Quanto è pericoloso rivelare la tua data di nascita, e perché?

Il problema con la rivelazione del tuo compleanno non è il compleanno in sé, è che stai dando alle persone un altro punto dati.

Rivela il tuo compleanno sul sito A, i tuoi parenti sul sito B (che dà ad esempio il nome da nubile della madre), il tuo indirizzo sul sito C ... prima che tu sappia che le persone sono in grado di riunire una grande quantità di informazioni compilate.

Queste informazioni possono quindi essere utilizzate per hackerare le cose, direttamente utilizzando moduli di reimpostazione della password, indovinando password, ecc. o indirettamente tramite attacchi di spear phishing.

Ad esempio un messaggio di compleanno di un vecchio amico della scuola che arriva il giorno del tuo compleanno e proviene dal suo nome sarebbe molto più convincente di un'e-mail casuale con un link che dice "fai clic su questo".

Il problema non è il compleanno in sé, il problema è che purtroppo molte aziende e siti Web lo stanno ancora utilizzando a scopo di verifica. Questa è certamente una cattiva pratica e molte aziende stanno cambiando le loro politiche solo per questo motivo.

A volte le banche lo utilizzavano per recuperare una password, ma negli ultimi anni anche loro hanno cambiato le loro procedure in modo significativo (a seconda della banca che si usa).

Quindi per rispondere alla tua domanda è sicuro rivelare la tua data di nascita. Preferibilmente, lo comunichi solo quando è veramente necessario (ad esempio, chiedi ogni volta se ne ha davvero bisogno), le informazioni non sono considerate segrete e ti verrà richiesto di rivelarle in occasioni per scopi legittimi. Come per qualsiasi informazione personale, la cosa migliore da fare è rivelare nel minor numero possibile di occasioni. D'altra parte, se il furto di identità è fatto e il colpevole risulta essere qualcuno in grado di recuperare informazioni o eseguire un'azione semplicemente dando il tuo compleanno (che è facile da trovare). Quindi molto probabilmente la società sarà responsabile per non proteggere adeguatamente le tue informazioni personali o essere negligenti nel loro processo di verifica. Ovviamente questo vorrà dire che dovrai affrontarlo (che è una seccatura e richiede molto tempo).

What kinds of things could an ID thief do with just with my birthday? Can he, for example, open a bank account? Recover a bank password? Open a credit card? Take a car loan?

Le risposte a queste domande dipendono dallo spazio e dal tempo. Per spazio intendo la legislazione in diversi paesi e anche lo stile di vita e il benessere del paese che qualcuno sta vivendo conta molto. Puoi essere sorpreso, ma ci sono molti paesi in cui anche avere un conto in banca è un lusso, nel qual caso nessuno deve preoccuparsi se il suo compleanno è rivelato o meno.

Inoltre, quando si tratta di banche, ad esempio, si adattano alla legislazione dei paesi in cui sono attivi. Inoltre, all'interno dello stesso paese, la legge cambia di volta in volta in modo tale che quando tali informazioni sono inutili per una persona malvagia, in qualche modo può essere interessante in alcuni anni.

In tutti i casi, non esiste un sistema di sicurezza che dipende solo dalla tua data di nascita per soddisfare qualsiasi passaggio dell'autenticazione perché il tuo compleanno è già mio secondo il compleanno paradosso . Ma naturalmente, meno rivelerai di te più sicuro che tu sia. Ma questo ci porterà a scegliere tra essere paranoici, negligenti o semplicemente saggi.

Modifica

Come vivi negli Stati Uniti, sai meglio di me che il tuo SSN è troppo importante. In questo caso, dopo una breve ricerca, ho trovato che ci sono già alcuni algoritmi una persona cattiva potrebbe correre a indovinare il tuo SSN in base al tuo compleanno e luogo di nascita, portando anche a furto di identità .

Negli Stati Uniti, i compleanni sono di dominio pubblico e ci sono molti database online in cui possono essere cercati banalmente. In altri paesi come l'Italia è ancora meno privato. La tua data di nascita viene ordinariamente richiesta su semplici moduli web ed è anche inclusa in un curriculum.

In sostanza, i compleanni non sono segreti e non dovresti trattarli come se fossero uno. Sì, alcuni siti Web non validi li utilizzano a scopo di verifica. Ma mantenere qualcosa di segreto che non è un segreto è una pratica sciocca.

Con il nome, il compleanno e l'indirizzo da solo, un utente malintenzionato potrebbe richiedere alla tua casella di posta elettronica di individuare la banca con cui hai un account. Al tuo compleanno, potrebbe spedirti una lettera con la carta intestata di quella banca contenente un buono per il tuo compleanno e chiedendoti di visitare un link dannoso per riscattare il buono.

È inverosimile. Ma il punto che sto cercando di fare è che dovresti provare il più possibile a ridurre al minimo la quantità di informazioni pubbliche perché è possibile ottenere ulteriori informazioni da esso. Per esempio. ottenere il nome della tua banca dal tuo indirizzo.

In secondo luogo, credo che non ci siano linee guida standard su quali informazioni sono considerate informazioni pubbliche e quali informazioni non lo sono. Ad esempio, alcune banche potrebbero considerare il tuo compleanno come informazioni private e consentire di reimpostare il PIN se è possibile fornire il compleanno. Un buon esempio di ciò è il furto di identità di Matt Honan. Nel 2012, Apple ha considerato le ultime 4 cifre del numero di carta di credito come informazioni private, ma Amazon le ha considerate informazioni pubbliche. Ciò gli ha fatto perdere la sua intera vita digitale.

Fonte: link

Nel Regno Unito, un risultato specifico di rivelare la data di nascita - entro certi parametri - è che possono trovare il nome da nubile di tua madre. Da lì possono rintracciare il matrimonio dei tuoi genitori e tutti i tuoi fratelli.

Dato il tuo nome e data di nascita puoi visitare FreeBMD e, se il tuo nome è insolito, è possibile trovare i dettagli del registro della tua nascita, compreso il nome da nubile di tua madre (una domanda di sicurezza comune). Se il tuo nome è comune, un luogo di nascita (disponibile da Facebook credo) può essere utilizzato per restringere la voce.

Una volta che hanno i nomi dei tuoi genitori, potranno quindi, dallo stesso sito, scoprire i nomi e le date di nascita di tutti i tuoi fratelli. Copie di nascita e certificati di matrimonio possono essere acquistati con una piccola tassa, dalla quale alcuni altri i dettagli possono talvolta essere derivati.

Da lì possono ora utilizzare il Registro elettorale per rintracciare la casa e l'indirizzo della tua famiglia.

Si tratta chiaramente di informazioni striscianti. Una volta che una certa quantità di informazioni su di te è là fuori, più possono essere sviluppate spesso da fonti gratuite.

responsabilità

Questa è una domanda complessa perché qui il termine del rischio potrebbe essere compreso in 2 modi. Stai chiedendo il rischio associato all'azione di "comunicare la data di nascita di una persona a una società". Stai parlando del rischio complessivo associato al risultato finale di questo operazione o stai parlando del rischio aggiunto associato a questa sola azione.

Rischio isolato

Dai dettagli della tua domanda, stai chiedendo una valutazione del rischio appena aggiunto da questa operazione.

Poiché una data di nascita è un'informazione pubblica, né segreta né revocabile, non è possibile modificare in alcun modo il rischio complessivo associato a queste informazioni. Il rischio associato a questa operazione è quindi: 0.

Rischio cumulativo

Questo sguardo è soffocante, ma ciò è dovuto al fatto che "comunicare la data di nascita di una persona a un'azienda" è un rischio prima dell'azione di chi comunica la sua data di nascita.

Il rischio complessivo associato alla comunicazione della data di nascita potrebbe essere visto come una formula semplificata:

false secret + bad security + crosscheck hunt + personnal communication

e la mia stima di questi in termini di probabilità aggiunte di cattivi risultati è:

  false secret:            x
+ bad security:            y
                           (this y isn't independant x)
+ crosscheck hunt:         z
                           risk added by hunter of different public
                           information to build a correct identity to attack
                           companies promoting false secrets
+ personnal communication: t
________________________________________________________________________
Total probability of bad:  p = 1 - (1-x)(1-y)(1-z)(1-t)

(La mia stima grezza personale è che x ≃ 0,1, y ≃ 0,4, z ≃ 0,2, t ≃ 0
che porta a p ≃ 0,6)

Per lo stesso motivo, dal mio punto di vista personale, il rischio generale associato all'idea che a la data di nascita è un segreto e potrebbe essere utilizzata come autenticazione sia di: 1 (= probabilità di evento negativo = 1 x perimetro di impatto = max).

Cattivo esempio

La mia banca sta usando la mia data di nascita come meccanismo di identificazione. Ho spiegato loro perché mi fido di loro meno degli altri a causa di questo falso segreto che stanno vendendo a clienti ingenui e al rischio che stanno creando.

Non sono cambiati. Hanno registrato le informazioni molto educatamente.

Il rischio di cambiare banca aumenta ogni giorno.

Il rischio che questa pratica povera diventi pubblico aumenta ogni giorno.

Ti consiglio di leggere il libro Kevin Mitnick " Ghost in the Wires " per una visione che apre gli occhi su ciò che qualcuno può fare con un singolo, o pochi, datapoint. Secondo la tua domanda, qualcuno potrebbe avere anche il tuo nome e indirizzo.

Un buon ingegnere sociale come Mitnick forse lo userebbe per chiamare il gestore dell'appartamento e ottenere altri punti dati come quando sei entrato, chi è il tuo contatto di emergenza, ecc. (Ad esempio, forse si presenta come medico e dice sei nel suo pronto soccorso e tutto quello che ha sono la tua patente cellulare e la patente di guida.) Poi usa queste informazioni per posare come un vecchio amico del college che cerca di trovarti, ecc. Ogni chiamata che fa gli dà un altro pezzo finché non può ricrea un numero sufficiente di storie per ottenere il tuo SSN, i numeri di conto, ecc.

Ad ogni modo, controlla il libro e capirai molto rapidamente perché anche una parte di informazione 1 è sufficiente per un buon ladro di identità.

Negli Stati Uniti, "nome e data di nascita" sembrano essere i token di autenticazione standard richiesti da medici e altri professionisti del settore medico. Certamente ogni volta che chiamo il mio medico, mi viene chiesta questa informazione, e solo questa informazione, prima che discuteranno qualcosa di personale.

Se un utente malintenzionato possedeva questa informazione e poteva indovinare l'identità del medico (forse facile da fare dal tuo indirizzo, se vivi in una città abbastanza piccola), probabilmente potrebbero impersonarti con successo per telefono dal medico. Mi aspetterei che siano in grado di ottenere informazioni sui tuoi prossimi appuntamenti, risultati dei test, ecc. Ottenere un set completo dei tuoi record potrebbe richiedere un po 'più di lavoro (magari forgiare la tua firma su un modulo inviato).

La data di nascita è solo un'altra parte delle informazioni personali identificabili (PII). Tutti i dati che potrebbero potenzialmente identificare una persona specifica. Più pezzi di tali PII, più è facile identificarti o impersonarti. Le banche del mio paese fanno 2-3 domande personali prima di verificare che si sia effettivamente il proprietario dell'account per telefono.

Per sapere come è in grado di identificarti da un database anonimo (es. sito di appuntamenti, record di donatori ospedalieri con nomi anonimi), parti diverse delle tue informazioni possono aumentare la probabilità che il moniker che stai utilizzando sia effettivamente te.

Non tutti i servizi richiedono un secondo fattore di autenticazione (2FA), quindi la conoscenza delle informazioni personali su qualcuno può ottenere l'accesso dell'attaccante a un sistema, un operatore telefonico che guarda il tuo record o un'infermiera che sta controllando alcune cartelle cliniche per telefono o, in alcuni casi, impersonare un'azienda per richiedere pagamenti da un fornitore.

Sto aggiungendo questo come risposta a causa di un risposta scrupolosamente ricercata sul sito Law.SE .

Citando:

At New York State's Court web site, you can read about how to get criminal records of anyone - they are public record so anyone can make a request about anyone. There is a fee of $65. Records can be ordered online and the results can be emailed to you. Searches are processed by an exact match of name and date of birth (emphasis mine - D.H.).

Gli altri stati hanno procedure sostanzialmente simili; possono essere richieste anche informazioni su fatti e titoli di proprietà. Mentre le richieste vengono registrate, una persona determinata avrà qualche identità falsa o alternativa per fare queste richieste.