Waarom je nooit foto's van je identiteitsbewijs moet sturen: het veiligste alternatief
Veel procedures en productleveringen in Argentinië vereisen een foto van het nationale identiteitsbewijs (DNI) van de houder . Specialisten op het gebied van privacy en gegevensbescherming waarschuwen echter dat dit een vreselijke praktijk is: deze gegevens kunnen worden misbruikt voor allerlei soorten cybercriminaliteit , van identiteitsdiefstal om een persoonlijke lening te verkrijgen tot het zich voordoen als ons om onze WhatsApp- contacten te misleiden, wat bekend staat als social engineering .
Hoewel het voor velen misschien iets onbelangrijks lijkt, is het belangrijk om te onthouden dat de DNI niet alleen een identiteit bewijst, maar ook belangrijke persoonlijke gegevens bevat, zoals volledige naam, documentnummer, geboortedatum en adres .
In de handel in persoonlijke gegevens, waar aanvallers om meerdere redenen naar op zoek zijn ( zie ), zijn foto's van documenten waardevol omdat ze het mogelijk maken complete profielen op te bouwen voor fraude of "geleide oplichting", waarbij het slachtoffer wordt verleid om geld over te maken naar oplichters of persoonlijke gegevens te verstrekken. Vorig jaar slaagde een aanvaller er zelfs in om 6 miljoen afbeeldingen van rijbewijzen te stelen .
Daar komt nog een tweede, en niet minder belangrijk, probleem bij: veel bedrijven hebben geen adequate beveiligingsmaatregelen getroffen , of zelfs als ze die wel hebben, lopen ze het risico op informatiediefstal en mogelijke datalekken, die gevolgen kunnen hebben voor gebruikers. Bovendien zijn dit soort datalekken, in tegenstelling tot wachtwoorden, moeilijker terug te draaien: een wachtwoord kan worden gewijzigd; het adres is veel complexer.
Daarom is " Datos argentinos " een website die, met behulp van een tool genaamd Safe ID, je in staat stelt om gegevens van een identiteitskaart te verbergen voordat je de afbeelding deelt die door een bedrijf of entiteit is aangevraagd. De website is gemaakt door Martín Aberastegue, een Argentijnse programmeur en marketingspecialist, die uitlegt waarom het een goed idee is om gevoelige gegevens te verbergen voordat je documenten deelt, en hoe je dat doet.
Datalekken. Foto: Ministerie van Transport / Shutterstock / Renaper
"Verduistering is essentieel omdat de Argentijnse DNI extreem gevoelige informatie bevat die kan worden gebruikt voor identiteitsdiefstal, financiële fraude en ongeautoriseerde toegang tot diensten. Het document bevat cruciale gegevens zoals het transactienummer, de PDF417-code met alle persoonlijke informatie in digitaal formaat, en biometrische gegevens . In verkeerde handen maakt deze informatie frauduleuze transacties en volledige imitatie van het slachtoffer mogelijk", legde de specialist uit aan Clarín . Hij heeft kwetsbaarheden gemeld bij instanties zoals de AFIP (ARCA), telefoonmaatschappijen en verzekeringsmaatschappijen.
Om deze reden heeft Aberastegue een open source -applicatie ontwikkeld waarmee gegevens kunnen worden verduisterd voordat ze worden verzonden.
"Datos Argentinos is een platform gericht op de bescherming van persoonlijke DNI-gegevens en is volledig non-profit ", zegt hij. "De belangrijkste tool, Safe ID , stelt je in staat om je identiteitsbewijs veilig te delen door alle informatie lokaal in de browser van de gebruiker te verwerken, zonder dat je gegevens naar externe servers hoeft te sturen. Het werkt volledig offline en kan zelfs als app op je telefoon worden geïnstalleerd. Het platform biedt functies zoals aangepaste watermerken en het verbergen van gevoelige gegevens volledig gratis", voegt hij eraan toe.
Er zijn enkele problemen met dit systeem vanuit de zakelijke kant: veel mensen klagen over het onleesbaar maken van gegevens.
Er zijn bedrijven die documenten met gecensureerde gegevens ronduit afwijzen , ook al zijn ze wettelijk niet bevoegd om het volledige document op te vragen, en dat maakt het leven van de gebruiker uiteindelijk ingewikkelder. Zo accepteerden sommige mobiele telefoonproviders identiteitskaarten met een watermerk en verduisterde gegevens probleemloos, terwijl andere ze weigerden omdat het watermerk te sterk was. Ik heb de intensiteit aangepast en toen begonnen ze ze te accepteren, maar de realiteit is dat het sterk afhangt van het bedrijf en de persoon die je bedient", legt hij uit.
Het is tenslotte een cultuur die moet veranderen.
Renaper heeft de afgelopen jaren te maken gehad met datalekken. Foto: Renaper
Naast het adres en de volledige naam is het 'procedurenummer' een belangrijk gegeven op het DNI.
"Het transactienummer is een essentiële sleutel voor online procedures en identiteitsvalidatie. Met deze informatie kunnen criminelen online overheidsprocedures uitvoeren door zich voor te doen als iemand anders, hun identiteit valideren op digitale platforms, toegang krijgen tot basisbankdiensten en persoonlijke gegevens bevestigen in systemen die alleen een ID en transactienummer nodig hebben. Het is bijzonder gevaarlijk omdat het fungeert als een unieke identificatiecode die een aanvulling vormt op de identiteit, en veel online systemen gebruiken het als authenticatiefactor, terwijl het grote publiek zich niet bewust is van de gevoeligheid ervan en het niet adequaat beschermt", legt de specialist uit.
Wanneer er sprake is van datalekken, vraagt de gemiddelde burger doorgaans geen nieuw identiteitsbewijs aan. Dat komt deels doordat het een omslachtig proces is en deels doordat men zich niet bewust is van de omvang van het probleem.
"Bij een datalek vernieuwen maar weinig mensen hun identiteitsbewijs om het blootgestelde transactienummer ongeldig te maken, waardoor het risico lang blijft bestaan. Safe ID helpt dit risico te minimaliseren door gegevens te beschermen wanneer het niet echt nodig is om ze te delen", legt Aberastegue uit.
Tot slot is een belangrijk punt of de afbeelding bij het uploaden van de ID wordt opgeslagen op een server van een derde partij (wat potentieel gevaarlijk kan zijn). Hoe verwerkt het systeem de gegevens?
Dit wordt op de site uitgelegd: "Safe ID maakt gebruik van een volledig client-side architectuur die het opslaan van uw gegevens technisch onmogelijk maakt. Hoewel de webapplicatie van onze server wordt gedownload, vindt alle verwerking van uw afbeeldingen rechtstreeks in uw browser plaats met behulp van de native FileReader en Canvas API's , zonder uw documenten ooit naar externe servers te sturen." De API's zijn functies die al in de browser zijn ingebouwd en waarmee u bestanden en afbeeldingen kunt beheren zonder dat u externe programma's nodig hebt of gegevens naar het internet hoeft te sturen.
"Wanneer je een afbeelding laadt, leest de browser deze rechtstreeks van je apparaat en zet deze om in een digitale representatie die alleen in het RAM-geheugen staat. Transformaties zoals bijsnijden, verduisteren en watermerken worden uitgevoerd met behulp van lokale wiskundige bewerkingen op een HTML5 Canvas-element. Het eindresultaat wordt direct op je apparaat gegenereerd, zonder dat er gegevens achterblijven", voegen ze eraan toe. Voor specialisten is de broncode van Safe ID te bekijken op GitHub .
"Bovendien streeft het project ernaar het bewustzijn te vergroten en voorlichting te geven over het belang van de bescherming van persoonsgegevens. Het bevat secties met veelgestelde vragen, een handleiding voor de bescherming van het Argentijnse nationale identiteitsbewijs (DNI) en een sectie met een overzicht van historische datalekken, samengesteld door Marcela Pallero ", voegt ze eraan toe, verwijzend naar de specialist in gegevensbescherming die een tijdlijn bijhoudt van incidenten die Argentijnse publieke en private instanties hebben ondervonden ( zie ).
Om het te gebruiken, kunt u op deze link klikken. Hoe meer gebruikers hun gegevens verdoezelen, hoe meer bedrijven en organisaties dit soort praktijken zullen moeten accepteren. Dit beschermt uiteindelijk niet alleen de privacy van burgers, maar voorkomt ook dat de organisatie in de problemen komt bij een datalek.
Clarin
