Setter teknologiselskaper brukere i fare for identitetstyveri?

December 02, 2021
INyheter Internett Sikkerhet

Viktige takeaways

Sosiale medieselskaper har bedt brukere om deres IDer og andre dokumenter for å bekrefte identiteten deres siden rundt 2004.
De siste årene har antallet teknologiselskaper som ber brukere om ID-er økt til å inkludere alle de store plattformene i USA.
Eksperter advarer om at å gi bedrifter med ID-en din kan sette deg i fare for identitetstyveri.

studiobilde av hånd som holder trygdekort — Kameleon007 / Getty Images

Etter Apples nylige trekk for å tillate iPhone-brukere å lagre ID-en sin på telefonen med iOS 15, advarte eksperter om at praksisen kan være utrygt– men hva med den økende trenden med teknologiselskaper som ber brukere om å oppgi ID for å bekrefte deres alder eller identitet?

Eksperter sier at det også kan være risikabelt.

I september i fjor ble YouTube den siste i en rekke plattformer som nå ber brukere sende inn identitetsdokumentene sine for verifisering. Selv om selskapet forklart i et blogginnlegg at den nye policyen var i tråd med kommende europeiske forskrifter og morselskapet Googles landsspesifikke

aldersregler, andre selskaper som Facebook, Instagram og LinkedIn har alle håndhevet lignende retningslinjer for identitetsbekreftelse i årevis.

"Jo flere dokumenter og gjenstander du gir til en organisasjon, det er alltid en risiko," James E. Lee, driftssjef ved Ressurssenter for identitetstyveri, fortalte Lifewire i et telefonintervju.

Forstå risikoene

Ifølge Lee er retningslinjer for identitetsbekreftelse som de som brukes av LinkedIn, Facebook, Instagram, og andre stammer fra et noe nylig skifte fra krav til anonymitet til "ekte navn" for brukere på sosiale nettsteder.

"Fra et personvernperspektiv, hvis du tillot anonymitet, hadde du ikke risikoen for verken et brudd på personvernet eller et cybersikkerhetsproblem," sa Lee. "Det hadde ikke samme risikonivå for individene. Så de fleste sosiale medier, spesielt, begynte med ideen om anonymitet."

Denne anonymiteten hadde imidlertid en bakside, og over tid begynte selskaper å gjenkjenne de potensielle sikkerhetsrisikoene ved å ikke vite hvem du samhandler med på den andre siden av skjermen.

"Da [disse problemene] først begynte å dukke opp, var de mer rundt offentlig sikkerhet. Du skjønte ikke hvem du hadde å gjøre med i den andre enden...» sa Lee. "Så da begynte du å se organisasjoner som sa: 'Ok, du må gi oss ditt virkelige navn'."

For å redusere risikoen forbundet med anonymitet, begynte noen selskaper å implementere retningslinjer for "ekte navn" - som ironisk nok ikke var uten kontroverser i seg selv.

"Jo flere dokumenter og gjenstander du gir til en organisasjon, det er alltid en risiko."

I 2014, Facebooks Chief Product Officer Chris Cox la ut en unnskyldning for uventede kontosperringer av medlemmer av drag- og LHBTQ-miljøene på grunn av selskapets retningslinjer.

Han bemerket: "Måten dette skjedde tok oss på vakt. En person på Facebook bestemte seg for å rapportere flere hundre av disse kontoene som falske," og forklarer at den da 10 år gamle policyen fortsatt tjente til å beskytte brukere mot faktiske falske kontoer.

Selv om de fleste sosiale medienettverk i utgangspunktet ba brukere om å bekrefte identiteten sin på mer uskyldige måter, som bekrefter e-postadressen eller telefonnummeret deres, over tid utvidet mange seg til å kreve offentlig utstedt ID eller annet lignende sensitive dokumenter.

"Nå kommer vi til et punkt hvor vi faktisk samler inn legitimasjon," sa Lee. "Og det er her vi er tilbake i full sirkel til der det er et problem - i det minste er det en risiko for et problem."

Sikkerhetsspørsmål

Selv om det generelt er en god ting å verifisere at brukere av sosiale medier er ekte mennesker, er risikoen for identitetstyveri uunngåelig når selskaper samler inn brukeres IDer for å bekrefte identiteten deres.

"Det er godt å bekrefte at en person er den de sier de er i alle sosiale medier. Det løser en mengde sykdommer ..." sa Lee. "Men der vi tror du går over grensen er når du begynner å samle inn legitimasjon."

Kvinne som betaler over telefon med kredittkort — Peter M. Fisher / Getty Images

En av de mer åpenbare risikoene for innsamling av identifiserende dokumenter er risikoen for et datainnbrudd – et tilsynelatende uendelig fenomen som resulterte i en dramatisk økning i antall eksponerte rekorder i fjor.

Disse risikoene er ikke uten presedens. I 2016 opplevde Uber et datainnbrudd som resulterte i hackere tilgang til rundt 600 000 førerkort, ifølge et innlegg på selskapets blogg.

Lifewire tok kontakt med Google, YouTube, Facebook, Instagram og LinkedIn for å finne ut hvordan brukernes identitetsdokumenter brukes og vedlikeholdes, men vi har ennå ikke mottatt svar.

Tillit problemer

Selv om de fleste selskapers retningslinjer for identitetsbekreftelse lover å slette brukernes IDer innen en bestemt tidsramme, er disse løftene avhengige av tillit.

"Som personen som sender inn dataene, vet du ikke. Du får ikke et varsel hver gang det deles. Du får ikke et varsel når det teoretisk er ødelagt," sa Lee. "Og fordi du ikke vet hvem det er delt med, vet du ikke hva retningslinjene deres er."

På grunn av det råder Lee brukere til å nøye overveie de potensielle konsekvensene av å oppgi ID-en sin til selskaper på nettet.

«Hvis du gir noen førerkortet ditt, er du komfortabel hvis de mister kontrollen over det? Ditt første instinkt er vanligvis ditt beste instinkt," sa Lee.