Há três anos, abri uma coluna passando por uma série de hacks e vazamentos de dados que pareciam terríveis no momento:
Em uma segunda-feira, há um vazamento de dados que afeta meio bilhão de contas do Facebook. Na terça-feira, um bot raspou 500 milhões de contas do LinkedIn. Então, na quarta-feira, a Universidade de Stanford anuncia um hack que expôs milhares de números de CPF e detalhes financeiros. E quinta-feira, a maior empresa de TI de aviação do mundo anuncia que 90% de dados de passageiros podem ter sido acessados em um ataque cibernético. E assim por diante. O ciclo é interminável.
Esta semana, recebemos um novo lote de dados comprometidos significativos, afetando um grande banco e provedor de plataforma FinTech, bem como um Verificação de Identidade empresa.
Em vez de defender uma lei nacional de privacidade com força que poderia pôr fim a isto, como articulei muitas vezes antes, agora é uma oportunidade melhor para perguntar por que essas empresas tinham essas informações e por que o Políticas KYC/AML que exigem essa coleta de dados deveria ser drasticamente reformado para proteger melhor os consumidores contra esta situação.
O vazamento de identificação deve diminuir as perspectivas para KOSA e outros projetos de lei
O primeiro hack da empresa de verificação de identidade foi supostamente o resultado da exposição de chaves administrativas por mais de um ano.
Como relatado pela 404 Media, a empresa de segurança israelense AU10TIX de alguma forma, as credenciais mestras de sua plataforma de registro estavam publicamente visíveis em seu diretório de banco de dados, que “continha links para dados relacionados a pessoas específicas que carregaram seus documentos de identidade”.
Um ataque de malware subsequente permitiu que hackers acessassem nomes, datas de nascimento, nacionalidades e números de identificação, além de cópias em alta resolução de carteiras de motorista e outros documentos de identidade carregados.
Links e exemplos desses dados foram postados em diversos canais do Telegram, vendendo acesso ao cache de informações que provavelmente poderiam expor os dados pessoais de centenas de milhões de usuários.
A empresa de identidade foi o serviço de verificação preferido para as principais plataformas, incluindo X, Fiverr, PayPal, Coinbase, LinkedIn, Upwork e muitas outras, embora não tenhamos obtido confirmação de qual plataforma foi mais atingida.
Por que isso é significativo?
Em primeiro lugar, o facto de estes dados estarem disponíveis – seja em websites .onion na dark web ou noutros locais – significa que potencialmente centenas de milhões de americanos podem estar vulneráveis a roubo de identidade, extorsão ou danos financeiros ou pessoais significativos. Mesmo que o dano não aconteça hoje, essas credenciais e informações não custam praticamente nada para serem armazenadas e transformadas em armas posteriormente por malfeitores.
Em segundo lugar, as empresas são obrigadas a recolher e armazenar estes dados para cumprir vários estatutos. E ainda mais poderia estar em pauta.
Como apontou por R Street's Shoshana Weissman, este último hack deverá mais uma vez diminuir as perspectivas para as várias tentativas estaduais e federais de exigir verificação de identidade para serviços online para crianças e adultos, seja em redes sociais, sites de pornografia, ou mesmo serviços de pagamento rudimentares.
Quer seja a proposta Lei de Segurança Online para Crianças (KOSA), ou várias leis estaduais destinadas a impedir que os jovens utilizem ou acedam a serviços online, forçar qualquer pessoa a carregar o seu documento de identificação com fotografia e informações pessoais apenas para utilizar um website ou serviço pode comprovadamente fazer mais mal do que bem.
Ao custo da fuga de dados de todos os utilizadores para as águas infestadas de hackers da Internet, será que as medidas destinadas a garantir que os jovens não possam utilizar determinados websites valem o custo? Nós nos reuniríamos, não.
O hack financeiro que deveria minar o regime KYC e AML
O segundo hack significativo que provavelmente afeta não apenas identidades pessoais, mas provavelmente bilhões de dólares é o ataque de ransomware a Evoluir confiança e banco.
Esse "incidente de segurança cibernética”do banco confiável e parceiro de centenas de serviços FinTech foi postado em vários sites darknet e contém números de previdência social, números de contas, saldos, números de telefone, endereços e muito mais.
Considerando o tesouro significativo de informações financeiras preciosas incluindo até mesmo transações individualizadas, este é provavelmente um dos hacks mais caros que já ocorreu em uma instituição financeira americana.
Por que este banco tinha todas essas informações em mãos?
Devido às diversas leis “Conheça o seu cliente” e “Antilavagem de dinheiro” em vigor nos Estados Unidos, as instituições financeiras são obrigadas a coletar e armazenar essas informações caso o governo queira abrir um processo contra um cliente.
As leis que exigem isso são numerosas e as penalidades pelo não cumprimento são igualmente severas.
A Lei de Sigilo Bancário, a Lei PATRIOT, o Programa de Identificação de Clientes da FDIC, a Lei Dodd-Frank e a Lei de Transparência Corporativa exigem forçosamente que os prestadores de serviços coletem essas informações e as tenham em mãos para entregá-las às autoridades para conduzir investigações.
O principal objetivo dessas leis é prevenir o crime, o terrorismo e os maus atores. Mas temos agora de perguntar se a recolha e o armazenamento de todos estes dados são, em si, mais perigosos do que permitir que a polícia faça o seu trabalho sem dados significativos recolhidos por empresas privadas.
Estas tentativas sofisticadas e motivadas criminalmente de recolher terabytes de dados contendo informações pessoais e financeiras – seja por parte de actores criminosos ou militares estrangeiros – são prejudiciais e terão consequências terríveis.
Mas a sua disponibilidade – forçada por várias leis federais e estaduais – também deve informar o debate sobre se são realmente necessárias e se deveríamos ter uma conversa séria sobre a reforma das leis KYC/AML neste país.
