Tax season is officially in the rear view, which means most of us are breathing a sigh of relief. Ale niektórzy z nas pozostają niespokojni. Nie chodzi tu o szansę bycia skontrolowanym (która jest niewielka, choć przerażająca), ale raczej o obawę, że nasza tożsamość zostanie skradziona.

Jeśli jesteś samozatrudniony – czy to jako kierowca Ubera, artysta Etsy, czy coś mniej XXI-wiecznego (jak niezależny dziennikarz) – firmy, które ci płacą są prawnie zobowiązane do dostarczenia 1099, aby pomóc ci przygotować podatki. Wraz z eksplozją „ekonomii współdzielenia”, coraz więcej osób otrzymuje te dokumenty zamiast W-2, formularza podatkowego zarezerwowanego dla pracowników. Firmy fizycznie wysyłają 1099, ale ponieważ błędy się zdarzają, terminy podatkowe są nieubłagane, a Internet jest tak wygodny, niektóre działy finansowe wysyłają te formularze pocztą elektroniczną.

I często wysyłają te formularze podatkowe bez szyfrowania, mimo że jest to nierozważne. Dzieje się tak, ponieważ dokumenty te zawierają poufne dane, takie jak numery Social Security, a poczta elektroniczna jest głównym celem hakerów szukających tożsamości do kradzieży.

Jeśli nie sądzisz, że może Ci się to przytrafić, rozważ to. W ciągu ostatnich sześciu lat, ponad pół tuzina osób wysłało mi niezaszyfrowane formularze finansowe zawierające informacje identyfikujące osobę. Jedna firma – wielomilionowa, duża amerykańska marka – zrobiła to nawet dwa razy.

„Numery ubezpieczenia społecznego są bardziej podatne i bardziej wartościowe niż kiedykolwiek”, mówi Rob Douglas, konsultant ds. bezpieczeństwa, który specjalizuje się w kradzieży tożsamości i oszustwach. Douglas po raz pierwszy zeznawał przed Kongresem na temat ochrony informacji identyfikujących osoby w 1998 roku. Od tego czasu jedyną rzeczą, która się zmieniła, jest łatwość, z jaką oszuści wyłudzają nasze poufne dane.

Od ogromnego stopnia kradzieży tożsamości związanego z włamaniem do Office of Personnel Management do miliardów straconych na oszustwach związanych ze zwrotem podatku, jasne jest, że jest wiele rzeczy, które źli ludzie mogą zrobić z twoim numerem Social Security. „Przestępcy uwielbiają to przestępstwo, ponieważ jest to przestępstwo, które się opłaca, a zainteresowanie prokuratury jest tak małe” – mówi Douglas. Na przykład, policja w San Diego nawet nie spojrzy na sprawę kradzieży tożsamości, chyba że chodzi o co najmniej 40.000 dolarów, ponieważ jest ich tak wiele. Wyobraź sobie, że ta kwota została dziś pobrana z twojego konta bankowego, a jutro nie znajdziesz nikogo, kto chciałby ci pomóc.

Więc naturalnie zakładasz, że traktowanie czyichś ważnych informacji w tak niedbały sposób jest nielegalne, prawda? Nieprawda. Chociaż numer Social Security jest identyfikatorem federalnym, stany mają władzę nad tym, jak się nim posługiwać, co oznacza, że protokoły są różne. Obecnie tylko 12 stanów ogranicza fizyczną wysyłkę numerów Social Security, ale żaden stan nie zakazuje wysyłania ich pocztą elektroniczną. Ponownie: Jest to całkowicie legalne, aby umieścić czyjś numer Social Security w wiadomości e-mail.

To jest problem. Podczas gdy możemy czuć, że poczta elektroniczna jest bezpieczna, i podczas gdy dostawcy tacy jak Apple, Google i Microsoft zrobili to tak, że notatki wysyłane i otrzymywane z adresów w ich domenie (gmail.com, na przykład) są bezpieczne, gdy wiadomość zaczyna przemierzać otwartą sieć, wszystkie zakłady są off.

Gdy e-maile są wysyłane, zazwyczaj przechodzą z oprogramowania na komputerze wysyłającym do serwerów zwanych agentami transferu poczty. Prawdopodobnie będą przechodzić przez kilka takich węzłów, aż dotrą do odbiorcy. Pomiędzy tymi przekaźnikami e-maile są szyfrowane, ale gdy trafiają na serwer, są niezaszyfrowane, czytane, a następnie ponownie szyfrowane przed wysłaniem do kolejnego węzła. Milton Mueller, profesor polityki publicznej w Georgia Institute of Technology, ostrzega, że proces ten może być „niedoskonały” pod względem bezpieczeństwa. „Treść wiadomości jest ujawniona i może być zmieniona przez pośrednie przekaźniki poczty elektronicznej,” mówi.

Mueller mówi, że problem polega na tym, że węzły poczty elektronicznej są niezależnie zarządzane, więc polityka szyfrowania jednego węzła może być nieco niezgodna z polityką innego. A niektóre węzły mogą nawet zostać skompromitowane, umożliwiając hakerom dostęp do wszystkich informacji przepływających przez nie.

Jeszcze, można chronić swoje dane poprzez szyfrowanie plików zawierających prywatne informacje. Ostatnio, w przypadku tej głównej amerykańskiej marki, poprosiłem, aby to zrobili. Ku mojemu zdumieniu, nie tylko pracownik finansowy tej firmy z listy Fortune 500 nie wiedział, jak zaszyfrować plik PDF, ale także jego zespół techniczny. (Jest to tak proste, jak zaznaczenie pola wyboru). „Ludzie, którzy powinni wiedzieć, jak szyfrować – szczególnie jeśli chodzi o poufne informacje finansowe – nie chodzi o to, że nie wiedzą, jak to zrobić, ale nawet nie ma tego w ich protokole” – mówi Douglas. „To zdumiewające, że jeszcze nie zajęliśmy się tą sprawą.”

Powiedziałem tej firmie dokładnie, jak zaszyfrować mój plik, a mimo to został on wysłany bez zabezpieczenia. Co trzeba zrobić, aby ludzie zaczęli szanować prywatne dane innych i obchodzić się z nimi w sposób odpowiedzialny, tak jak z własnymi poufnymi informacjami? Douglas twierdzi, że wymaga to od profesjonalistów finansowych, aby przestali patrzeć na te dane jak na drobiazgi, jak na zwykłe liczby na stronie, a zamiast tego widzieli w nich to, czym są: tożsamość finansową danej osoby. Zamiast tego, Douglas wierzy, że jedyną rzeczą, która zmieni nonszalancki sposób, w jaki ludzie obchodzą się z numerami Social Security poprzez e-mail lub na papierze, będzie „tragedia o takim charakterze fizycznej szkody dla niektórych ludzi, że wstrząśnie sumieniem narodu.”

Na przykład, 15 października 1999 r., 20-letnia Amy Boyer została zamordowana przed swoim mieszkaniem przez Liama Youensa, stalkera, który znalazł adres Boyer po zakupie jej numeru Social Security na stronie internetowej. Zastrzelił ją kilkakrotnie, zanim skierował broń na siebie. W wyniku oburzenia, które po tym nastąpiło, przedstawiono „Prawo Amy Boyer”, które miało uniemożliwić pokazywanie lub sprzedaż czyjegokolwiek numeru ubezpieczenia społecznego. Prawo to nigdy nie przeszło, więc kopniak sumienia, o którym mówił Douglas, jeszcze nie nadszedł.

I pomimo mojego numeru Social Security paradującego po Internecie jak kolorowa gwardia, nie padłem ofiarą kradzieży tożsamości ani żadnego innego oszustwa. Mam nadzieję, że nic mi nie grozi, ale Douglas nie jest aż tak optymistyczny. „Nie mam wątpliwości, że twoje dane są tam dostępne” – mówi. „Statystycznie, wielokrotnie.”

Skontaktuj się z nami na [email protected].