Lopen technische bedrijven gebruikers het risico van identiteitsdiefstal?

Na de recente stap van Apple om iPhone-gebruikers toe te staan ​​hun ID op hun telefoon op te slaan met iOS 15, waarschuwden experts dat de praktijk kan onveilig zijn-maar hoe zit het met de groeiende trend van technologiebedrijven die gebruikers vragen om hun identiteitsbewijs te verstrekken om hun leeftijd of identiteit te verifiëren?

Experts zeggen dat dat ook riskant kan zijn.

Afgelopen september werd YouTube het nieuwste in een hele reeks platforms die gebruikers nu vragen om hun identiteitsdocumenten ter verificatie in te dienen. Hoewel het bedrijf

uitgelegd in een blogpost dat het nieuwe beleid in overeenstemming was met de komende Europese regelgeving en het landspecifieke van moederbedrijf Google leeftijdsregels, andere bedrijven zoals Facebook, Instagram en LinkedIn hebben al jaren een soortgelijk identiteitsverificatiebeleid afgedwongen.

"Hoe meer documenten en items u aan een organisatie verstrekt, er is altijd een risico", Jacobus E. Lee, Chief Operating Officer bij de Informatiecentrum voor identiteitsdiefstal, vertelde Lifewire in een telefonisch interview.

De risico's begrijpen

Volgens Lee is het beleid voor identiteitsverificatie zoals dat wordt gebruikt door: LinkedIn, Facebook, Instagram, en andere komen voort uit een enigszins recente verschuiving van anonimiteit naar 'echte naam'-vereisten voor gebruikers op sociale sites.

"Vanuit een privacyperspectief, als je anonimiteit toestaat, dan had je geen risico op een privacyschending of een cyberbeveiligingsprobleem," zei Lee. "Het had niet hetzelfde risico voor de individuen. Dus met name de meeste sociale media begonnen met het idee van anonimiteit."

Die anonimiteit had echter een keerzijde en na verloop van tijd begonnen bedrijven de potentiële veiligheidsrisico's te herkennen van het niet weten met wie je aan de andere kant van het scherm communiceert.

"Toen [die problemen] voor het eerst aan de oppervlakte kwamen, hadden ze meer te maken met de openbare veiligheid. Je besefte niet met wie je aan de andere kant te maken had..." zei Lee. "Dus toen begon je organisaties te zien die zeiden: 'Oké, je moet ons je echte naam geven.'"

Om de risico's van anonimiteit te verkleinen, begonnen sommige bedrijven een 'echte naam'-beleid te implementeren, dat ironisch genoeg zelf niet onomstreden was.

In 2014, Facebook Chief Product Officer Chris Cox heeft een verontschuldiging geplaatst voor de onverwachte accountvergrendelingen van leden van de drag- en LGBTQ-gemeenschappen als gevolg van het bedrijfsbeleid.

Hij merkte op: "De manier waarop dit gebeurde, heeft ons overrompeld. Een persoon op Facebook besloot enkele honderden van deze accounts als nep te melden", en legde uit dat het toen 10 jaar oude beleid nog steeds diende om gebruikers te beschermen tegen echte nepaccounts.

Hoewel de meeste sociale-medianetwerken gebruikers in eerste instantie vroegen om hun identiteit op meer onschadelijke manieren te verifiëren, zoals: door hun e-mailadres of telefoonnummer te bevestigen, breidden velen zich in de loop van de tijd uit tot een door de overheid uitgegeven identiteitsbewijs of andere vergelijkbare gevoelige documenten.

"Nu komen we op een punt waarop we echt referenties verzamelen," zei Lee. "En dat is waar we terug zijn in de cirkel waar er een probleem is - er is tenminste een risico op een probleem."

Veiligheidsvragen

Hoewel het over het algemeen een goede zaak is om te verifiëren dat gebruikers van sociale media echte mensen zijn, is het risico van identiteitsdiefstal onvermijdelijk wanneer bedrijven de ID's van gebruikers verzamelen om hun identiteit te bevestigen.

"Het is goed om te verifiëren dat een persoon is wie hij zegt dat hij is in een sociale media-omgeving. Het lost een groot aantal kwalen op..." zei Lee. "Maar waar we denken dat je de grens overschrijdt, is wanneer je begint met het verzamelen van inloggegevens."

Een van de meer voor de hand liggende risico's voor het verzamelen van identificerende documenten is het risico van een datalek - een schijnbaar eindeloos fenomeen dat resulteerde in een dramatische toename in het aantal records dat vorig jaar is blootgesteld.

Die risico's zijn niet zonder precedent. In 2016 kreeg Uber te maken met een datalek dat resulteerde in hackers toegang tot ongeveer 600.000 rijbewijzen, volgens een bericht op de blog van het bedrijf.

Lifewire heeft contact gezocht met Google, YouTube, Facebook, Instagram en LinkedIn om erachter te komen hoe de identiteitsdocumenten van gebruikers worden gebruikt en onderhouden, maar we hebben nog geen reactie ontvangen.

Vertrouwensproblemen

Hoewel het identiteitsverificatiebeleid van de meeste bedrijven belooft om de ID's van gebruikers binnen een bepaald tijdsbestek te verwijderen, zijn die beloften gebaseerd op vertrouwen.

"Als de persoon die de gegevens indient, weet u het niet. Je krijgt niet elke keer dat het wordt gedeeld een melding. Je krijgt geen bericht wanneer het in theorie is vernietigd', zei Lee. "En omdat je niet weet met wie het is gedeeld, weet je niet wat hun beleid is."

Daarom raadt Lee gebruikers aan om de mogelijke gevolgen van het online verstrekken van hun identiteitsbewijs aan bedrijven zorgvuldig af te wegen.

"Als je iemand je rijbewijs geeft, voel je je dan op je gemak als ze de controle erover verliezen? Je eerste instinct is meestal je beste instinct', zei Lee.