Hace tres años abrí una columna ejecutando una serie de ataques y filtraciones de datos condenatorios que parecían terribles En el momento:
Un lunes, hay una fuga de datos que afecta a 500 millones de cuentas de Facebook. Para el martes, un bot raspó 500 millones de cuentas de LinkedIn. Luego, el miércoles, la Universidad de Stanford anuncia un hackeo que expuso miles de números de Seguro Social y detalles financieros. Y el jueves, la compañía de TI de aviación más grande del mundo anuncia que se podría haber accedido a 90% de datos de pasajeros en un ciberataque. Y así. El ciclo es interminable.
Esta semana, recibimos un nuevo lote de datos comprometidos importantes que afectan a una banco importante y proveedor de plataformas FinTech, así como un Verificación de identidad compañía.
En lugar de defender una ley nacional de privacidad que pueda poner fin a esto, como he expresado muy a menudo antes, ahora es una mejor oportunidad para preguntar por qué estas empresas tenían esta información en primer lugar, y por qué Políticas KYC/AML que requieren dicha recopilación de datos debería reformarse drásticamente para proteger mejor a los consumidores de que esto vuelva a suceder.
La filtración de identidad debería empañar las perspectivas de KOSA y otros proyectos de ley
Según se informa, el primer ataque a la empresa de verificación de identidad fue el resultado de la exposición de claves administrativas durante más de un año.
Como reportado por 404 Media, la empresa de seguridad israelí AU10TIX de alguna manera tenía las credenciales maestras de su plataforma de registro visibles públicamente en el directorio de su base de datos, que "contenía enlaces a datos relacionados con personas específicas que habían subido sus documentos de identidad".
Un ataque de malware posterior permitió a los piratas informáticos acceder a nombres, fechas de nacimiento, nacionalidades y números de identificación, así como a copias en resolución completa de licencias de conducir y otros documentos de identidad cargados.
Se publicaron enlaces y ejemplos de estos datos en varios canales de Telegram, vendiendo acceso al caché de información que probablemente podría exponer los datos personales de cientos de millones de usuarios.
La empresa de identidad fue un servicio de verificación elegido para las principales plataformas, incluidas X, Fiverr, PayPal, Coinbase, LinkedIn, Upwork y muchas más, aunque no hemos recibido confirmación de qué plataforma fue la más afectada.
¿Por qué es esto significativo?
En primer lugar, el hecho de que estos datos estén disponibles (ya sea en sitios web .onion en la red oscura o en otros lugares) significa que potencialmente cientos de millones de estadounidenses podrían ser vulnerables al robo de identidad, la extorsión o daños financieros o personales significativos. Incluso si el daño no ocurre hoy, estos credenciales e información no cuestan prácticamente nada para almacenarlos y utilizarlos como armas más adelante por parte de malos actores.
En segundo lugar, las empresas deben recopilar y almacenar estos datos para cumplir con diversos estatutos. Y aún podría haber más en la agenda.
Como señaló por R Street Shoshana Weissman, este último truco debería empañar una vez más las perspectivas de los diversos intentos estatales y federales de exigir la verificación de identidad para los servicios en línea tanto para niños como para adultos, ya sea en redes sociales, sitios web de pornografía o incluso servicios de pago rudimentarios.
Ya sea la propuesta Ley de seguridad infantil en línea (KOSA), o varias leyes estatales destinadas a impedir que los jóvenes usen o accedan a servicios en línea, obligar a cualquier persona a cargar su identificación con foto e información personal solo para usar un sitio web o un servicio puede hacer más daño que bien.
A costa de filtrar los datos de cada usuario a las aguas infestadas de piratas informáticos de Internet, ¿valen la pena las medidas destinadas a garantizar que los jóvenes no puedan utilizar ciertos sitios web? Nos reuniríamos, no.
El truco financiero que debería socavar el régimen KYC y AML
El segundo ataque importante que probablemente afecte no sólo a las identidades personales sino probablemente a miles de millones de dólares es el ataque de ransomware a Evolucionar la confianza y el banco.
Este "incidente de ciberseguridad”del banco de confianza y socio de cientos de servicios FinTech se ha publicado en varios sitios web de la red oscura y contiene números de seguridad social, números de cuenta, saldos, números de teléfono, direcciones y mucho más.
Considerando el tesoro significativo de valiosa información financiera incluyendo incluso transacciones individualizadas, este es probablemente uno de los ataques más costosos que jamás haya ocurrido en una institución financiera estadounidense.
¿Por qué este banco tenía toda esta información lista?
Debido a las diversas leyes de “Conozca a su cliente” y “Antilavado de dinero” vigentes en los Estados Unidos, las instituciones financieras deben recopilar y almacenar esta información en caso de que el gobierno quiera presentar un caso contra un cliente.
Las leyes reales que exigen esto son numerosas, y las sanciones por no cumplirlas son igualmente severas.
La Ley de Secreto Bancario, la Ley PATRIOTA, el Programa de Identificación de Clientes de la FDIC, la Ley Dodd-Frank y la Ley de Transparencia Corporativa exigen por la fuerza a los proveedores de servicios que recopilen esta información y la tengan a mano para entregársela a las autoridades para que realicen investigaciones.
El objetivo principal de estas leyes es prevenir el crimen, el terrorismo y los malos actores. Pero ahora debemos preguntarnos si la recopilación y el almacenamiento de todos estos datos es en sí misma más peligrosa que permitir que la policía haga su trabajo sin datos importantes recopilados por empresas privadas.
Estos intentos sofisticados y motivados criminalmente de recopilar terabytes de datos que contienen información personal y financiera, ya sea por parte de actores criminales o ejércitos extranjeros – son perjudiciales y tendrán consecuencias terribles.
Pero su disponibilidad (obligada por varias leyes federales y estatales) también debería informar el debate sobre si son necesarias y si deberíamos tener una conversación seria sobre la reforma de las leyes KYC/AML en este país.
