Vor drei Jahren eröffnete ich eine Kolumne durch die Durchsicht einer Reihe belastender Datenhacks und -lecks, die schrecklich aussahen zu der Zeit:
An einem Montag gibt es ein Datenleck, das eine halbe Milliarde Facebook-Konten betrifft. Bis Dienstag hat ein Bot 500 Millionen LinkedIn-Konten gekratzt. Dann, am Mittwoch, kündigt die Stanford University einen Hack an, der Tausende von Sozialversicherungsnummern und Finanzdetails offengelegt hat. Und am Donnerstag gibt das weltweit größte Luftfahrt-IT-Unternehmen bekannt, dass möglicherweise bei einem Cyberangriff auf 90% von Passagierdaten zugegriffen wurde. Usw. Der Kreislauf ist endlos.
Diese Woche werden wir mit einer neuen Ladung kompromittierter Daten konfrontiert, die eine Großbank und FinTech-Plattformanbieter sowie ein Identitätsüberprüfung Unternehmen.
Anstatt für ein nationales Datenschutzgesetz mit Biss zu plädieren, das dem ein Ende bereiten könnte, wie ich es formuliert habe, zu oft Jetzt ist eine bessere Gelegenheit zu fragen, warum diese Unternehmen überhaupt über diese Informationen verfügten und warum die KYC/AML-Richtlinien, die eine solche Datenerfassung erfordern sollte drastisch reformiert werden, um die Verbraucher besser davor zu schützen, dass so etwas noch einmal passiert.
Das ID-Leck dürfte die Aussichten für KOSA und andere Gesetzesentwürfe trüben
Der erste Hack des Identitätsüberprüfungsunternehmens war Berichten zufolge die Folge der über ein Jahr lang offengelegten Verwaltungsschlüssel.
Wie gemeldet von 404 Media, dem israelischen Sicherheitsunternehmen AU10TIX Die Hauptanmeldeinformationen zu ihrer Protokollierungsplattform waren irgendwie öffentlich in ihrem Datenbankverzeichnis einsehbar, das „Links zu Daten enthielt, die sich auf bestimmte Personen bezogen, die ihre Ausweisdokumente hochgeladen hatten.“
Durch einen anschließenden Schadsoftwareangriff erhielten Hacker Zugriff auf Namen, Geburtsdaten, Nationalitäten und Identifikationsnummern sowie auf Kopien hochgeladener Führerscheine und anderer Identitätsdokumente in voller Auflösung.
Links und Beispiele dieser Daten wurden auf verschiedenen Kanälen auf Telegram gepostet. Dabei wurde Zugriff auf den Informationscache verkauft, der möglicherweise die persönlichen Daten von Hunderten Millionen Benutzern offenlegen könnte.
Das Identitätsunternehmen war ein bevorzugter Verifizierungsdienst für große Plattformen, darunter X, Fiverr, PayPal, Coinbase, LinkedIn, Upwork und viele mehr, obwohl wir keine Bestätigung erhalten haben, welche Plattform am stärksten betroffen war.
Warum ist das wichtig?
Erstens bedeutet die Tatsache, dass diese Daten verfügbar sind – ob auf .onion-Websites im Darknet oder anderswo –, dass potenziell Hunderte Millionen Amerikaner anfällig für Identitätsdiebstahl, Erpressung oder erheblichen finanziellen oder persönlichen Schaden sein könnten. Selbst wenn der Schaden nicht heute eintritt, ist es praktisch kostenlos, diese Zugangsdaten und Informationen zu speichern und später von Kriminellen als Waffe einzusetzen.
Zweitens sind Unternehmen verpflichtet, diese Daten zu sammeln und zu speichern, um verschiedene Gesetze einzuhalten. Und es könnten noch weitere hinzukommen.
Wie wies darauf hin von R Street's Shoshana WeissmanDieser jüngste Hackerangriff dürfte die Aussichten für die verschiedenen Versuche auf Landes- und Bundesebene, für Onlinedienste für Kinder und Erwachsene eine ID-Verifizierung vorzuschreiben, erneut trüben – sei es in den sozialen Medien, auf Pornoseiten oder sogar bei rudimentären Zahlungsdiensten.
Ob es sich um die vorgeschlagene Gesetz zur Online-Sicherheit von Kindern (KOSA), oder verschiedene staatliche Gesetze, die darauf abzielen, junge Menschen von der Nutzung oder dem Zugriff auf Onlinedienste auszuschließen, kann es nachweislich mehr Schaden als Nutzen anrichten, wenn man jemanden zwingt, seinen Lichtbildausweis und seine persönlichen Daten hochzuladen, nur um eine Website oder einen Dienst zu nutzen.
Sind Maßnahmen, die sicherstellen sollen, dass junge Menschen bestimmte Websites nicht nutzen können, den Aufwand wert, wenn die Daten aller Nutzer in die von Hackern verseuchten Gewässer des Internets gelangen? Unserer Meinung nach: Nein.
Der Finanzhack, der das KYC- und AML-Regime untergraben sollte
Der zweite bedeutende Hack, der wahrscheinlich nicht nur persönliche Identitäten, sondern wahrscheinlich auch Milliarden von Dollar betrifft, ist der Ransomware-Angriff auf Evolve Trust und Bank.
Das "Cybersicherheitsvorfall“ der vertrauenswürdigen Bank und Partner von Hunderten von FinTech-Diensten wurde auf verschiedenen Darknet-Websites veröffentlicht und enthält Sozialversicherungsnummern, Kontonummern, Kontostände, Telefonnummern, Adressen und vieles mehr.
Unter Berücksichtigung der bedeutender Schatz von wertvollen Finanzinformationen einschließlich sogar individualisierter Transaktionenhandelt es sich dabei wahrscheinlich um einen der teuersten Hackerangriffe, der jemals bei einem amerikanischen Finanzinstitut stattgefunden hat.
Warum hatte diese Bank alle diese Informationen parat?
Aufgrund der verschiedenen in den Vereinigten Staaten geltenden „Know Your Customer“- und „Anti-Geldwäsche“-Gesetze sind Finanzinstitute verpflichtet, diese Informationen zu erfassen und zu speichern für den Fall, dass die Regierung einen Prozess gegen einen Kunden aufbauen möchte.
Es gibt zahlreiche Gesetze, die dies vorschreiben, und die Strafen bei Nichteinhaltung sind entsprechend hoch.
Der Bank Secrecy Act, der PATRIOT Act, das Customer Identification Program der FDIC, der Dodd-Frank Act und der Corporate Transparency Act verpflichten Dienstanbieter zwingend dazu, diese Informationen zu sammeln und bereitzuhalten, um sie den Behörden für Ermittlungen zu übergeben.
Der Hauptzweck dieser Gesetze besteht darin, Kriminalität, Terrorismus und kriminelle Machenschaften zu verhindern. Doch wir müssen uns nun fragen, ob die Sammlung und Speicherung all dieser Daten an sich gefährlicher ist, als der Polizei zu ermöglichen, ihre Arbeit zu verrichten, ohne dass von privaten Unternehmen wichtige Daten gesammelt werden.
Diese kriminell motivierten und raffinierten Versuche, Terabyte an Daten mit persönlichen und finanziellen Informationen abzugreifen – sei es durch kriminelle Akteure oder ausländische Militärs – sind schädlich und werden schreckliche Folgen haben.
Aber ihre Verfügbarkeit – die durch verschiedene Bundes- und Landesgesetze erzwungen wird – sollte auch Anlass für die Debatte sein, ob sie überhaupt notwendig sind und ob wir eine ernsthafte Diskussion über eine Reform der KYC-/AML-Gesetze in diesem Land führen sollten.