Tech
美国信用机构数据大泄露引爆国家民众的身份危机
credit:锐景创意
上周四(9月7日),关于美国信用机构Equifax数据泄露的新闻里,最令人震惊的是涉事数量之庞大。特别是社会安全号码(Social Security number, SSN)。是的,在此之前大规模的数据泄露事件已经频发——五百万社会安全号码于今年七月从堪萨斯州商业部泄露,另有八千万于2015年从Anthem公司被盗。但是,这次Equifax多达1.43亿的个人信息泄露,使得安全专家强烈呼吁重新从基础层面评估我们如何,并且为何认证我们自己。
设想数据从不同的渠道被攻击、盗取甚至泄露,“我们可以安全地假设每个人的社会安全号码都已被泄露,并伴随着个人信息被盗,”防御和入侵检测公司SentinelOne的安全策略总监Jeremiah Grossman称。“虽然这并不十分准确,但当下我们不得不按照这个假设工作。”
在上个世纪三十年代,社会安全号码只有一个用途:用来追踪美国公民在社会保障上的收入与支出。其他某些情况下,收集社会安全号码也不违法,但是美国社会保障管理总署并未参与其更广泛的用途。管理总署网站称,“社会保障卡从未计划被用来当做个人身份证件。”社会安全号码的普遍性使得SSN被民营公司当做独一无二的身份凭证。很不幸的是,这种普遍性导致了SSN被滥用。
credit:锐景创意
无所不在的问题
SSN的问题源于许多地方。你的社会安全号码应被保密,但这在数字时代是一个日益严峻的挑战。与其他类似号码(如信用卡号码和密码)不同,SSN极难改变。在极端情况下(如身份盗用),社会保障署能为你换发一个新的SSN。即使你能改变你的SSN,由于很多机构已经有了你原来的社会安全号码,罪犯往往可以成功地利用档案信息继续盗取你的个人身份多年。更重要的是,你收到的新号码和旧的号码是关联的。
“SSN被用于和初衷完全无关的目的。这几乎总是导致问题,” 美国电子隐私信息中心□□Marc Rotenberg说,其中心已倡议SSN改革超过20年。“国会需要加紧举行听证会。我们需要法律以限制收集和使用SSN。收集但无法保护SSN的公司需要受到处罚。”
关于SSN安全的传统智慧,是限制你提供个人信息的频次。一些组织在你未提供SSN的情况下也能与你保持互动(例如,一些网络运营商在你支付押金后将不会索取SSN),但往往不便或不切实际。在众多的情况下,比如报税或背景调查,提交SSN不可避免。一些监管举措已经成功削减SSN的传播——例如本周医疗服务中心宣布,SSN将从医疗保险卡上移除。但仅此一步,就需要数年时间才能实现。
系统重启
众多隐私和安全领域的专家均同意,过度收集和使用SSN不是最好的解决方案。不同的认证码(类似于个人密码),生物识别,甚至实体令牌都可以为ID生成增添多样性。一些人还认为,政府可能不会成为这一改变背后的驱动力。”我们的政府在最好的时代以最慢的速度工作,” 隐私和网络安全保护公司Goodwin的□□Brenda Sharton说。Goodwin自本世纪初以来就参与数据隐私泄露的调查。“最终,SSN泄露会无法收场。这可能促使各公司朝着多因素认证的方向发展。改变可能来自企业和私营公司需要额外验证来应对威胁。
例如,医保公司可以使用与教育机构不同的系统,教育机构可采用与金融机构不同的认证方法。如果信用报告机构Equifax使用与SSN不同的ID,你的电力公司和你的无线服务提供商可以要求你提供这些ID进行背景调查。如果这些新的标识是很容易改变的(不像SSN),信息泄露会变得不那么重要。
“整个SSN等于身份证件的系统需要报废了,” 身份盗窃保护公司CyberScout的全球隐私官Eduard Goodman说。”当我们看到越来越集中的数据,用于人际交易的生物识别,某种形式的高级加密以及区块链技术——解决方案实际已摆在我们眼前。”
多个身份ID会让消费者觉得新系统更复杂,但是它会有很多好处。并且与管理纷繁冗杂的在线用户名和密码相比,纠结其实少得多。“我能想象一个到处都没有唯一身份证号码的世界吗?”SentinelOne的Grossman问。”我们在网上拥有ID。我们并未使用社会安全号码登录脸书、领英或者谷歌。我们也在网上活得好好的。”
credit:Equifax
在如今的互联网上,个人安全情况肯定使人心急如焚,但这有可能促使机构实施强有力的和多样化的认证方法,减少当前SSN泄露所产生的影响。即便只是向客户邮寄一个额外的密码,也能让国家税务局减少与身份盗用有关的税务欺诈行为。“这是一个分水岭,但无论什么样的变化,公司实施与否将取决于他们的商业模式和所受打击的大小。”Goodwin的Sharton在数据泄露事件后说。“这些事件对公司名誉来讲是毁灭性的。”
Equifax的信息泄露可能让其在信用报告和金融机构中推广新ID和认证码。每位拥有社会安全号码的美国人都指望着改变。
