Seu número de Seguro Social já foi hackeado. Por que ainda os temos?

Apesar de uma série de violações de segurança e do fato de que os números nunca foram particularmente secretos, muitas instituições ainda os tratam como senhas.

Seu número de Seguro Social já foi hackeado. Por que ainda os temos?

Com relatos de uma violação massiva de dados na Capital One nesta semana, veio um aviso agora familiar: cerca de 140.000 números de seguridade social dos candidatos ao cartão de crédito do banco foram aparentemente roubados, junto com outros 80.000 números de contas bancárias.



O anúncio da Capital One veio logo depois que um acordo de $ 700 milhões foi anunciado pela Federal Trade Commission na violação de dados de 2017 na Equifax, que expôs mais de 140 milhões de números da Previdência Social.

E mesmo antes de grandes violações se tornarem comuns nos últimos anos, os números da Previdência Social estavam longe de ser secretos. Eles são amplamente compartilhados com empregadores, consultórios médicos, escolas e bancos. Por décadas, eles foram frequentemente impressos em cartões de identificação, desde carteiras de motorista até carteiras de estudante universitárias.



O fato de serem usados ​​por tantas instituições diferentes os torna genuinamente úteis para garantir que dois arquivos diferentes realmente se refiram à mesma pessoa chamada, por exemplo, John Smith. Mas também os torna cada vez mais inúteis como senhas secretas.



Compartilhamos nossos números de previdência social com cada empresa onde já trabalhamos, cada instituição financeira onde abrimos uma conta e inúmeras outras organizações ao longo de nossa vida, escreve Mike Chapple , um professor associado de TI, análise e operações na Mendoza College of Business de Notre Dame, em um e-mail para Fast Company . Esse compartilhamento generalizado de nossos números de seguro social os torna totalmente inadequados para uso como prova de nossas identidades.

Por gerações, eles foram gerados de uma forma que os torna fácil de adivinhar se você sabe quando alguém nasceu.

Mesmo assim, os números da Previdência Social são usados ​​rotineiramente para ajudar a verificar a identidade do consumidor em todos os tipos de instituições, seja solicitando crédito ou ligando para fazer perguntas sobre uma conta bancária ou apólice de seguro. Especialistas dizem que isso ocorre em parte porque mudar para um sistema mais seguro é genuinamente desafiador - e em parte por causa da inércia por parte das empresas e reguladores que poderiam implementar maneiras mais seguras para as pessoas demonstrarem suas identidades.

O conhecimento é uma espécie de fruto mais fácil



Bancos e outras instituições aceitam algumas fraudes como custo de fazer negócios, diz Jim Fenton , um consultor de tecnologia independente que trabalhou em questões de identidade e privacidade.

Eles podem lidar com isso da mesma forma que as lojas lidam com furtos em lojas, diz ele. Eles aceitam um certo grau de furto em lojas como o que chamam de redução.

Afinal, o custo de lidar com algumas transações fraudulentas de cartão de crédito ou mesmo empréstimos contraídos sob nomes falsos muitas vezes é insignificante em comparação com o custo de atualizar computadores legados para lidar com uma verificação de identidade mais sofisticada. E a mudança para sistemas que exigem que os usuários façam mais do que provar que sabem um código como número do Seguro Social, senha ou PIN requer algumas configurações, diz Pat Cox, vice-presidente da empresa de telecomunicações e tecnologia Neustar .



A biometria é complicada porque você tem que primeiro capturar a impressão digital, diz ele. O conhecimento é uma espécie de fruto mais fácil. Esse é o problema.

Embora muitas instituições tenham procurado maneiras alternativas de verificar identidades, de tecnologia de blockchain a biometria, elas também são naturalmente relutantes em investir em uma tecnologia que pode acabar sendo um beco sem saída, diz Neal O’Farrell, diretor executivo da organização sem fins lucrativos Identity Theft Council .

As empresas também não viram tanta pressão dos clientes - talvez em parte porque os consumidores não viram danos concretos o suficiente das violações de dados para serem motivados a, digamos, boicotar as empresas que foram atingidas por eles, diz ele.

Até que isso aconteça, não há nenhuma urgência real para essas organizações assumirem o risco e investimento maciço de despejar o número da Previdência Social por alguma alternativa, diz O’Farrell.

Apesar dos acordos recentes com empresas como Equifax e Facebook, os defensores também argumentam que legisladores e reguladores não fizeram o suficiente para estimular as grandes corporações a investir pesadamente em privacidade.

Os legisladores federais têm tirado enormes quantias de dinheiro dos setores de tecnologia e bancário e se recusado a fazer qualquer coisa significativa para proteger a privacidade e a segurança das pessoas, disse Laila Abdelaziz, ativista do grupo de direitos digitais Lute pelo Futuro , em um comunicado. O Congresso curvou-se às demandas da indústria para que se autorregulassem e, como resultado, colocaram em risco a segurança de toda a nação. Violações como esta continuarão a acontecer até que o Congresso aprove fortes proteções exigindo que empresas privadas criem tecnologia com a segurança das pessoas em mente.

A promessa do sistema de identificação digital da Estônia

Alguns outros países, talvez mais notavelmente Estônia , configuraram sistemas nacionais de identificação digital que as pessoas podem usar para provar quem são on-line ou pessoalmente, sem simplesmente depender de um código do tipo senha, como os números da Previdência Social dos EUA. É semelhante em conceito a como os telefones celulares modernos podem se identificar com segurança nas redes sem serem clonados por fraudadores próximos.

Não é uma panacéia: os IDs digitais da Estônia tiveram que ser atualizados em 2017 depois algumas vulnerabilidades de segurança foram descobertos no código subjacente. E muitos especialistas sugeriram que seria difícil adotá-lo nos Estados Unidos, onde a ideia de um cartão de identidade nacional há muito tempo deixa as pessoas desconfiadas, mesmo apesar dos números e cartões do Seguro Social serem essencialmente obrigatórios para a maioria dos cidadãos simplesmente para trabalhar, bancar, dirigir, e pagar impostos.

Suas atitudes em relação a esse tipo de coisa são um fenômeno muito específico da cultura, diz Fenton. Os EUA não querem que as pessoas tenham uma carteira de identidade governamental centralizada.

como mudar a aparência do gmail

Outro desafio, diz Steven Bellovin , um professor de ciência da computação na Universidade de Columbia, é que mesmo o sistema de identificação mais seguro tem que lidar com pessoas que tiveram suas identidades perdidas ou roubadas, o que muitas vezes significa identificar as pessoas por algum meio menos seguro.

Para ter certeza, muitas organizações tomaram medidas para reforçar a segurança além de apenas solicitar números e senhas do Seguro Social. De provedores de e-mail a bancos, muitas instituições permitem que os clientes configurem a autenticação de dois fatores, em que também precisam verificar sua identidade com identificadores biométricos, como uma impressão digital ou prova de que possuem um dispositivo, como um smartphone. E algumas organizações começaram a exigir que os novos clientes provassem quem são enviando, digamos, uma selfie com uma identificação, como uma carteira de motorista, mas isso não é universal.

Uma maneira de apressar as coisas, sugeriu Chapple em um recente artigo de opinião para a CNN, seria o governo simplesmente publicar o número da Previdência Social de todos após um prazo de, digamos, cinco anos. Ao tornar os números oficialmente públicos, as autoridades forçariam as empresas a reconhecer o que algumas vítimas de fraude já aprenderam da maneira mais difícil: os números da Previdência Social simplesmente não são particularmente secretos.

A publicação desses números removeria a falsa presunção de que há algum sigilo nesses números e exigiria que as instituições financeiras e outros adotassem técnicas de autenticação mais fortes, diz ele Fast Company . É um trabalho difícil que levará tempo, portanto, definir um prazo de cinco anos a partir de agora fornece tempo suficiente para o trabalho técnico, processual e jurídico necessário para abandonar o uso de SSNs.