Tax season is officieel in het achterhoofd, wat betekent dat de meesten van ons een zucht van opluchting uitblazen. Maar sommigen van ons blijven ongerust. Het gaat niet om de kans om te worden gecontroleerd (die is klein, hoewel angstaanjagend), maar eerder om de angst dat onze identiteit wordt gestolen.
Als u zelfstandig ondernemer bent – of het nu een Uber-chauffeur, een Etsy-kunstenaar of iets minder 21e-eeuws (zoals een freelance journalist) is – zijn de bedrijven die u betalen wettelijk verplicht om een 1099 te verstrekken om u te helpen uw belastingen voor te bereiden. En met de explosie van de “sharing economy” krijgen steeds meer mensen deze documenten in plaats van W-2’s, het belastingformulier dat voorbehouden is aan werknemers. Bedrijven sturen 1099’s fysiek op, maar omdat fouten gebeuren, belastingdeadlines onwrikbaar zijn, en het internet zo handig is, e-mailen sommige financiële afdelingen deze formulieren in plaats daarvan.
En vaak e-mailen ze deze belastingformulieren onversleuteld, ook al is dat roekeloos. Dat komt omdat deze documenten gevoelige gegevens bevatten, zoals sofinummers, en e-mail is een doelwit bij uitstek voor hackers op zoek naar identiteiten om te stelen.
Als u denkt dat dit u niet kan overkomen, overweeg dan dit. In de afgelopen zes jaar hebben meer dan een half dozijn mensen mij onversleutelde financiële formulieren met persoonlijk identificeerbare informatie gemaild. Eén bedrijf – een multi-miljoen dollar, groot Amerikaans merk – deed het zelfs twee keer.
“Sociale zekerheidsnummers zijn vatbaarder en waardevoller dan ooit,” zegt Rob Douglas, een beveiligingsconsultant die gespecialiseerd is in identiteitsdiefstal en oplichting. Douglas getuigde voor het eerst voor het Congres over de bescherming van persoonlijk identificeerbare informatie in 1998. Sindsdien is zo ongeveer het enige dat is veranderd, hoe gemakkelijk het is geworden voor fraudeurs om onze gevoelige cijfers te grissen.
Van de enorme mate van identiteitsdiefstal gekoppeld aan de Office of Personnel Management-hack tot de miljarden verloren in belastingteruggaaffraude, het is duidelijk dat er veel dingen zijn die slechteriken kunnen doen met je sofinummer. “Criminelen houden van deze misdaad, omdat het een misdaad is die loont, en er is zo weinig belangstelling van de openbare aanklager,” zegt Douglas. De politie van San Diego kijkt bijvoorbeeld niet eens naar een identiteitsdiefstalzaak tenzij er minstens 40.000 dollar mee gemoeid is, zegt hij, omdat het er zo veel zijn. Stel je voor dat dat bedrag vandaag van je bankrekening wordt gehaald en dat je morgen niemand vindt die je wil helpen.
Dus je zou natuurlijk aannemen dat het illegaal is om zo onzorgvuldig met iemands vitale informatie om te gaan, toch? Fout. Hoewel het sofinummer een federaal identificatienummer is, hebben staten de bevoegdheid over hoe ermee wordt omgegaan, wat betekent dat de protocollen variëren. Momenteel beperken slechts 12 staten het fysiek versturen van sofinummers, maar geen enkele staat verbiedt het e-mailen ervan. Nogmaals: Het is volkomen legaal om iemands sofi-nummer in een e-mail te zetten.
Dat is een probleem. Hoewel we het gevoel kunnen hebben dat e-mail veilig is, en terwijl providers als Apple, Google en Microsoft het zo hebben gemaakt dat berichten die worden verzonden en ontvangen van adressen binnen hun domein (gmail.com, bijvoorbeeld) veilig zijn, zodra een bericht het open web begint te doorkruisen, zijn alle weddenschappen off.
Wanneer e-mails worden verzonden, gaan ze meestal van de software op de verzendende computer naar servers die mail transfer agents worden genoemd. Ze zullen waarschijnlijk door verschillende van deze knooppunten gaan totdat ze hun ontvanger bereiken. Tussen deze knooppunten worden de e-mails versleuteld, maar wanneer zij bij een server aankomen, worden zij onversleuteld, gelezen en vervolgens opnieuw versleuteld voordat zij naar het volgende knooppunt worden verzonden. Milton Mueller, hoogleraar overheidsbeleid aan het Georgia Institute of Technology, waarschuwt dat dit proces “onvolmaakt” zou kunnen zijn in termen van veiligheid. “De inhoud van de berichten wordt onthuld aan, en kan worden gewijzigd door, tussenliggende e-mailrelais,” zegt hij.
Mueller zegt dat het probleem is dat de e-mailknooppunten onafhankelijk van elkaar worden beheerd, zodat het encryptiebeleid van het ene knooppunt enigszins incompatibel kan zijn met dat van een ander. En sommige knooppunten kunnen zelfs worden gecompromitteerd, waardoor hackers toegang kunnen krijgen tot alle informatie die door hen stroomt.
Toch kun je je gegevens beschermen door bestanden met privé-info te versleutelen. Onlangs, met dat grote Amerikaanse merk, heb ik gevraagd dat ze dit doen. Tot mijn verbazing wist niet alleen een financiële professional bij dit Fortune 500-bedrijf niet hoe een PDF-bestand moest worden versleuteld, maar ook het technische team niet. (Het is zo simpel als het aanvinken van een vakje.) “Mensen die zouden moeten weten hoe ze encryptie moeten doen – vooral als het om gevoelige financiële informatie gaat – het is niet dat ze niet weten hoe het moet, het staat niet eens in hun protocol,” zegt Douglas. “Het is verbijsterend dat we ons nog niet over deze kwestie hebben gebogen.”
Ik heb dit bedrijf precies verteld hoe ik mijn bestand moest versleutelen, en toch werd het nog steeds onbeveiligd verzonden. Wat is er nodig om ervoor te zorgen dat mensen de privégegevens van anderen respecteren en er verantwoordelijk mee omgaan, zoals ze met hun eigen gevoelige informatie zouden doen? Douglas zegt dat het vereist financiële professionals om te stoppen met kijken naar deze vitale gegevens als minutia, als gewoon nummers op een pagina, en in plaats daarvan zien ze voor wat ze zijn: een persoon financiële identiteit.
Maar dat is onwaarschijnlijk dat een groot genoeg verschil te maken. In plaats daarvan gelooft Douglas dat het enige wat de nonchalante manier waarop mensen omgaan met sofinummers via e-mail of op papier zal veranderen, zou zijn “een tragedie van een zodanige aard van fysieke schade aan sommige mensen dat het geweten van de natie wordt geschokt.”
Op 15 oktober 1999, bijvoorbeeld, werd de 20-jarige Amy Boyer voor haar appartement vermoord door Liam Youens, een stalker die Boyer’s adres had gevonden nadat hij haar sofinummer van een website had gekocht. Hij schoot haar meerdere malen neer voordat hij het pistool op zichzelf richtte. In de verontwaardiging die volgde, werd de “Wet van Amy Boyer” voorgesteld om het tonen of verkopen van iemands sofi-nummer te verbieden. De wet is er nooit gekomen, dus de geweten-schop waar Douglas het over had moet nog komen.
En ondanks dat mijn sofi-nummer als een kleurenwacht op het Internet rondparadeerde, ben ik geen slachtoffer geworden van identiteitsdiefstal of enige andere vorm van fraude. Ik hoop dat ik veilig ben, maar Douglas is niet zo optimistisch. “Ik twijfel er niet aan dat je er bent,” zegt hij. “Statistisch gezien, meerdere malen.”
Contacteer ons op [email protected].