Tax season is officially in the rear view, ami azt jelenti, hogy a legtöbbünk fellélegezhet. De néhányan közülünk továbbra is szoronganak. Nem az ellenőrzés esélye miatt (ami kicsi, bár félelmetes), hanem inkább attól félünk, hogy ellopják a személyazonosságunkat.
Ha önfoglalkoztató – akár Uber-sofőr, akár Etsy-művész, vagy valami kevésbé 21. századi (például szabadúszó újságíró) – az önnek fizető cégeknek törvényileg kötelező 1099-es nyomtatványt adniuk, amely segít az adókészítésben. A “megosztáson alapuló gazdaság” robbanásszerű terjedésével egyre többen kapják meg ezeket a dokumentumokat a W-2 helyett, amely az alkalmazottak számára fenntartott adózási formanyomtatvány. A vállalatok fizikailag postázzák a 1099-eseket, de mivel hibák előfordulnak, az adózási határidők mozdíthatatlanok, és az internet annyira kényelmes, egyes pénzügyi osztályok ehelyett e-mailben küldik ki ezeket a nyomtatványokat.
És gyakran titkosítatlanul küldik ki ezeket az adónyomtatványokat, pedig ezt meggondolatlanság lenne megtenni. Ez azért van így, mert ezek a dokumentumok olyan érzékeny adatokat tartalmaznak, mint a társadalombiztosítási számok, és az e-mail a hackerek elsődleges célpontja, akik személyazonosságokat akarnak ellopni.
Ha nem gondolja, hogy ez megtörténhet önnel, gondoljon erre. Az elmúlt hat év során több mint féltucatnyi ember küldött nekem e-mailben titkosítatlan pénzügyi űrlapokat, amelyek személyazonosító adatokat tartalmaztak. Az egyik cég – egy több millió dolláros, nagy amerikai márka – még kétszer is megtette.
“A társadalombiztosítási számok minden eddiginél fogékonyabbak és értékesebbek” – mondja Rob Douglas, a személyazonossági lopásokra és csalásokra szakosodott biztonsági tanácsadó. Douglas először 1998-ban tett tanúvallomást a kongresszus előtt a személyazonosító adatok védelméről. Azóta szinte az egyetlen dolog, ami változott, az az, hogy milyen könnyűvé vált a csalók számára az érzékeny számjegyeink megszerzése.
A személyazonossági adatokkal való visszaélés hatalmas mértékétől kezdve az Office of Personnel Management hackeléséhez kapcsolódó személyazonossági lopásokon át az adó-visszatérítési csalások során elvesztett milliárdokig egyértelmű, hogy a rosszfiúk sok mindent megtehetnek a társadalombiztosítási számmal. “A bűnözők szeretik ezt a bűncselekményt, mert ez egy olyan bűncselekmény, amely kifizetődő, és az ügyészi érdeklődés olyan csekély” – mondja Douglas. A San Diego-i rendőrség például meg sem néz egy személyazonosság-lopási ügyet, hacsak nem legalább 40 000 dollárról van szó – mondja -, mert olyan sok ilyen eset van. Képzelje el, hogy ma leemelik ezt az összeget a bankszámlájáról, és holnap nem talál senkit, aki hajlandó segíteni önnek.
Ezért természetesen feltételezné, hogy törvénytelen valakinek a létfontosságú adataival ilyen gondatlanul bánni, igaz? Tévedés. Bár a társadalombiztosítási szám szövetségi azonosító, az államok hatáskörébe tartozik a kezelésük, ami azt jelenti, hogy a protokollok eltérőek. Jelenleg mindössze 12 állam korlátozza a társadalombiztosítási számok fizikai postázását, de egyetlen állam sem tiltja az e-mailben történő továbbítást. Ismétlem:
Ez a probléma. Bár úgy érezhetjük, hogy az e-mail biztonságos, és bár az olyan szolgáltatók, mint az Apple, a Google és a Microsoft gondoskodtak arról, hogy a domainjükön belüli címekről (például a gmail.com címről) küldött és fogadott üzenetek biztonságosak legyenek, amint egy üzenet elkezd utazni a nyílt weben, minden tétnek vége.
Az e-mailek küldésekor általában a küldő számítógépen lévő szoftvertől a mail transfer agenteknek nevezett szerverekre kerülnek. Valószínűleg több ilyen csomóponton is áthaladnak, amíg eljutnak a címzetthez. E közvetítők között az e-mailek titkosítva vannak, de amikor elérnek egy kiszolgálót, titkosítástalanítják, elolvassák, majd újra titkosítják őket, mielőtt továbbküldik a következő csomóponthoz. Milton Mueller, a Georgia Institute of Technology közpolitikai professzora arra figyelmeztet, hogy ez a folyamat a biztonság szempontjából “tökéletlen” lehet. “Az üzenetek tartalma kiderül a köztes e-mail közvetítők számára, és azok módosíthatják azt” – mondja.”
Mueller szerint a problémát az jelenti, hogy az e-mail csomópontokat egymástól függetlenül kezelik, így az egyik csomópont titkosítási politikája némileg összeegyeztethetetlen lehet egy másikéval. És egyes csomópontok akár kompromittálódhatnak is, így a hackerek hozzáférhetnek a rajtuk keresztül áramló összes információhoz.
Mégis megvédheti adatait a személyes információkat tartalmazó fájlok titkosításával. Legutóbb ennél a nagy amerikai márkánál kértem, hogy ezt tegyék meg. Megdöbbenésemre nemcsak ennek a Fortune 500 vállalatnak a pénzügyi szakembere nem tudta, hogyan kell titkosítani egy PDF-fájlt, hanem a műszaki csapata sem. (Ez olyan egyszerű, mint bejelölni egy négyzetet.) “Azoknak, akiknek tudniuk kellene, hogyan kell titkosítani – különösen, ha érzékeny pénzügyi adatokról van szó -, nem arról van szó, hogy nem tudják, hogyan kell csinálni, hanem arról, hogy ez még a protokolljukban sincs benne” – mondja Douglas. “Elképesztő, hogy még mindig nem értjük ezt a kérdést.”
Elmondtam ennek a cégnek, hogy pontosan hogyan kell titkosítani a fájlomat, és mégis védtelenül küldték el. Mi kell ahhoz, hogy az emberek valóban tiszteletben tartsák mások privát adatait, és felelősségteljesen kezeljék azokat, ahogyan a saját érzékeny adataikkal tennék? Douglas szerint ehhez az kell, hogy a pénzügyi szakemberek ne apróságként, csak számokként tekintsenek ezekre a létfontosságú adatokra, hanem annak tekintsék őket, amik: egy személy pénzügyi identitásának.
De ez valószínűleg nem hoz elég nagy változást. Ehelyett Douglas úgy véli, hogy az egyetlen dolog, ami megváltoztatná a társadalombiztosítási számok e-mailben vagy papíron történő közömbös kezelését, az “egy olyan tragédia lenne, amely olyan természetű fizikai kárt okoz egyes embereknek, hogy az megrázza a nemzet lelkiismeretét.”
1999. október 15-én például a 20 éves Amy Boyert meggyilkolta a lakása előtt Liam Youens, egy zaklató, aki megtalálta Boyer címét, miután egy weboldalról megvásárolta a társadalombiztosítási számát. A férfi többször rálőtt a nőre, mielőtt maga ellen fordította a fegyvert. Az ezt követő felháborodásban előterjesztették az “Amy Boyer-törvényt”, amely megakadályozza bárki társadalombiztosítási számának megjelenítését vagy eladását. A törvényt soha nem fogadták el, így a Douglas által említett lelkiismeret-furdalás még várat magára.
És annak ellenére, hogy a társadalombiztosítási számom úgy parádézik az interneten, mint egy színészgárda, nem estem személyazonossági lopás vagy más csalás áldozatává. Remélem, hogy megúsztam, de Douglas nem ilyen optimista. “Kétségem sincs afelől, hogy a tiéd odakint van” – mondja. “Statisztikailag többszörösen is.”
Lépjen velünk kapcsolatba a [email protected].