Почему никогда не стоит отправлять фотографии удостоверения личности: самая безопасная альтернатива
Для многих процедур и доставки товаров в Аргентине требуется фотография национального удостоверения личности (DNI) . Однако, как предупреждают специалисты по защите конфиденциальности и персональных данных, это ужасная практика : эти данные могут быть использованы для различных видов киберпреступлений , от кражи личных данных для получения личного кредита до выдачи себя за нас с целью обмана наших контактов в WhatsApp , что известно как социальная инженерия .
Хотя для многих это может показаться чем-то незначительным, важно помнить, что DNI не только подтверждает личность, но и содержит ключевые персональные данные, такие как полное имя, номер документа, дата рождения и адрес .
В сфере купли-продажи персональных данных, которую злоумышленники ищут по разным причинам ( см. ), фотографии документов представляют ценность , поскольку позволяют составить полный профиль мошенников или «управляемых мошенничеств», когда жертву обманным путём заставляют перевести деньги мошенникам или передать персональные данные. В прошлом году злоумышленнику удалось похитить 6 миллионов изображений водительских удостоверений .
К этому добавляется вторая, не менее важная проблема: многие компании не применяют адекватные меры безопасности , а даже если и применяют, то подвергаются риску кражи информации и потенциальных утечек данных, которые могут затронуть пользователей. Кроме того, в отличие от паролей, подобные утечки данных сложнее устранить: пароль можно изменить, а вот с адресом всё гораздо сложнее.
Именно поэтому сайт « Datos argentinos » с помощью инструмента Safe ID позволяет скрыть данные удостоверения личности перед отправкой изображения, запрошенного компанией или организацией. Сайт был создан Мартином Аберастеге, аргентинским программистом и маркетологом. Он объясняет, почему важно скрывать конфиденциальные данные перед отправкой документов, и как это сделать.
Утечка данных. Фото: Министерство транспорта / Shutterstock / Renaper
«Обфускация крайне важна, поскольку аргентинский DNI содержит чрезвычайно конфиденциальную информацию, которая может быть использована для кражи личных данных, финансового мошенничества и несанкционированного доступа к услугам. Этот документ содержит критически важные данные, такие как номер транзакции, код PDF417, содержащий всю личную информацию в цифровом формате, и биометрические данные . Попав в руки злоумышленников, эта информация позволяет проводить мошеннические транзакции и полностью выдавать себя за жертву», — пояснил специалист изданию Clarín . Он сообщал об уязвимостях таким организациям, как AFIP (ARCA), телефонные и страховые компании.
По этой причине компания Aberastegue создала приложение с открытым исходным кодом , позволяющее скрывать данные перед их отправкой.
«Datos Argentinos — это платформа, ориентированная на защиту персональных данных DNI, и она полностью некоммерческая », — говорит он. «Её главный инструмент, Safe ID , позволяет безопасно делиться вашим удостоверением личности, обрабатывая всю информацию локально в браузере пользователя, без отправки данных на внешние серверы. Платформа работает полностью офлайн и даже может быть установлена как приложение на ваш телефон. Платформа предлагает такие функции, как настраиваемые водяные знаки и сокрытие конфиденциальных данных, совершенно бесплатно», — добавляет он.
С точки зрения бизнеса эта система имеет некоторые проблемы: многие жалуются, что данные запутываются.
«Некоторые компании полностью отклоняют документы с цензурированными данными , хотя по закону не имеют права требовать полный документ, и это в конечном итоге усложняет жизнь пользователя. Например, некоторые операторы мобильной связи без проблем принимали удостоверения личности с водяным знаком и замаскированными данными, в то время как другие отказывали, ссылаясь на слишком сильный водяной знак. Я отрегулировал интенсивность, и тогда они начали принимать их, но в реальности всё во многом зависит от компании и обслуживающего вас человека», — объясняет он.
В конце концов, это культура, которую нужно начать менять.
В последние годы компания Renaper неоднократно сталкивалась с утечками данных. Фото Renaper
Помимо адреса и полного имени, важной информацией в DNI является «номер процедуры».
«Номер транзакции — основополагающий ключ для онлайн-процедур и подтверждения личности. Обладая этой информацией, преступники могут выполнять государственные процедуры онлайн, выдавая себя за другое лицо, подтверждать свою личность на цифровых платформах, получать доступ к основным банковским услугам и подтверждать персональные данные в системах, требующих только идентификатор и номер транзакции. Он особенно опасен, поскольку служит уникальным идентификатором, дополняющим идентификатор, и многие онлайн-системы используют его в качестве фактора аутентификации, в то время как широкая общественность не осознаёт его конфиденциальности и не обеспечивает его надлежащей защиты», — поясняет специалист.
Когда происходит утечка данных, среднестатистический гражданин, как правило, не подает заявление на получение нового удостоверения личности, отчасти потому, что это обременительный процесс, а также из-за отсутствия понимания масштабов проблемы.
«В случае утечки данных очень немногие люди обновляют свои удостоверения личности, чтобы сделать недействительным раскрытый номер транзакции, поэтому риск сохраняется с течением времени. Safe ID помогает минимизировать этот риск, защищая данные, когда нет необходимости их передавать», — объясняет Аберастег.
Наконец, важный момент: сохраняется ли изображение при загрузке удостоверения личности на стороннем сервере (что может быть потенциально опасно). Как система обрабатывает эти данные?
На сайте объясняется: «Safe ID использует полностью клиентскую архитектуру, что делает хранение ваших данных технически невозможным. Хотя веб-приложение загружается с нашего сервера, вся обработка ваших изображений происходит непосредственно в вашем браузере с использованием собственных API FileReader и Canvas , без отправки документов на внешние серверы». API — это функции, уже встроенные в браузер, которые позволяют управлять файлами и изображениями без необходимости использования внешних программ или отправки данных в интернет.
«Когда вы загружаете изображение, браузер считывает его непосредственно с вашего устройства и преобразует в цифровое представление, которое хранится исключительно в оперативной памяти. Такие преобразования, как кадрирование, обфускация и нанесение водяных знаков, выполняются с помощью локальных математических операций над элементом HTML5 Canvas. Конечный результат генерируется непосредственно на вашем устройстве без передачи каких-либо данных», — добавляют они. Специалисты могут ознакомиться с исходным кодом Safe ID на GitHub .
«Кроме того, проект направлен на повышение осведомлённости и информирование о важности защиты персональных данных. Он включает разделы с часто задаваемыми вопросами, руководство по защите национального удостоверения личности Аргентины (DNI) и раздел с таблицей исторических утечек данных, составленной Марселой Паллеро », — добавляет она, имея в виду специалиста по защите персональных данных, которая ведёт хронологию инцидентов, с которыми столкнулись государственные и частные организации Аргентины ( см. ).
Чтобы воспользоваться этой функцией, перейдите по этой ссылке . Чем больше пользователей скрывают свои данные, тем большему числу компаний и организаций придётся согласиться на такую практику, что, в конечном счёте, не только защищает конфиденциальность граждан, но и предотвращает проблемы для организации в случае утечки данных.
Clarin
