Asettavatko teknologiayritykset käyttäjät identiteettivarkauksien vaaraan?

December 02, 2021
SisäänUutiset Internet Turvallisuus

Avaimet takeawayt

Sosiaalisen median yritykset ovat pyytäneet käyttäjiltä henkilöllisyystodistuksia ja muita asiakirjoja noin 2004 lähtien.
Viime vuosina niiden teknologiayritysten määrä, jotka pyytävät käyttäjiltä heidän tunnuksiaan, on lisääntynyt kattamaan kaikki tärkeimmät alustat Yhdysvalloissa.
Asiantuntijat varoittavat, että yrityksille henkilöllisyystodistusten antaminen voi vaarantaa identiteettivarkauden.

studiokuva kädestä, jolla on sosiaaliturvakortti — Kameleon007 / Getty Images

Applen äskettäisen muutoksen jälkeen sallia iPhone-käyttäjien tallentaa ID-puhelimeensa iOS 15:llä, asiantuntijat varoittivat, että käytäntö saattaa olla turvatonta– Mutta entä teknologiayritysten kasvava trendi, joka pyytää käyttäjiä antamaan henkilöllisyytensä ikänsä tai henkilöllisyytensä vahvistamiseksi?

Asiantuntijat sanovat, että se voi olla myös riskialtista.

Viime syyskuussa YouTubesta tuli uusin monissa alustoissa, jotka nyt pyytävät käyttäjiä lähettämään henkilöllisyystodistuksensa vahvistusta varten. Vaikka yritys selitetty blogikirjoituksessa

että uusi käytäntö oli linjassa tulevien eurooppalaisten säädösten ja emoyhtiön Googlen maakohtaisten säännösten kanssa ikäsäännötMuut yritykset, kuten Facebook, Instagram ja LinkedIn, ovat kaikki noudattaneet samanlaisia henkilöllisyyden vahvistuskäytäntöjä vuosia.

"Mitä enemmän asiakirjoja ja kohteita toimitat mille tahansa organisaatiolle, on aina olemassa riski." James E. Lee, operatiivinen johtaja Identiteettivarkauksien resurssikeskus, kertoi Lifewire puhelinhaastattelussa.

Riskien ymmärtäminen

Leen mukaan henkilöllisyyden vahvistuskäytännöt ovat samankaltaisia kuin ne LinkedIn, Facebook, Instagram, ja muut johtuvat hieman äskettäin siirtyneestä nimettömyydestä sosiaalisten sivustojen käyttäjien "oikean nimen" vaatimuksiin.

"Yksityisyyden näkökulmasta katsottuna, jos sallitte nimettömyyden, sinulla ei ollut vaaraa tietosuojaloukkauksesta tai kyberturvallisuusongelmasta", Lee sanoi. "Sillä ei ollut sama riskitaso yksilöille. Joten suurin osa sosiaalisesta mediasta, erityisesti, alkoi ajatuksesta nimettömänä."

Tällä nimettömyydellä oli kuitenkin kääntöpuolensa, ja ajan myötä yritykset alkoivat tunnistaa mahdollisia turvallisuusriskejä, jotka johtuvat siitä, etteivät tienneet kenen kanssa olet tekemisissä näytön toisella puolella.

"Kun [nämä ongelmat] alkoivat tulla esiin, ne liittyivät enemmän yleiseen turvallisuuteen. Et tajunnut kenen kanssa olit tekemisissä toisessa päässä..." Lee sanoi. "Joten sitten aloit nähdä organisaatioiden sanovan: "Okei, sinun on annettava meille oikea nimesi."

Lieventääkseen nimettömyyteen liittyviä riskejä jotkin yritykset alkoivat toteuttaa "oikean nimen" käytäntöjä - jotka ironisesti eivät olleet kiistattomia.

"Mitä enemmän asiakirjoja ja kohteita toimitat mille tahansa organisaatiolle, sitä riski on aina olemassa."

Vuonna 2014 Facebookin tuotejohtaja Chris Cox lähetti anteeksipyynnön drag- ja LGBTQ-yhteisöjen jäsenten odottamattomista tilisulkuista yrityksen politiikan vuoksi.

Hän huomautti: "Tapa, jolla tämä tapahtui, sai meidät epävarmaksi. Eräs Facebookissa oleva henkilö päätti ilmoittaa useista sadoista näistä tileistä väärennetyiksi", selittäen, että tuolloin 10 vuotta vanha käytäntö suojasi edelleen käyttäjiä todellisilta väärennetyiltä tileiltä.

Vaikka useimmat sosiaalisen median verkostot pyysivät käyttäjiä alun perin vahvistamaan henkilöllisyytensä vaarallisemmilla tavoilla, kuten Vahvistaessaan sähköpostiosoitteensa tai puhelinnumeronsa, monet laajenivat ajan mittaan vaatimaan viranomaisen myöntämää henkilötodistusta tai muuta yhtä arkaluonteisia asiakirjoja.

"Nyt olemme menossa pisteeseen, jossa todella keräämme valtuustietoja", Lee sanoi. "Ja siellä olemme palanneet täysillä siihen, missä on ongelma - ainakin ongelman riski on olemassa."

Turvallisuuskysymykset

Vaikka sosiaalisen median käyttäjien oikeiden henkilöiden todentaminen on yleensä hyvä asia, identiteettivarkauden riski on väistämätön, kun yritykset keräävät käyttäjien tunnuksia heidän henkilöllisyytensä vahvistamiseksi.

"On hyvä varmistaa, että henkilö on se, mitä hän sanoo olevansa missä tahansa sosiaalisessa mediassa. Se ratkaisee monia vaivoja..." Lee sanoi. "Mutta uskomme, että ylität rajan, kun alat kerätä valtuustietoja."

Nainen, joka maksaa puhelimella luottokortilla — Peter M. Fisher / Getty Images

Yksi ilmeisemmistä henkilöasiakirjojen keräämiseen liittyvistä riskeistä on tietomurron riski – loputtomalta vaikuttava ilmiö, joka johti dramaattinen nousu viime vuonna paljastettujen levyjen määrässä.

Nämä riskit eivät ole ennennäkemättömiä. Vuonna 2016 Uber koki tietomurron, joka johti hakkereihin saada noin 600 000 ajokorttia, yrityksen blogissa olevan viestin mukaan.

Lifewire otti yhteyttä Googleen, YouTubeen, Facebookiin, Instagramiin ja LinkedIniin selvittääkseen, miten käyttäjien henkilöllisyystodistuksia käytetään ja ylläpidetään, mutta emme ole vielä saaneet vastausta.

Luottamus ongelmia

Vaikka useimpien yritysten henkilöllisyyden vahvistuskäytännöt lupaavat poistaa käyttäjien tunnukset tietyn ajan kuluessa, nämä lupaukset perustuvat luottamukseen.

"Tiedon lähettäjänä et tiedä. Sinulle ei anneta ilmoitusta joka kerta, kun se jaetaan. Sinulle ei anneta ilmoitusta, kun se teoreettisesti tuhoutuu", Lee sanoi. "Ja koska et tiedä kenelle se on jaettu, et tiedä heidän politiikkansa."

Tästä syystä Lee neuvoo käyttäjiä punnitsemaan huolellisesti mahdollisia seurauksia henkilöllisyytensä toimittamisesta yrityksille verkossa.

"Jos annat jollekulle ajokorttisi, oletko tyytyväinen, jos hän menettää sen hallinnan? Ensimmäinen vaistosi on yleensä paras vaistosi", Lee sanoi.