1 điểm bởi GN⁺ 2023-11-12 | 1 bình luận | Chia sẻ qua WhatsApp
  • Tài khoản Experian có thể bị chiếm đoạt bằng cách đăng ký lại với cùng thông tin cá nhân nhưng một địa chỉ email khác; vấn đề xác thực từng bị phát hiện năm 2022 vẫn còn tồn tại sau 16 tháng
  • Quy trình đăng ký lại dùng Social Security number, ngày sinh, tên, địa chỉ, email, mật khẩu và câu hỏi bảo mật dựa trên kiến thức; bước xác minh điện thoại di động có thể bị bỏ qua bằng “Continue another way”
  • Khi tài khoản mới được tạo, có thể xem toàn bộ hồ sơ tín dụng và bật/tắt đóng băng tín dụng; email cũ chỉ nhận thông báo thay đổi chứ không phải yêu cầu phê duyệt
  • Equifax và TransUnion yêu cầu xác minh bằng mã gửi tới email hoặc số điện thoại đã đăng ký khi thay đổi tài khoản hiện có, nhưng Experian không cung cấp cho người dùng hiện tại cơ chế phê duyệt thay đổi hay khôi phục
  • Nếu kẻ tấn công có thể tái tạo tài khoản bằng số điện thoại và email mới, chỉ xác thực đa yếu tố tại thời điểm đăng nhập sẽ khó ngăn được việc chiếm đoạt tài khoản

Experian từng cho phép tạo lại tài khoản bằng email khác

  • Mùa hè năm 2022, đã xác nhận các trường hợp tài khoản Experian bị chiếm đoạt sau khi được đăng ký lại bằng một địa chỉ email khác
  • Sau 16 tháng, vấn đề tương tự vẫn còn tồn tại, và tài khoản Experian của chính Krebs gần đây cũng đã bị chiếm đoạt
  • Krebs yêu cầu bản sao hồ sơ tín dụng Experian qua annualcreditreport.com, nhưng Experian từ chối cung cấp với lý do không thể xác minh danh tính
  • Đăng nhập trực tiếp vào Experian.com cũng thất bại, và trang web hiển thị rằng không nhận diện được tên người dùng hoặc mật khẩu
  • Trong quy trình yêu cầu tên người dùng, cần nhập đầy đủ Social Security number và ngày sinh; sau đó hiển thị một phần địa chỉ email mà Krebs không phê duyệt cũng không biết

Điểm yếu xác thực lộ ra trong quy trình đăng ký lại

  • Trang chủ Experian yêu cầu Social Security number và số điện thoại di động, đồng thời thông báo rằng người dùng sẽ nhận được liên kết xác minh danh tính
  • Có vẻ website không chặn khi nhập bất kỳ số điện thoại nào tại Mỹ, và có thể bỏ qua bước này bằng cách chọn “Continue another way”
  • Sau đó, để tạo lại tài khoản, cần các thông tin sau
    • Họ tên đầy đủ
    • Địa chỉ
    • Ngày sinh
    • Social Security number
    • Địa chỉ email
    • Mật khẩu đã chọn
  • Bước tiếp theo yêu cầu trả lời 3–5 câu hỏi bảo mật dạng trắc nghiệm, trong đó câu trả lời thường dựa trên hồ sơ công khai
  • Khi Krebs tạo lại tài khoản, trong 5 câu hỏi chỉ có 2 câu liên quan tới thông tin thực tế, và cả hai đều hỏi về địa chỉ cư trú trước đây
  • Sau khi vượt qua các câu hỏi trắc nghiệm, người dùng được yêu cầu thiết lập mới mã PIN 4 chữ số và câu trả lời cho một trong các câu hỏi được định sẵn
  • Sau khi tài khoản mới được tạo, có thể chuyển tới bảng điều khiển Experian, nơi có thể xem toàn bộ hồ sơ tín dụng và bật/tắt đóng băng tín dụng

Thứ còn lại cho người dùng hiện tại chỉ là thông báo thay đổi

  • Khi dữ liệu tài khoản thay đổi, Experian gửi thông báo tới địa chỉ email cũ rằng một phần hồ sơ người dùng đã được thay đổi
  • Tin nhắn này không phải yêu cầu xác nhận mà chỉ là thông báo thay đổi đơn thuần; hành động duy nhất được cung cấp cho người dùng hiện tại là nhấp vào liên kết đăng nhập Experian.com
  • Người dùng hiện tại nhận được thông báo sẽ không còn có thể đăng nhập bằng thông tin đăng nhập tài khoản Experian cũ
  • PIN và câu hỏi khôi phục tài khoản cũng đã bị thay đổi, nên để lấy lại tài khoản, người dùng hiện tại phải tạo lại tài khoản tại Experian
  • Equifax và TransUnion chỉ cho phép thay đổi tài khoản hiện có sau khi người dùng nhập mã được gửi tới địa chỉ email hoặc số điện thoại đã đăng ký

Phản hồi của Experian và các trường hợp độc giả kiểm chứng

  • Experian từ chối chia sẻ toàn bộ địa chỉ email đã bị thêm trái phép vào hồ sơ tín dụng của Krebs
  • Người phát ngôn Experian Scott Anderson cho biết công ty đã triển khai và tiếp tục phát triển cách tiếp cận bảo mật nhiều lớp, bao gồm các biện pháp thủ công và chủ động, nhằm bảo vệ danh tính và thông tin của người tiêu dùng
  • Theo Anderson, các biện pháp đó bao gồm câu hỏi và câu trả lời dựa trên kiến thức, cũng như quy trình xác minh quyền sở hữu và nắm giữ thiết bị
  • Tất cả người tiêu dùng có thể bật xác thực đa yếu tố được yêu cầu mỗi lần đăng nhập tài khoản, nhưng hiệu quả sẽ bị hạn chế nếu tài khoản có thể được tái tạo bằng số điện thoại và email mới
  • Những độc giả thấy các bài đăng liên quan đến Experian trên Mastodon cũng xác nhận vấn đề tương tự
    • @Jackerbee cho biết đã nhập số điện thoại thứ hai và địa chỉ email mới; email cũ chỉ nhận một email thông báo rằng thông tin đã được cập nhật, không có xác minh email cũ
    • Số điện thoại cũ cũng không nhận được thông báo SMS, và sau đó khi đăng nhập, 2FA hoạt động với số điện thoại mới
    • PeteMayo đã tạo lại tài khoản Experian hai lần trong cùng tuần, lần thứ hai nhập một số điện thoại cố định ngẫu nhiên
    • Trong trường hợp của PeteMayo, sau khi xuất hiện 5 câu hỏi về lịch sử cá nhân, hệ thống cấp toàn quyền truy cập cùng thông báo “Welcome back, Pete!”

Các sự cố bảo mật lặp lại của Experian

  • Kẻ chiếm đoạt tài khoản của Krebs hoặc chưa gỡ đóng băng tín dụng, hoặc nếu đã gỡ thì đã đóng băng lại
  • Nếu Experian không thay đổi quy trình xác thực, tài khoản Experian của Krebs có thể lại bị chiếm đoạt
  • Experian từng nhiều lần gặp sự cố liên quan đến điểm yếu xác thực cơ bản
    • Tháng 12/2022, một cách vượt qua cho phép truy cập toàn bộ báo cáo tín dụng của người tiêu dùng chỉ bằng tên, địa chỉ, ngày sinh và Social Security number đã được phát hiện; Experian thừa nhận lỗ hổng này tồn tại gần 7 tuần, từ ngày 9/11 đến 26/12/2022
    • Tháng 4/2021, trang tra cứu PIN của Experian có cơ chế xác thực lỏng lẻo, cho phép kẻ đánh cắp danh tính gỡ đóng băng hồ sơ tín dụng của người tiêu dùng
    • Cùng tháng đó, một trường hợp API của Experian làm lộ điểm tín dụng của phần lớn người Mỹ đã được công bố
  • Các sự việc liên quan trước đây gồm vụ kiện tập thể về bảo mật tài khoản năm 2022, vụ lộ PIN đóng băng tín dụng năm 2017, vụ xâm phạm 15 triệu khách hàng năm 2015, việc cho phép truy cập hồ sơ của 200 triệu người tiêu dùng năm 2014, và vụ bán dữ liệu người tiêu dùng cho dịch vụ đánh cắp danh tính năm 2013

1 bình luận

 
GN⁺ 2023-11-12
Ý kiến trên Hacker News
  • Vấn đề gốc rễ ở đây là chi phí duy trì bảo mật rất lớn, và đôi khi xử lý sau khi bị hack lại rẻ hơn
    Giải pháp duy nhất là thông qua tiền phạt và các vụ kiện của nạn nhân bị đánh cắp danh tính, khiến công ty bị hack phải trả cái giá cực kỳ lớn

    • Chi phí không lớn đến vậy
      Chỉ vài xu cho mỗi lần tra cứu báo cáo tín dụng là có thể dùng xác thực dựa trên kiến thức, chẳng hạn “đã từng sống ở đâu”, “giao dịch này có phải của bạn không”
      Xác minh danh tính dựa trên giấy tờ tùy thân do chính phủ cấp như ID.me hay Stripe Identity cũng chỉ khoảng 1,50–2,00 USD mỗi lần thử
      Vấn đề là gánh nặng thiệt hại do gian lận bị đẩy sang người tiêu dùng, nên không có động lực tăng chi phí thêm một chút để giảm gian lận, và các hãng chấm điểm tín dụng cũng không muốn con hào cạnh tranh cùng nguồn doanh thu của mình bị xói mòn
      Tóm lại, nếu có một hệ thống định danh số quốc gia tốt hơn thì vấn đề này sẽ biến mất
      Tôi phụ trách IAM khách hàng, bao gồm xác minh danh tính, trong lĩnh vực fintech, và với tư cách nhà hoạt động công dân cũng có tham gia một phần công việc liên quan đến Login.gov
    • Nói “duy trì bảo mật rất đắt” có thể đúng ở một mức nào đó, nhưng nếu toàn bộ hoạt động kinh doanh là cung cấp bảo chứng dựa trên danh tính của mọi người, thì họ phải nỗ lực hơn rất nhiều để làm cho dịch vụ an toàn hơn
      Nếu vận hành an toàn là quá đắt, thì trước hết nên đặt câu hỏi liệu một dịch vụ như vậy có nên tồn tại hay không, và liệu họ có đủ tư cách lưu trữ nhiều thông tin cá nhân và riêng tư như thế không
    • Điều đáng chú ý là vấn đề dùng SSN để xác minh danh tính này không thuộc phạm vi áp dụng của GDPR
      GDPR có thể phạt tới tối đa 4% doanh thu toàn cầu
  • Tất nhiên chúng ta không phải khách hàng của những công ty giám sát như thế này
    Dù vậy, thật đáng ngạc nhiên là mức độ gần như hoàn toàn thiếu bảo mật này lại không phải lý do để khách hàng thực sự ngừng giao dịch
    Nếu dịch vụ này trên thực tế cho phép gần như bất kỳ ai mạo danh bất kỳ người nào, thì tôi không hiểu còn lý do gì để dùng nó

    • Những tài khoản này không dành cho những người trả tiền cho Experian
      Các công ty trả tiền cho Experian để truy cập thông tin về cá nhân, và lý do duy nhất Experian cho phép tài khoản cá nhân là vì luật bắt họ phải cung cấp những thứ như đóng băng tín dụng hoặc báo cáo tín dụng hằng năm
      Nếu không bắt buộc, họ sẽ không làm chút nào, và hoàn toàn không có động lực cải thiện trải nghiệm hay bảo mật
    • Mục đích là có được khả năng phủ nhận hợp lý, để đẩy tối đa rủi ro nghiêm trọng mang tên đánh cắp danh tính sang người tiêu dùng thay vì công ty
    • Khi đánh cắp danh tính trở nên phổ biến đến mức dữ liệu không còn đáng tin về mặt thống kê nữa, thì lúc đó thậm chí Quốc hội cũng đã vượt quá thời điểm đáng ra phải cảm thấy cần làm gì đó từ lâu
    • Có lựa chọn nào sao? Ở nơi tôi sống, tôi không thể rút khỏi Experian hay các dịch vụ chấm điểm tín dụng khác
    • Dữ liệu cá nhân cũng cần một đạo luật kiểu HIPAA
  • Lùi lại một bước để nhìn toàn cảnh, vấn đề thật sự là thiếu luật về quyền riêng tư
    Ngân hàng, doanh nghiệp, nhà tuyển dụng nên bị cấm chia sẻ thông tin cá nhân với bên thứ ba
    Ở Thụy Sĩ, nơi tôi sống, thực tế là như vậy, và ngay cả chính phủ cũng không có được thông tin này
    Nếu chính phủ nghi ngờ trốn thuế, họ phải xin lệnh và đi theo cùng quy trình như với các tội phạm khác
    Hồ sơ tài chính có thể truy cập duy nhất là “Betreibungen”, tức hồ sơ về quy trình thu hồi nợ hợp pháp
    Trước khi cấp tín dụng cho ai đó, bạn có thể kiểm tra xem người khác có phải kiện đến mức đó để đòi tiền họ hay không
    Vậy mà không cần các hãng chấm điểm tín dụng, mọi thứ vẫn vận hành tốt chỉ với lượng thông tin ít ỏi như vậy
    Tuy nhiên, do áp lực quốc tế như FATCA, luật Thụy Sĩ đã thay đổi để ngân hàng phải báo cáo đối với khách hàng quốc tế

    • Câu “mọi thứ vẫn vận hành tốt” chắc chắn là tốt với những người như nhà độc tài, kẻ trốn thuế
      Thụy Sĩ cho thấy rất rõ vì sao quyền riêng tư tài chính tuyệt đối là không công bằng với người nộp thuế bình thường
      Vì nó cho phép giới siêu giàu che giấu số thuế đáng lẽ họ phải nộp
    • Vấn đề này có lẽ sẽ được giải quyết nếu đừng đối xử với số an sinh xã hội như một phương án thay thế nghiêm túc cho thẻ căn cước quốc gia an toàn
    • Tôi tò mò luật về quyền riêng tư tài chính và báo cáo tín dụng của Thụy Sĩ khác với các nước EU như thế nào
      Có nội dung rằng “khoảng 36% người Thụy Sĩ sở hữu nhà hoặc căn hộ, mức thấp nhất trong thế giới phương Tây và thấp hơn nhiều so với mức trung bình 70% của Liên minh châu Âu, 67% của Mỹ”
      Hẳn có nhiều yếu tố, nhưng nếu có ít thông tin hơn về mức độ tín nhiệm, tôi nghĩ người ta sẽ kém tích cực hơn trong việc tài trợ cho các khoản mua sắm lớn của ai đó
      [1] https://www.nytimes.com/2023/11/06/realestate/zurich-switzer...
    • Hoàn toàn đúng
      Công ty tôi làm thì tôi sẽ không nêu tên, nhưng là FAANG, và khi mua dữ liệu này rồi nhận cookie Experian, họ dùng nó để theo dõi và xây dựng đồ thị tốt hơn
      Mỹ cứ nói là quan tâm đến quyền riêng tư của người dân, nhưng thực tế thì không
      Nếu thực thi luật quyền riêng tư mạnh tay, vì Big Tech nằm ở nhóm trên trong 500 cổ phiếu hàng đầu, tôi nghĩ nó cũng sẽ ảnh hưởng đến những mảng như tài khoản ngân hàng
  • Có một kiến nghị Resistbot được lập để đưa vấn đề này đến trước các nhà lập pháp
    https://resist.bot/petitions/PONADR

    • Tôi không phải người Mỹ nên lần đầu thấy cái này, nhưng phạm vi tiếp cận có vẻ hạn chế
      https://resist.bot/petitions
      Ở Đức, chẳng hạn có Campact, và thường mỗi kiến nghị vượt quá 200.000 chữ ký
      Nếu ở Mỹ không có thứ như vậy, tôi nghĩ ai đó có tiền nên xây dựng, hoặc quảng bá một giải pháp sẵn có như OpenPetition tới đủ số người ký thường xuyên
      https://en.wikipedia.org/wiki/Campact
  • Nếu có 3 cơ quan đánh giá tín dụng, liệu có cách nào để tránh việc có điểm tín dụng tại một trong số đó không?
    Tôi nghĩ đó có thể là một cách để người tiêu dùng tăng cạnh tranh trong lĩnh vực này
    Tôi đã tìm thử nhưng không thấy lựa chọn nào dễ dàng

    • Không có cách nào rút khỏi báo cáo tín dụng
      Vì các bên cho vay thường báo cáo thông tin cho cả 3 cơ quan đánh giá tín dụng lớn, nên nếu muốn không có thông tin nào được báo cáo, bạn phải đóng tất cả thẻ tín dụng và khoản vay, rồi đóng băng báo cáo tín dụng của mình
      Tôi không nghĩ “tăng cạnh tranh” sẽ hiệu quả ở đây
      Chúng ta không phải khách hàng của các cơ quan đánh giá tín dụng, mà là sản phẩm; khách hàng là các bên cho vay và những người khác cần thông tin của chúng ta
      Từ góc nhìn của bên cho vay, cấu trúc này đang vận hành tốt, vì trách nhiệm xác minh chính xác danh tính của người nộp đơn trước khi cấp tín dụng không nằm ở bên cho vay, mà được chuyển thành gánh nặng “đánh cắp danh tính” đặt lên công chúng cá nhân
      Bản thân cách gọi “đánh cắp danh tính” gần như là một tên gọi sai được tạo ra để đẩy trách nhiệm sang cá nhân
      Lý tưởng nhất, trách nhiệm ngăn tội phạm lạm dụng thông tin của tôi và sửa sai khi tội phạm cố dùng thông tin của tôi để gian lận phải thuộc về bên cho vay
      Giải pháp tốt hơn là nâng tiêu chuẩn xác minh danh tính của bên cho vay
      Khi đó, gánh nặng thực sự xác minh danh tính trước khi cấp tín dụng sẽ chuyển sang bên cho vay
      Một số bên cho vay thực sự kiểm tra khá tốt, nhưng những nơi khác dường như chấp nhận thông tin nhận được một cách thiếu phản biện
      Tiêu chuẩn cao trên toàn ngành, dù là tự nguyện hay bắt buộc theo luật, sẽ giúp giải quyết vấn đề này
    • Tôi nghĩ thay đổi như vậy nhất định phải xảy ra
      Các cơ quan đánh giá tín dụng vận hành giống như các công ty cung cấp hàng hóa công tư nhân với rất ít lựa chọn thay thế
      Nếu chúng giống như ứng dụng quản lý mật khẩu, ta đã có thể đánh giá nhiều công ty, chọn nơi mình muốn, rồi chuyển đi bất cứ lúc nào nếu có vấn đề
    • Vấn đề là chúng ta không phải người tiêu dùng
      Họ nhận dữ liệu của chúng ta từ mọi công ty mà chúng ta giao dịch
      Có lẽ phải xác định từng mắt xích liên quan đến các cơ quan đánh giá tín dụng
      Có lẽ nếu bạn không mở thẻ tín dụng và cũng không vay tiền, bạn có thể được bảo vệ phần nào khỏi việc “điều tra” của họ
    • Các công ty báo cáo dữ liệu cho họ
      Vì vậy bạn phải tránh các công ty báo cáo cho một bên nào đó, nhưng thường thì họ báo cáo đồng thời cho nhiều cơ quan
    • Với tư cách người tiêu dùng thì không thể
      Nếu là doanh nghiệp thì có thể báo cáo cho cơ quan mình muốn
  • Vài ngày trước tôi tạo hồ sơ của mình và thử đăng nhập để xem chuyện gì đang xảy ra trong tài khoản, nhưng trang web hỏng đến mức tôi còn không đăng nhập được
    Tôi còn không thể là chính mình, vậy không hiểu ai đó có thể giả mạo tôi bằng cách nào

    • Muốn giả mạo bạn thì chỉ cần đi qua các kênh mà khách hàng của Experian dùng
      Thứ bạn dùng không phải là kênh dành cho khách hàng Experian, mà là kênh dành cho những người là gánh nặng của Experian
  • Trong vài tuần gần đây tôi nhận vô số email xác nhận mua hàng từ các nhà bán lẻ lớn như Casas Bahia, Americanas, Magazine Luiza
    Tên và CPF của tôi xuất hiện trên hóa đơn của nhiều điện thoại thông minh và laptop
    Tôi đã liên hệ với tất cả nhà bán lẻ, nhưng có vẻ chỉ Magazine Luiza thừa nhận gian lận và phát cảnh báo, vậy mà tôi vẫn tiếp tục nhận hóa đơn
    Tôi đã liên hệ cảnh sát địa phương và được cấp boletim de ocorrência; tôi không biết dịch thế nào, nhưng đó là một tài liệu mô tả vấn đề và việc tôi đã không thể thực hiện biện pháp ứng phó
    Tôi rất lo lắng rằng hệ quả của chuyện này sẽ ập đến, và cảm thấy hoàn toàn bất lực trong việc bảo vệ danh tính của mình

    • Tôi từng trải qua tình huống tương tự và nghĩ bạn đang đi đúng hướng
      Hãy liên hệ ombudsman của từng công ty, tức ouvidoria, và giải thích tình hình
      Ngay cả khi họ không thực sự giải quyết vấn đề, bạn vẫn có hồ sơ cho thấy mình đã cố gắng giải quyết một cách thiện chí
      Trường hợp xấu nhất, nhà bán lẻ có thể chuyển hóa đơn gian lận cho công ty thu hồi nợ và báo cáo lên cơ quan đánh giá tín dụng
      Tuyệt đối không trả dù chỉ một xu cho khoản nợ gian lận này, và cũng đừng thương lượng
      Vì đây là gian lận, lựa chọn duy nhất là khoản nợ phải biến mất
      Số tiền bị treo là tiền của họ; nếu bạn trả, trách nhiệm sẽ chuyển sang bạn
      Bạn đã có Boletim de Ocorrência và bằng chứng liên hệ với công ty, tức các tài liệu như số hồ sơ tiếp nhận và ngày tháng, nên nếu việc này xuất hiện ở cơ quan đánh giá tín dụng thì hãy kiện và đòi bồi thường thiệt hại
      Đây là một vụ kiện đơn giản và phổ biến mà cả cơ quan đánh giá tín dụng lẫn nhà bán lẻ đều sẽ muốn dàn xếp
      Họ đã làm bạn mất thời gian, nên phải trả giá
      Họ không có bằng chứng rằng bạn đã thực hiện giao dịch đó
      Và nếu các nhà bán lẻ, ngân hàng, công ty thẻ tín dụng thực sự muốn tránh gian lận, mọi giao dịch mua và đăng ký đã cần mức bảo vệ như giao dịch bất động sản
      Sẽ cần chữ ký, gặp trực tiếp, trả trước, ngân hàng, luật sư, công chứng viên, thậm chí chữ ký mật mã; e-CPF cũng có, nhưng chẳng ai dùng
      Nhưng ngăn gian lận 100% đồng nghĩa với ma sát, và nhà bán lẻ bình thường không thích ma sát
      Rốt cuộc đó là quyết định kinh doanh của họ, họ chấp nhận rủi ro để nhận tiền dễ hơn
    • Vụ gian lận này hoạt động như thế nào? Có phải là mua hàng rồi cung cấp cho người bán một cá nhân tùy ý, tức thông tin danh tính của bạn, không?
  • Trong hầu hết bối cảnh, nếu cung cấp thông tin sai gây hại cho ai đó thì đó là vu khống hoặc phỉ báng
    Cần xem lại liệu báo cáo tín dụng có xứng đáng được miễn trừ khỏi trách nhiệm đó hay không, và trong điều kiện nào thì nên như vậy

    • Đúng vậy
      Nếu cơ quan đánh giá tín dụng chuyển thông tin sai về chúng ta cho bên cho vay khiến chúng ta không vay được tiền hoặc phải trả lãi suất cao hơn mức chính đáng, chúng ta phải có thể thắng kiện đòi bồi thường thiệt hại bằng tiền
      Việc họ có biết đó là sai hay không không nên quan trọng
      Vì dù là do sơ suất hay ác ý, thiệt hại vẫn đã xảy ra
    • Trên thực tế, cách họ vận hành gần giống với “công ty X nói với tôi rằng người Y có một tài khoản”
      Với người không phải nhân vật nổi tiếng, phải có tối thiểu yếu tố sơ suất trong việc kiểm chứng thì mới thành phỉ báng
      Tức là sơ suất chỉ được xác lập khi có hiểu biết hợp lý để tin rằng thông tin là sai
      Nếu bạn báo với cơ quan đánh giá tín dụng rằng tài khoản đó là gian lận, thì về cơ bản bạn đang thông báo rằng tài khoản đó thực ra không phải của bạn; và nếu họ xóa tài khoản đó khỏi báo cáo, họ sẽ tránh được trách nhiệm tiếp tục lan truyền thông tin mang tính phỉ báng như vậy trong tương lai
  • Tuần trước tôi đã nhận được thông báo rò rỉ dữ liệu hai lần
    Một cái đến từ nhà cung cấp dịch vụ y tế của tôi, cái còn lại từ ngân hàng đang nắm khoản vay thế chấp nhà của tôi
    Cả hai đều bảo tôi khóa tín dụng và cung cấp 1 năm giám sát tín dụng miễn phí
    Như vậy là thiếu một cách vô lý, nên tôi nghĩ lĩnh vực này cần được quản lý chặt hơn
    Cần phải có giám sát tín dụng trọn đời, bảo hiểm đầy đủ cho mọi hành vi gian lận tài chính phát sinh dưới tên tôi, và bồi thường thiệt hại ước tính ngay lập tức
    Nguyên nhân gốc rễ là hệ thống định danh của Mỹ đang rối tung
    Không có sự phân biệt giữa định danh duy nhất, tức SSN, và giá trị bí mật, cũng là SSN
    Tất cả các câu hỏi bảo mật khác rốt cuộc cũng chỉ là biến thể của cùng một yếu tố xác thực “thứ bạn biết”, thứ kẻ lừa đảo có thể dễ dàng có được
    Nói thẳng ra là không có một phương thức được thống nhất nào để chứng minh bạn đúng là bạn
    DMV nên bắt đầu cấp giấy tờ tùy thân có chức năng vật lý lẫn số, giống như thẻ tín dụng
    Chúng ta cần một thứ như Apple Pay hay Android Pay cho việc xác minh danh tính trực tuyến, và phải bắt buộc các ngân hàng hỗ trợ giấy tờ tùy thân số
    Ngoài ra, cần thực thi nghiêm khắc với những người lạm dụng giấy tờ tùy thân số
    Tôi cho rằng việc phớt lờ vấn đề này khiến ít nhất hàng chục tỷ USD GDP biến mất vì gian lận mỗi năm
    Quan trọng hơn, vị thế của một nhà nước pháp quyền đang bị xói mòn dần

    • Vấn đề với việc DMV phải cấp giấy tờ tùy thân vật lý có chức năng số là có một nhóm rất ồn ào xem những thứ như vậy là sự can thiệp quá mức của chính phủ, thậm chí theo nghĩa đen là dấu ấn của quỷ
      Bản thân việc cấp phát cũng khó, và các bang vốn thường đóng cửa điểm bỏ phiếu ở khu vực tầng lớp lao động và cắt ngân sách DMV sẽ chống đến cùng cách triển khai lẽ ra phải miễn phí cho mọi người
    • Tất cả những thứ này sẽ hoạt động một cách thần kỳ trên mạng như thế nào?
      Câu trả lời là bạn sẽ phải cung cấp một giá trị bí mật số nào đó để cấp quyền truy cập, giống như hiện nay bạn cung cấp SSN
      Khi đó giá trị bí mật số ấy sẽ nằm ở cùng những nơi trực tuyến như SSN hiện nay, và dễ bị cùng kiểu tấn công hack
      Tôi không hiểu như vậy thì sửa được gì
  • Theo lời khuyên trong bài, tôi tạo tài khoản để người khác không đăng ký mất, thì có vẻ như tôi đã tự động bị đăng ký vào một tài khoản séc số
    Tôi hoàn toàn không muốn thứ như vậy