Il y a trois ans, j'ai ouvert une colonne en passant par un certain nombre de piratages et de fuites de données accablantes qui semblaient terribles à l'époque:
Un lundi, une fuite de données affecte un demi-milliard de comptes Facebook. Mardi, un bot a gratté 500 millions de comptes LinkedIn. Puis mercredi, l'Université de Stanford annonce un piratage qui a exposé des milliers de numéros de sécurité sociale et de détails financiers. Et jeudi, la plus grande société informatique aéronautique au monde annonce que 90% de données passagers pourraient avoir été consultées lors d'une cyberattaque. Etc. Le cycle est sans fin.
Cette semaine, nous avons eu droit à un nouveau lot de données compromises importantes, affectant un grande banque et fournisseur de plateformes FinTech ainsi qu'un vérification d'identité entreprise.
Plutôt que de plaider en faveur d'une loi nationale sur la protection de la vie privée dotée de mordant qui pourrait mettre un terme à cela, comme je l'ai expliqué trop souvent avant, c'est maintenant une meilleure occasion de se demander pourquoi ces entreprises disposaient de ces informations en premier lieu, et pourquoi Politiques KYC/AML qui nécessitent une telle collecte de données devrait être radicalement réformée pour mieux protéger les consommateurs contre une telle répétition.
La fuite d'identité devrait assombrir les perspectives du KOSA et d'autres factures
Le premier piratage de la société de vérification d'identité serait le résultat de la divulgation de clés administratives pendant plus d'un an.
Comme signalé par 404 Media, la société de sécurité israélienne AU10TIX D'une manière ou d'une autre, les informations d'identification principales de leur plate-forme de journalisation étaient visibles publiquement dans leur répertoire de base de données, qui « contenait des liens vers des données relatives à des personnes spécifiques qui avaient téléchargé leurs documents d'identité ».
Une attaque de malware ultérieure a permis aux pirates informatiques d'accéder aux noms, dates de naissance, nationalités et numéros d'identification, ainsi qu'à des copies en pleine résolution des permis de conduire et autres documents d'identité téléchargés.
Des liens et des exemples de ces données ont été publiés sur diverses chaînes de Telegram, vendant l'accès au cache d'informations susceptibles d'exposer les données personnelles de centaines de millions d'utilisateurs.
La société d'identité était un service de vérification de choix pour les principales plateformes, notamment X, Fiverr, PayPal, Coinbase, LinkedIn, Upwork et bien d'autres, bien que nous n'ayons pas obtenu de confirmation quelle plateforme a été la plus durement touchée.
Pourquoi est-ce important ?
Premièrement, le fait que ces données soient disponibles – que ce soit sur les sites Web .onion du dark net ou ailleurs – signifie que potentiellement des centaines de millions d’Américains pourraient être vulnérables au vol d’identité, à l’extorsion ou à un préjudice financier ou personnel important. Même si le mal ne survient pas aujourd’hui, ces informations d’identification et informations ne coûtent pratiquement rien pour être stockées et utilisées ultérieurement par de mauvais acteurs.
Deuxièmement, les entreprises sont tenues de collecter et de stocker ces données afin de se conformer à diverses réglementations. Et pourtant, d’autres pourraient être à l’ordre du jour.
Comme souligné par R Street's Shoshana Weissman, ce dernier piratage devrait une fois de plus assombrir les perspectives des diverses tentatives étatiques et fédérales visant à exiger une vérification d'identité pour les services en ligne destinés aux enfants et aux adultes, que ce soit sur les réseaux sociaux, les sites Web pornographiques ou même les services de paiement rudimentaires.
Que ce soit le proposé Loi sur la sécurité des enfants en ligne (KOSA), ou diverses lois d'État visant à empêcher les jeunes d'utiliser ou d'accéder à des services en ligne, obliger quiconque à télécharger sa photo d'identité et ses informations personnelles simplement pour utiliser un site Web ou un service peut manifestement faire plus de mal que de bien.
Au prix de la fuite des données de chaque utilisateur dans les eaux infestées de pirates informatiques d'Internet, les mesures destinées à garantir que les jeunes ne puissent pas utiliser certains sites Web en valent-elles la peine ? Nous nous réunirions, non.
Le hack financier qui devrait mettre à mal le régime KYC et AML
Le deuxième piratage important qui affectera probablement non seulement les identités personnelles mais probablement des milliards de dollars est l'attaque par ransomware contre Faire évoluer la confiance et la banque.
Ce "incident de cybersécurité» de la banque de confiance et partenaire de centaines de services FinTech a été publié sur divers sites Web du darknet et contient des numéros de sécurité sociale, des numéros de compte, des soldes, des numéros de téléphone, des adresses et bien plus encore.
Considérant le trésor important d'informations financières précieuses y compris même des transactions individualisées, il s’agit probablement de l’un des piratages les plus coûteux jamais survenus dans une institution financière américaine.
Pourquoi cette banque disposait-elle de toutes ces informations ?
En raison des diverses lois « Connaissez votre client » et « Anti-blanchiment d'argent » en vigueur aux États-Unis, les institutions financières sont tenues de collecter et de stocker ces informations au cas où le gouvernement voudrait monter un dossier contre un client.
Les lois qui l'exigent sont nombreuses, et les sanctions en cas de non-respect sont tout aussi sévères.
Le Bank Secrecy Act, le PATRIOT Act, le programme d'identification des clients de la FDIC, le Dodd-Frank Act et le Corporate Transparency Act exigent tous que les prestataires de services collectent ces informations et les mettent à portée de main pour les remettre aux autorités afin qu'elles mènent des enquêtes.
L'objectif principal de ces lois est de prévenir la criminalité, le terrorisme et les mauvais acteurs. Mais il faut maintenant se demander si la collecte et le stockage de toutes ces données sont en soi plus dangereux que de permettre à la police de faire son travail sans que des données significatives soient collectées par des entreprises privées.
Ces tentatives sophistiquées et motivées par le crime visant à récupérer des téraoctets de données contenant des informations personnelles et financières – qu'elles soient le fait d'acteurs criminels ou armées étrangères – sont nuisibles et entraîneront de terribles conséquences.
Mais leur disponibilité – imposée par diverses lois fédérales et étatiques – devrait également éclairer le débat sur leur nécessité et si nous devrions avoir une conversation sérieuse sur la réforme des lois KYC/AML dans ce pays.