Unternehmen kann man an die Stelle melden, die man möchte.
  • Vor ein paar Tagen wollte ich mein Profil erstellen und mich einloggen, um zu sehen, was in meinem Konto passiert, aber die Website war so kaputt, dass ich mich nicht einmal anmelden konnte.
    Wenn nicht einmal ich selbst ich sein kann, weiß ich nicht, wie jemand anderes sich als mich ausgeben soll.

    • Um sich als dich auszugeben, muss man nur die Kanäle nutzen, die Experian-Kunden verwenden.
      Was du benutzt hast, ist kein Kanal für Experian-Kunden, sondern ein Kanal für Menschen, die für Experian eine Belastung sind.
  • In den letzten Wochen habe ich zahllose Kaufbestätigungen von großen Einzelhändlern wie Casas Bahia, Americanas und Magazine Luiza erhalten.
    Auf mehreren Rechnungen für Smartphones und Laptops stehen mein Name und meine CPF.
    Ich habe alle Einzelhändler kontaktiert, aber nur Magazine Luiza scheint den Betrug anerkannt und eine Warnung ausgegeben zu haben; trotzdem bekomme ich weiter Rechnungen.
    Ich habe die örtliche Polizei kontaktiert und ein boletim de ocorrência erhalten; ich weiß nicht, wie man das übersetzen soll, aber es ist ein Dokument, das das Problem und die Tatsache beschreibt, dass keine Gegenmaßnahmen ergriffen werden konnten.
    Ich bin sehr besorgt über die möglichen Nachwirkungen und fühle mich völlig machtlos, was meinen Identitätsschutz angeht.

    • Ich habe etwas Ähnliches erlebt und glaube, dass du gerade in die richtige Richtung gehst.
      Kontaktiere den Ombudsmann des jeweiligen Unternehmens, also die ouvidoria, und erkläre die Situation.
      Selbst wenn das Problem dadurch nicht wirklich gelöst wird, hast du einen Nachweis, dass du versucht hast, es gütlich zu klären.
      Im schlimmsten Fall kann der Einzelhändler die betrügerische Rechnung an ein Inkassounternehmen weitergeben und an Kreditauskunfteien melden.
      Du solltest auf diese betrügerische Forderung auf keinen Fall auch nur einen Cent zahlen und auch nicht verhandeln.
      Da es Betrug ist, ist die einzige Option, dass die Forderung verschwindet.
      Es geht um ihr Geld; wenn du zahlst, verlagert sich die Verantwortung auf dich.
      Du hast bereits das Boletim de Ocorrência und Belege für die Kontaktaufnahme mit dem Unternehmen, also Dokumente wie Vorgangsnummern und Daten. Wenn es bei Kreditauskunfteien landet, kannst du klagen und Schadenersatz verlangen.
      Das ist ein einfacher, häufiger Rechtsstreit, bei dem sowohl die Kreditauskunfteien als auch die Einzelhändler eine Einigung wollen werden.
      Sie haben deine Zeit in Anspruch genommen, also sollten sie dafür zahlen.
      Sie haben keinen Beweis dafür, dass du diese Transaktion durchgeführt hast.
      Und wenn Einzelhändler, Banken und Kreditkartenunternehmen Betrug wirklich vermeiden wollten, bräuchten alle Käufe und Anmeldungen Schutzmaßnahmen auf dem Niveau von Immobiliengeschäften.
      Unterschriften, persönliche Treffen, Vorauszahlung, Banken, Anwälte, Notare und sogar kryptografische Signaturen wären nötig; es gibt auch e-CPF, aber niemand nutzt es.
      Aber 100 % Betrugsvermeidung bedeutet Reibung, und normale Einzelhändler mögen keine Reibung.
      Am Ende ist es ihre geschäftliche Entscheidung, und sie akzeptieren das Risiko, um leichter an Geld zu kommen.
    • Wie funktioniert dieser Betrug? Kauft man etwas und gibt dem Verkäufer irgendeine Person, also deine Identitätsdaten, an?
  • In den meisten Kontexten ist es Verleumdung oder üble Nachrede, wenn man falsche Informationen auf eine Weise weitergibt, die jemandem schadet.
    Man sollte erneut prüfen, ob Credit Reporting eine Ausnahme von dieser Haftung verdient und unter welchen Bedingungen das der Fall sein sollte.

    • Genau.
      Wenn Kreditauskunfteien Kreditgebern falsche Informationen über uns übermitteln und wir deshalb keinen Kredit bekommen oder höhere Zinsen zahlen müssen, als gerechtfertigt wären, sollten wir eine Klage auf finanziellen Schadenersatz gewinnen können.
      Es sollte keine Rolle spielen, ob sie wussten, dass die Information falsch war.
      Denn ob es Fahrlässigkeit oder böse Absicht war: Der Schaden ist entstanden.
    • Tatsächlich funktioniert ihre Arbeitsweise eher nach dem Muster: „Unternehmen X hat mir gesagt, dass Person Y ein Konto hat.“
      Bei Personen, die keine Prominenten sind, braucht es für Verleumdung mindestens Fahrlässigkeit bei der Faktenprüfung.
      Das heißt, Fahrlässigkeit liegt nur vor, wenn es vernünftiges Wissen gibt, aufgrund dessen man glauben müsste, dass die Information falsch ist.
      Wenn du der Kreditauskunftei meldest, dass das Konto betrügerisch ist, teilst du ihr damit mit, dass dieses Konto tatsächlich nicht dir gehört; und wenn sie das Konto aus dem Bericht entfernt, entgeht sie der Haftung dafür, solche verleumderischen Informationen künftig weiterzuverbreiten.
  • Letzte Woche habe ich zweimal eine Benachrichtigung über eine Datenpanne bekommen.
    Eine kam von meinem Gesundheitsdienstleister, die andere von der Bank, die meine Hypothek hält.
    Beide sagten, ich solle meine Kreditakte sperren, und boten ein Jahr kostenlose Kreditüberwachung an.
    Das ist lächerlich unzureichend, und ich denke, dass es in diesem Bereich mehr Regulierung braucht.
    Es sollte lebenslange Kreditüberwachung geben, eine vollständige Versicherung gegen jeden Finanzbetrug in meinem Namen sowie sofortige pauschale Schadenersatzleistungen.
    Die Ursache liegt darin, dass das Identitätssystem in den USA ein Chaos ist.
    Es unterscheidet nicht zwischen eindeutigem Identifikator, also der SSN, und einem geheimen Wert, ebenfalls der SSN.
    Alle anderen Sicherheitsfragen sind letztlich auch nur Varianten desselben Authentifizierungsfaktors „etwas, das man weiß“, den Betrüger leicht herausfinden können.
    Es gibt buchstäblich keine allgemein akzeptierte Methode, um zu beweisen, dass du wirklich du bist.
    Die DMV sollte anfangen, Ausweise auszugeben, die wie Kreditkarten physische und digitale Funktionen haben.
    Wir brauchen so etwas wie Apple Pay oder Android Pay für Online-Identitätsprüfung, und Banken sollten verpflichtet werden, digitale Ausweise zu unterstützen.
    Außerdem muss gegen Leute, die digitale Ausweise missbrauchen, hart durchgegriffen werden.
    Ich denke, dass jedes Jahr mindestens zig Milliarden Dollar des BIP durch Betrug verschwinden, weil dieses Problem ignoriert wird.
    Noch wichtiger ist, dass unser Status als Rechtsstaat schleichend erodiert.

    • Bei der Forderung, dass die DMV physische Ausweise mit digitalen Funktionen ausgeben sollte, besteht das Problem, dass es eine sehr lautstarke Gruppe gibt, die so etwas von staatlicher Übergriffigkeit bis hin zu buchstäblich dem Zeichen des Teufels sieht.
      Schon die Ausstellung selbst ist schwierig, und die Bundesstaaten, die üblicherweise Wahllokale in Arbeiterklassevierteln schließen und die DMV-Budgets kürzen, werden sich bis zum Schluss gegen jede Umsetzung wehren, die für alle kostenlos sein müsste.
    • Wie soll das alles online magisch funktionieren?
      Die Antwort ist, dass man irgendeinen digitalen Geheimwert bereitstellen müsste, der Zugriff gewährt, so wie man heute die SSN angibt.
      Dann würde dieser digitale Geheimwert an denselben Online-Orten liegen, an denen heute die SSN liegt, und wäre für dieselbe Art von Hacks anfällig.
      Ich sehe nicht, was das beheben soll.
  • Ich habe dem Rat im Artikel folgend ein Konto erstellt, damit es niemand anderes registrieren kann, und offenbar wurde ich automatisch für ein digitales Girokonto angemeldet.
    So etwas wollte ich überhaupt nicht.