Tre anni fa ho aperto una colonna eseguendo una serie di dannosi attacchi hacker e fughe di dati che sembravano terribili al momento:
Di lunedì, c'è una fuga di dati che interessa mezzo miliardo di account Facebook. Entro martedì, un bot ha raschiato 500 milioni di account LinkedIn. Poi mercoledì, la Stanford University annuncia un hack che ha rivelato migliaia di numeri di previdenza sociale e dettagli finanziari. E giovedì, la più grande azienda IT del mondo nel settore dell'aviazione annuncia che 90% di dati dei passeggeri potrebbe essere stato consultato in un attacco informatico. E così via. Il ciclo è infinito.
Questa settimana ci troviamo di fronte a una nuova serie di dati compromessi significativi, che interessano a banca principale e fornitore di piattaforme FinTech, nonché un verifica dell'identità azienda.
Piuttosto che sostenere la necessità di una legge nazionale sulla privacy che possa porre fine a tutto ciò, come ho articolato troppo spesso prima, ora è un'occasione migliore per chiedersi perché queste aziende disponevano di queste informazioni in primo luogo, e perché le Politiche KYC/AML che richiedono tale raccolta di dati dovrebbe essere riformato drasticamente per proteggere meglio i consumatori dal ripetersi di ciò.
La fuga di documenti d'identità dovrebbe offuscare le prospettive del KOSA e di altri progetti di legge
Secondo quanto riferito, il primo attacco hacker alla società di verifica dell'identità è stato il risultato dell'esposizione delle chiavi amministrative per oltre un anno.
Come segnalato da 404 Media, la società di sicurezza israeliana AU10TIX in qualche modo le credenziali principali della loro piattaforma di registrazione erano visibili pubblicamente nella directory del loro database, che "conteneva collegamenti a dati relativi a persone specifiche che avevano caricato i loro documenti di identità".
Un successivo attacco malware ha consentito agli hacker di accedere a nomi, date di nascita, nazionalità e numeri di identificazione, nonché a copie ad alta risoluzione delle patenti di guida e di altri documenti di identità caricati.
Collegamenti ed esempi di questi dati sono stati pubblicati su vari canali su Telegram, vendendo l'accesso alla cache di informazioni che potrebbero probabilmente esporre i dati personali di centinaia di milioni di utenti.
La società di identità era un servizio di verifica preferito per le principali piattaforme tra cui X, Fiverr, PayPal, Coinbase, LinkedIn, Upwork e molte altre, anche se non abbiamo ottenuto conferma su quale piattaforma sia stata colpita più duramente.
Perché questo è significativo?
In primo luogo, il fatto che questi dati siano disponibili là fuori – sia sui siti web .onion nella rete oscura che altrove – significa che potenzialmente centinaia di milioni di americani potrebbero essere vulnerabili al furto di identità, all’estorsione o a notevoli danni finanziari o personali. Anche se il danno non si verifica oggi, queste credenziali e informazioni non costano praticamente nulla da archiviare e utilizzare successivamente come armi da parte di soggetti malintenzionati.
In secondo luogo, le aziende sono tenute a raccogliere e archiviare questi dati per rispettare varie norme. E ancora di più potrebbero esserci sul registro.
Come sottolineato di R Street's Shoshana Weissmann, quest'ultimo hack dovrebbe ancora una volta offuscare le prospettive per i vari tentativi statali e federali di richiedere la verifica dell'identità per i servizi online sia per bambini che per adulti, sia sui social media, sui siti web di pornografia o anche sui servizi di pagamento rudimentali.
Che si tratti della proposta Legge sulla sicurezza online dei bambini (KOSA), o varie leggi statali intese a impedire ai giovani di utilizzare o accedere ai servizi online, costringendo chiunque a caricare il proprio documento d'identità con foto e informazioni personali solo per utilizzare un sito Web o un servizio che, in modo dimostrabile, può fare più male che bene.
A costo di far trapelare i dati di ogni utente nelle acque di Internet infestate dagli hacker, le misure intese a garantire che i giovani non possano utilizzare determinati siti Web valgono il costo? Ci riuniremmo, no.
L’hacking finanziario che dovrebbe minare il regime KYC e AML
Il secondo attacco informatico significativo che probabilmente non riguarda solo le identità personali ma probabilmente miliardi di dollari è l’attacco ransomware Evolvi la fiducia e la banca.
Questo "incidente di sicurezza informatica" della banca di fiducia e partner di centinaia di servizi FinTech è stato pubblicato su vari siti web della darknet e contiene numeri di previdenza sociale, numeri di conto, saldi, numeri di telefono, indirizzi e molto altro.
Considerando il tesoro significativo di preziose informazioni finanziarie comprese transazioni anche individualizzate, questo è probabilmente uno degli attacchi di hacking più costosi mai accaduti in un istituto finanziario americano.
Perché questa banca aveva tutte queste informazioni a portata di mano?
A causa delle varie leggi "Conosci il tuo cliente" e "Antiriciclaggio" in vigore negli Stati Uniti, gli istituti finanziari sono tenuti a raccogliere e archiviare queste informazioni nel caso in cui il governo voglia avviare un caso contro un cliente.
Le leggi attuali che lo richiedono sono numerose e le sanzioni in caso di mancato rispetto sono altrettanto severe.
Il Bank Secrecy Act, il PATRIOT Act, il Customer Identification Program della FDIC, il Dodd-Frank Act e il Corporate Transparency Act richiedono tutti con la forza ai fornitori di servizi di raccogliere queste informazioni e di averle a portata di mano per consegnarle alle autorità per condurre indagini.
Lo scopo principale di queste leggi è prevenire la criminalità, il terrorismo e i cattivi attori. Ma ora dobbiamo chiederci se la raccolta e l’archiviazione di tutti questi dati sia di per sé più pericolosa che consentire alla polizia di svolgere il proprio lavoro senza dati significativi raccolti da società private.
Questi tentativi sofisticati e motivati dalla criminalità di raccogliere terabyte di dati contenenti informazioni personali e finanziarie, sia da parte di attori criminali che di militari stranieri – sono dannosi e porteranno a conseguenze terribili.
Ma la loro disponibilità – imposta da varie leggi federali e statali – dovrebbe anche ispirare il dibattito sulla loro effettiva necessità e sull’opportunità di avviare un dibattito serio sulla riforma delle leggi KYC/AML in questo paese.
