Neden kimliğinizin fotoğraflarını asla göndermemelisiniz: En güvenli alternatif

Arjantin'de birçok prosedür ve ürün teslimatı , sahibinin ulusal kimlik belgesinin (DNI) bir fotoğrafını gerektirir. Ancak gizlilik ve kişisel veri koruma uzmanlarının uyardığı gibi, bu korkunç bir uygulamadır : Bu veriler, kimlik hırsızlığından kişisel kredi almaya ve sosyal mühendislik olarak bilinen yöntemle WhatsApp kişilerimizi kandırmak için kimliğimize bürünmeye kadar çeşitli siber suç türleri için kullanılabilir.

Birçok kişi için önemsiz bir şey gibi görünse de, DNI'nin yalnızca kimliği kanıtlamakla kalmayıp aynı zamanda tam adınız, belge numaranız, doğum tarihiniz ve adresiniz gibi önemli kişisel verileri de içerdiğini unutmamak önemlidir.

Saldırganların çeşitli nedenlerle aradığı kişisel veri alım satım işinde ( bkz .), belge fotoğrafları değerlidir çünkü dolandırıcılık veya "rehberli dolandırıcılık" girişimleri için eksiksiz profiller oluşturulmasına olanak tanırlar. Bu tür girişimlerde kurban, dolandırıcılara transfer yapmaya veya kişisel verilerini vermeye kandırılır. Nitekim geçen yıl bir saldırgan 6 milyon ehliyet fotoğrafı çalmayı başardı .

Buna ikinci ve en az diğerleri kadar önemli bir sorun daha ekleniyor: Birçok şirket yeterli güvenlik önlemlerine sahip değil veya sahip olsalar bile, kullanıcıları etkileyebilecek bilgi hırsızlığına ve potansiyel veri ihlallerine maruz kalıyorlar. Üstelik, parolaların aksine, bu tür veri ihlallerinin geri döndürülmesi daha zordur: Parola değiştirilebilir; adres ise çok daha karmaşıktır.

Bu nedenle, " Datos argentinos ", bir şirket veya kuruluş tarafından talep edilen fotoğrafı paylaşmadan önce kimlik kartındaki verileri gizlemenize olanak tanıyan Safe ID adlı bir araç kullanan bir sitedir. Arjantinli programcı ve pazarlama uzmanı Martín Aberastegue tarafından oluşturulan site, belgeleri paylaşmadan önce hassas verileri gizlemenin neden iyi bir fikir olduğunu ve bunun nasıl yapılacağını açıklıyor.

"Arjantin DNI'si kimlik hırsızlığı, mali dolandırıcılık ve hizmetlere yetkisiz erişim için kullanılabilecek son derece hassas bilgiler içerdiğinden, gizleme çok önemli. Belge, işlem numarası, tüm kişisel bilgileri dijital formatta içeren PDF417 kodu ve biyometrik veriler gibi kritik veriler içeriyor. Yanlış ellere geçtiğinde, bu bilgiler hileli işlemlere ve mağdurun tamamen taklit edilmesine olanak sağlıyor," diye açıkladı uzman Clarín'e . Clarín, güvenlik açıklarını AFIP (ARCA), telefon şirketleri ve sigorta şirketleri gibi kuruluşlara bildirdi.

Bu nedenle Aberastegue, verilerin gönderilmeden önce gizlenmesine olanak tanıyan açık kaynaklı bir uygulama geliştirdi.

"Datos Argentinos, kişisel DNI verilerini korumaya odaklanan ve tamamen kâr amacı gütmeyen bir platformdur," diyor. "Ana aracı olan Safe ID , verileri harici sunuculara göndermeden, tüm bilgileri kullanıcının tarayıcısında yerel olarak işleyerek kimlik belgenizi güvenli bir şekilde paylaşmanıza olanak tanır. Tamamen çevrimdışı çalışır ve hatta telefonunuza uygulama olarak yüklenebilir. Platform, özel filigranlar ve hassas verilerin gizlenmesi gibi özellikleri tamamen ücretsiz olarak sunar," diye ekliyor.

Bu sistemin iş tarafında bazı sorunları var: Birçok kişi verilerin gizlenmesinden şikayetçi.

"Yasal olarak belgenin tamamını talep etme yetkisine sahip olmasalar bile, sansürlü veri içeren belgeleri tamamen reddeden şirketler var ve bu da kullanıcının hayatını zorlaştırıyor. Örneğin, cep telefonu şirketlerinde bazıları filigranlı ve verileri gizleyen kimlik kartlarını sorunsuz bir şekilde kabul ederken, diğerleri filigranın çok güçlü olduğunu söyleyerek reddetti. Yoğunluğu ayarladım ve sonra kabul etmeye başladılar, ancak gerçek şu ki bu büyük ölçüde şirkete ve size hizmet eden kişiye bağlı," diye açıklıyor.

Sonuçta bu, değişmesi gereken bir kültür.

Adres ve tam adın yanı sıra DNI'da önemli bir bilgi de "işlem numarası"dır.

Uzman, "İşlem numarası, çevrimiçi işlemler ve kimlik doğrulaması için temel bir anahtardır. Bu bilgilerle suçlular, birinin kimliğine bürünerek çevrimiçi resmi işlemler gerçekleştirebilir, dijital platformlarda kimliğini doğrulayabilir, temel bankacılık hizmetlerine erişebilir ve yalnızca kimlik ve işlem numarası gerektiren sistemlerde kişisel verileri doğrulayabilir. Bu, özellikle tehlikelidir çünkü kimlik numarasına tamamlayıcı benzersiz bir tanımlayıcı işlevi görür ve birçok çevrimiçi sistem bunu bir kimlik doğrulama faktörü olarak kullanırken, halk bu bilginin hassasiyetinin farkında değildir ve onu yeterince koruyamamaktadır," diye açıklıyor.

Veri sızıntıları yaşandığında, ortalama vatandaş yeni bir kimlik başvurusunda bulunma eğiliminde olmuyor. Bunun bir nedeni, sürecin zahmetli olması ve sorunun kapsamı hakkında farkındalık eksikliği.

Aberastegue, "Veri ihlali durumunda, çok az kişi ifşa olan işlem numarasını geçersiz kılmak için kimliğini yeniler, bu nedenle risk zaman içinde devam eder. Güvenli Kimlik, verileri paylaşmanın gerçekten gerekli olmadığı zamanlarda koruyarak bu riski en aza indirmeye yardımcı olur" diye açıklıyor.

Son olarak, önemli bir nokta, kimlik yüklenirken görüntünün üçüncü taraf bir sunucuda (ki bu potansiyel olarak tehlikeli olabilir) kaydedilip kaydedilmediğidir. Sistem verileri nasıl işliyor?

Sitede bu durum şöyle açıklanıyor: "Safe ID, verilerinizin depolanmasını teknik olarak imkansız kılan tamamen istemci taraflı bir mimari kullanır. Web uygulaması sunucumuzdan indirilse de, görüntülerinizin tüm işlenmesi, belgeleriniz harici sunuculara gönderilmeden, yerel FileReader ve Canvas API'leri kullanılarak doğrudan tarayıcınızda gerçekleşir ." API'ler, harici programlara veya internete veri göndermeye gerek kalmadan dosyaları ve görüntüleri yönetmenizi sağlayan, tarayıcıya zaten dahil edilmiş işlevlerdir.

"Bir görseli yüklediğinizde, tarayıcı onu doğrudan cihazınızdan okur ve yalnızca RAM'de bulunan dijital bir gösterime dönüştürür. Kırpma, karartma ve filigran ekleme gibi dönüşümler, bir HTML5 Canvas öğesi üzerinde yerel matematiksel işlemler kullanılarak gerçekleştirilir. Sonuç, hiçbir veri bırakmadan doğrudan cihazınızda üretilir," diye ekliyorlar. Uzmanlar için, Güvenli Kimlik kaynak kodu GitHub'da incelenebilir .

"Ayrıca proje, kişisel verilerin korunmasının önemi konusunda farkındalık yaratmayı ve eğitim vermeyi amaçlıyor. Sıkça sorulan sorular, Arjantin Ulusal Kimlik Belgesi (DNI) için bir koruma kılavuzu ve Marcela Pallero tarafından derlenen geçmiş veri ihlallerinin bir çizelgesinin bulunduğu bir bölüm içeriyor," diye ekliyor ve Arjantinli kamu ve özel kuruluşların maruz kaldığı olayların zaman çizelgesini tutan kişisel veri koruma uzmanına atıfta bulunuyor ( bkz. ).

Kullanmak için bu bağlantıya tıklayabilirsiniz. Kullanıcılar verilerini ne kadar çok gizlerse, şirketler ve kuruluşlar da bu tür uygulamaları o kadar çok kabul etmek zorunda kalacak ve bu da nihayetinde yalnızca vatandaşların gizliliğini korumakla kalmayacak, aynı zamanda bir veri ihlali durumunda kuruluşun başının derde girmesini de önleyecektir.