"SoFi-nummer is grootste privacy ramp uit geschiedenis"
Eerder deze maand publiceerde AOL een overzicht van 500.000 zoekopdrachten van haar abonnees. Volgens de provider wilde het onderzoekers helpen door "anonieme" zoek informatie te geven, maar experts waren verbaasd over hoe makkelijk het was om te ontdekken wie wat gezocht had.
Bij het "anoniem" maken van de informatie was men vergeten de namen, adressen en SoFi-nummers te verwijderen. Zonder twijfel een van de grootste privacy blunders in de geschiedenis, maar er zijn er nog veel meer. Wired maakte een Top 10:
10. ChoicePoint geeft vertrouwelijke informatie 163.000 mensen aan identiteitsdieven.
9. Laptop van Veterans Affairs wordt gestolen met gegevens 26,5 miljoen Amerikaanse veteranen.
8. CardSystems gehackt. Data dieven krijgen gegevens 40 miljoen klanten in handen.
7. Ontdekking van vertrouwelijke gegevens op gebruikte hardeschijven.
6. Philip Agee schrijft boek waarin 250 CIA agenten ontmaskerd worden.
5. Stalker koopt informatie over Amy Boyer en vermoord haar.
4. Het testen van CAPPS II.
3. Het geheime COINTELPRO progamma van de FBI.
2. AT&T laat NSA alle telefoongesprekken afluisteren.
1. De grootste privacy ramp in de geschiedenis is volgens Adam Shostack het SoFi-nummer. "Ironisch genoeg, waarschuwde privacy voorstanders dat het nummer een de facto voor identificatie zou worden, en hun zorgen werden weggewuifd, maar ze bleken toch gelijk te krijgen, een patroon dat vandaag de dag nog steeds gaande is".
bij 'verloren/gelekte' informatie door bedrijven of overheden.
nummer niet één op één is te vergelijken met het Amerikaanse
social security number. Het begint er met de introductie van
het Burgerservicenummer overigens wel steeds meer op te lijken.
Het Social Security Number (SSN, oftwel "soosj") wordt in de
USA voornamelijk gebruikt ter authenticatie, en niet zozeer
ter identificatie. Wanneer je daar een SSN, een een
"mother's maiden name" kent, dan is 't al snel goed. Dat is
niet zozeer de schuld van het feit dat daarvoor het SSN
gebruikt wordt, maar is meer te wijten aan het feit dat er
in de USA geen bevolkingsregister is.
Ja hoor...de privacy freaks hebben het weer voor het
zeggen.
In een ideale samenleving zou dat zo moeten zijn idd.
in de USA voornamelijk gebruikt ter authenticatie, en niet zozeer ter
identificatie. Wanneer je daar een SSN, een een "mother's maiden
name" kent, dan is 't al snel goed.
was en je verder geen enkele andere vorm van identificatie had? Ik wel en
het is verbasingwekkend hoe weinig er gevraagd wordt voor
"authenticatie".
De identiteitsvaststelling verloopt volgens een vaste procedure. Daarnaast
moet je aangifte hebben gedaan bij de politie en een proce verbaal van
deze aangifte overleggen. Best wel waterdicht.
Een SSN is niet vergelijkbaar met een SoFinummer. Een SoFinummer op
zich is waardeloos. Op basis van een geldig SSN kan je aanspraak maken
op diverse diensten.
"soosj") wordt
in de USA voornamelijk gebruikt ter authenticatie, en niet
zozeer ter
identificatie. Wanneer je daar een SSN, een een
"mother's maiden
name" kent, dan is 't al snel goed.
Dus je zoekt wat info op over een (bestaand) persoon en onder die naam doe je aangifte en je krijgt netjes een procesverbaal mee op die naam. Diezelfe "valse" naam gebruik je bij de aanvraag van een nieuwe legitimatie, je beantwoord wat simpele vragen en je hebt een valse legitimatie. Hoezo waterdicht?
1. dat ik makkelijk bestanden over iemand obv het sofi-nummer kan
koppelen? Antw: nee, dat kan ook als ik personalea van diegene ken.
Iemand van een telefoonboek gehoord?
2. dat ik een transactie kan uitvoeren obv het sofi-nummer? Antw: nee,
degene die op basis van een sofi-nummer (+ evt aanvullend zwak geheim)
de transactie toestaat accepteert kennelijk dit risico.
Het sofi-nummer is slechts een middel waaraan helaas in de praktijk
(vooral in de VS) mogelijkheden zijn ontstaan. Je kan dus het middel de
privacy ramp in de schoenen schuiven maar zo lust ik er nog een paar: met
een broodmes kan ik brood smeren, een bierflesje openen of iemand
doodsteken. Geef de schuld maar aan het broodmes en vergeet degene
die het broodmes gebruikt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.