Domanda:
Quanto è pericoloso rivelare la tua data di nascita e perché?
user541686
2015-07-27 11:55:25 UTC
view on stackexchange narkive permalink

A un certo punto ho detto a un amico che è pericoloso rivelare la tua data di nascita (un po 'come il tuo numero di previdenza sociale o il nome da nubile di tua madre), perché è un'informazione cruciale per il furto di identità. Tuttavia, non sono sicuro cosa esattamente potrebbe fare un ladro di identità se le uniche informazioni non pubbliche che aveva su di me fossero la mia data di nascita. (Considero pubblico il mio nome e probabilmente il mio indirizzo qui.)

Come e perché esattamente rivelare la tua data di nascita in sé è pericoloso?

Tieni presente che non ti chiedo perché conoscerlo in combinazione con altre informazioni personali (ad esempio SSN) può essere pericoloso. Mi chiedo perché anche solo saperlo da solo è pericoloso. Che tipo di cose potrebbe fare un ladro di carte d'identità solo con la mia data di nascita? Può, ad esempio, aprire un conto in banca? Recuperare la password di una banca? Aprire una carta di credito? Prendi un prestito auto? ecc.

(Presumo che il paese sia gli Stati Uniti d'America.)

John Smith, DOB sconosciuto: 3 milioni di record candidati. John Smith, 4/5/1955: 17 record di candidati.
@DeerHunter Questi numeri sono rappresentativi solo se si presume che le persone vivano in media 483 anni.
Rivelare la tua data di nascita o il tuo giorno di nascita può incoraggiare le persone a organizzare feste a sorpresa per te, il che può portare ad attacchi di cuore e morte, tra gli altri risultati (inclusi torta e regali!).
Chiedere di conoscere la data di nascita ** non ** in combinazione è alquanto falso ... è probabile che altre informazioni _è_ o _possano_ essere disponibili, e non proteggerle tutte (a meno che non sia veramente necessario) aumenta la possibilità che qualcuno sappia abbastanza da fare danni .
I commenti non sono per discussioni estese; questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/28976/discussion-on-question-by-mehrdad-how-dangerous-is-it-to-reveal-your-date- di-bir).
Undici risposte:
#1
+78
Lucas Kauffman
2015-07-27 12:08:53 UTC
view on stackexchange narkive permalink

Il problema non è il compleanno in sé, il problema è che purtroppo molte aziende e siti web lo utilizzano ancora a scopo di verifica. Questa è certamente una cattiva pratica e molte aziende stanno cambiando le loro politiche proprio per questo motivo.

Le banche a volte lo usavano per recuperare una password, ma negli ultimi anni anche loro hanno cambiato le loro procedure in modo significativo (a seconda della banca uso).

Quindi, per rispondere alla tua domanda è sicuro rivelare la tua data di nascita. Preferibilmente, le rivelerai solo ogni volta che è realmente necessario (ad esempio, informati ogni volta se ne hanno davvero bisogno), le informazioni non sono considerate segrete e ti verrà richiesto di rivelarle in occasioni per scopi legittimi. Come per qualsiasi informazione personale, la cosa migliore da fare è divulgarla nel minor numero di occasioni possibile. D'altra parte, se viene effettuato un furto di identità e il colpevole risulta essere qualcuno che è in grado di recuperare informazioni o eseguire un'azione semplicemente dando il tuo compleanno (che è facile da trovare). Quindi molto probabilmente la società sarà responsabile di non proteggere adeguatamente le tue informazioni personali o di essere stata negligente nel processo di verifica. Ovviamente questo significa che dovrai affrontarlo (il che è fastidioso e richiede molto tempo).

Non capisco il tuo primo paragrafo. Non è lo stesso problema di ogni altra informazione? Il problema non sono le informazioni in sé, è il fatto che le informazioni vengono utilizzate per verificare la tua identità. Non capisco cosa stai dicendo qui ...
Ciò che significa Lucas è che non è il fatto di rivelare il proprio compleanno che è pericoloso. È il fatto che le aziende utilizzano questa informazione ** non segreta ** e ** non revocabile ** come mezzo di identificazione che è pericoloso. Senza queste società non esisterebbe alcun rischio connesso alla comunicazione di informazioni non segrete e non revocabili. Quindi queste cattive compagnie sono l'origine del rischio.
I commenti non sono per discussioni estese; questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/28978/discussion-on-answer-by-lucas-kauffman-how-dangerous-is-it-to-reveal-your- data-o).
#2
+24
Tim B
2015-07-27 20:06:35 UTC
view on stackexchange narkive permalink

Il problema nel rivelare il tuo compleanno non è il compleanno in sé, è che dai alle persone un punto dati in più.

Rivela il tuo compleanno sul sito A, i tuoi parenti sul sito B (che fornisce ad esempio il nome da nubile della madre), il tuo indirizzo sul sito C ... prima che tu te ne accorga le persone sono in grado di raccogliere un'enorme quantità di informazioni compilate.

Queste informazioni possono quindi essere utilizzate per hackerare le cose, o utilizzando direttamente moduli di reimpostazione della password, indovinando le password, ecc. o indirettamente tramite attacchi di spear phishing.

Ad esempio, un messaggio di compleanno di un vecchio compagno di scuola che arriva il giorno del tuo compleanno e deriva dal loro nome sarebbe molto più convincente di un'email casuale con un link che dice "fai clic qui".

#3
+21
user45139
2015-07-27 13:33:43 UTC
view on stackexchange narkive permalink

Che tipo di cose potrebbe fare un ladro di carte d'identità solo con il mio compleanno? Può, ad esempio, aprire un conto in banca? Recuperare la password di una banca? Aprire una carta di credito? Prendi un prestito auto?

Le risposte a queste domande dipendono dallo spazio e dal tempo. Per spazio intendo la legislazione in diversi paesi e anche lo stile di vita e il benessere del paese in cui qualcuno vive conta molto. Puoi essere sorpreso, ma ci sono molti paesi in cui anche avere un conto in banca è un lusso, nel qual caso nessuno deve preoccuparsi se il suo compleanno viene rivelato o meno.

Inoltre, quando si tratta di banche ad esempio, si adattano alla legislazione dei paesi in cui sono attivi. Inoltre, all'interno dello stesso paese, la legge cambia nel tempo in modo che quando tali informazioni sono inutili per una persona malvagia, possono essere interessanti in qualche modo in pochi anni.

In tutti i casi, non esiste un sistema relativo alla sicurezza che dipenda solo il giorno del tuo compleanno per completare qualsiasi passaggio di autenticazione perché potrebbe essere il tuo compleanno è già il mio secondo il paradosso del compleanno. Ma ovviamente, meno riveli di te stesso, più sei sicuro. Ma poi questo ci porterà a scegliere tra essere paranoici, negligenti o semplicemente una persona saggia.

EDIT:

Dato che vivi negli Stati Uniti, tu sai meglio di me che il tuo SSN è troppo importante. In quel caso, dopo una breve ricerca, ho scoperto che esistono già degli algoritmi che una persona malvagia potrebbe correre a indovinare il tuo SSN in base alla tua data di nascita e luogo di nascita portando anche a furto di identità.

Potrebbe essere un problema in un paese con documenti di identità nazionali con un numero di identificazione univoco per ogni cittadino? Nel mio paese le banche chiedono solo l'ID che ha una foto e alcune caratteristiche che rendono difficile la falsificazione (ologramma, ultravioletto, texture 3D, chip incorporato)
Quell'algoritmo di nascita * data * + luogo è limitato ai nativi dopo il 1987 circa e prima della metà del 2011 - una buona parte ma lontano da tutti. Inoltre raramente ottiene le ultime 4 cifre - ma le ultime 4 vengono utilizzate o visualizzate molti posti in tutto il SSN non lo sono.
#4
+10
Steve Sether
2015-07-27 21:00:44 UTC
view on stackexchange narkive permalink

Negli Stati Uniti, i compleanni sono questioni di dominio pubblico e ci sono molti database online dove possono essere cercati banalmente. In altri paesi come l'Italia è ancora meno privato. La tua data di nascita viene richiesta di routine su semplici moduli web ed è persino inclusa in un curriculum.

In sostanza, i compleanni non sono segreti e non dovresti trattarli come tale. Sì, alcuni siti Web dannosi li utilizzano a scopo di verifica. Ma mantenere un segreto che non è un segreto è una pratica sciocca.

I commenti non sono per discussioni estese; questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/26338/discussion-on-answer-by-steve-sether-how-dangerous-is-it-to-reveal-your- nascita-da).
#5
+5
limbenjamin
2015-07-27 12:18:40 UTC
view on stackexchange narkive permalink

Solo con il nome, la data di nascita e l'indirizzo, un utente malintenzionato potrebbe richiedere la tua casella di posta per scoprire con quale banca hai un conto. Il giorno del tuo compleanno, potrebbe inviarti una lettera con la carta intestata della banca contenente un buono per il tuo compleanno e chiederti di visitare un link dannoso per riscattare il buono.

È inverosimile. Ma il punto che sto cercando di sottolineare è che dovresti cercare il più possibile di ridurre al minimo la quantità di informazioni pubbliche perché è possibile ottenere informazioni aggiuntive da esse. Per esempio. ottenere il nome della tua banca dal tuo indirizzo.

In secondo luogo, credo che non ci siano linee guida standard su quali informazioni sono considerate informazioni pubbliche e quali no. Ad esempio, alcune banche potrebbero considerare il tuo compleanno come un'informazione privata e consentirti di reimpostare il PIN se puoi fornire il compleanno. Un buon esempio di ciò è il furto di identità di Matt Honan. Nel 2012, Apple considerava le ultime 4 cifre del numero della carta di credito come informazioni private, ma Amazon le considerava informazioni pubbliche. Ciò gli ha fatto perdere tutta la sua vita digitale.

Fonte: http://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/

Sì, questo è super inverosimile. Non è nemmeno lontanamente alla pari con il tipo di pericolo che corri nel rivelare il tuo SSN o il nome da nubile della madre o qualcosa del genere, ma sono abbastanza sicuro che un compleanno è pericoloso quasi quanto quelli, quindi devono esserci rischi molto più grandi .. .
"Se un aggressore conosce il tuo compleanno, può inviarti dei regali con un orario davvero appropriato!"
@Michael Ehi, i regali possono essere pericolosi! Dopotutto, li chiamiamo "cavalli di Troia" per una ragione. :)
#6
+4
dan
2015-07-27 22:43:43 UTC
view on stackexchange narkive permalink

Dichiarazione di non responsabilità

Questa è una domanda complessa perché qui il termine rischio può essere inteso in 2 modi. Stai chiedendo il rischio associato all'azione di "comunicare la propria data di nascita ad un'azienda". Stai parlando del rischio complessivo associato al risultato finale di questa operazione o stai parlando del rischio aggiuntivo associato a questa unica azione.

Rischio isolato

Dai dettagli della tua domanda, stai chiedendo una valutazione del rischio appena aggiunto da questa operazione.

Poiché una data di nascita è un'informazione pubblica , né segreto né revocabile, non è possibile modificare in alcun modo il rischio complessivo associato a queste informazioni. Il rischio associato a questa operazione è quindi: 0.

Rischio cumulativo

Questo sembra soffocante, ma questo è dovuto al fatto che "comunicare la propria data di nascita a un'azienda" è un rischio prima dell'azione di uno che comunica la propria data di nascita.

Il rischio complessivo associato alla comunicazione della data di nascita potrebbe essere visto come una formula semplificata:

falso segreto + cattiva sicurezza + ricerca incrociata + comunicazione personale

e la mia stima di questi in termini di probabilità aggiuntive di cattivi risultati che si verificano è:

 falso segreto: x + cattiva sicurezza: y (questa y non è indipendente x) + ricerca incrociata: z rischio aggiunto dal cacciatore di diverse informazioni pubbliche per costruire un identità corretta per attaccare le aziende che promuovono falsi segreti + comunicazione personale: t________________________________________________________________________ Probabilità totale di cattivo: p = 1 - (1-x) (1-y) (1-z) (1-t) 

(Il mio personale stima grezza è che x ≃ 0,1, y ≃ 0,4, z ≃ 0,2, t ≃ 0
che porta ad ap ≃ 0,6)

Per lo stesso motivo, da il mio punto di vista personale, il rischio complessivo associato all'idea che a la data di nascita è un segreto e potrebbe essere utilizzata come autenticazione è di: 1 (= probabilità di evento negativo = 1 x perimetro di impatto = max).

Cattivo esempio

La mia banca sta usando la mia data di nascita come meccanismo di identificazione. Ho spiegato loro perché mi fido di loro meno degli altri a causa di questo falso segreto che stanno vendendo a clienti ingenui e del rischio che stanno creando.

Non sono cambiati. Hanno registrato le informazioni in modo molto cortese.

Il rischio che cambio banca aumenta ogni giorno.

Il rischio che questa cattiva pratica diventi pubblica aumenta ogni giorno.

Penso che la tua matematica sia sbagliata. Per trovare la probabilità che qualsiasi elemento in un insieme di eventi si verifichi, puoi solo la probabilità che ogni evento accada se sono disgiunti, cosa che ovviamente non è in questo caso. Invece, la "probabilità totale di male" dovrebbe essere uguale a 1 - ((1 - 0.4) (1 - 0.4) (1 - 0.2)) = 0.712, assumendo che gli eventi siano indipendenti l'uno dall'altro.
Penso che tu abbia voluto digitare "posso solo aggiungere". E ... sono convinto che tu abbia ragione :).
→ Kyth'Py1k: ho provato ad avvicinarmi a uno schema di calcolo delle probabilità più realistico.
Sì, volevo dire posso solo aggiungere. Buon lavoro in modifica.
#7
+4
OldCurmudgeon
2015-07-29 17:28:55 UTC
view on stackexchange narkive permalink

Nel Regno Unito, un risultato specifico del rivelare la tua data di nascita, entro determinati parametri, è che possono trovare il nome da nubile di tua madre. Da lì possono rintracciare il matrimonio dei tuoi genitori e di tutti i tuoi fratelli.

Dato il tuo nome e la tua data di nascita puoi visitare FreeBMD e, se il tuo nome è insolito, è possibile trovarlo i dettagli del registro della tua nascita, incluso il nome da nubile di tua madre (una domanda di sicurezza comune). Se il tuo nome è comune, allora un luogo di nascita (disponibile da Facebook credo) può essere utilizzato per restringere il campo.

Una volta che hanno i nomi dei tuoi genitori, potrebbero, dallo stesso sito, scoprire il nomi e date di nascita di tutti i tuoi fratelli. Copie dei certificati di nascita e di matrimonio possono essere acquistate con un piccolo compenso, da cui a volte si possono ricavare ulteriori dettagli.

Da lì possono ora utilizzare l ' lista elettorale per rintracciare la casa e l'indirizzo della tua famiglia.

Questo è chiaramente un raccapricciante di informazioni. Una volta che una certa quantità di informazioni su di te è disponibile, altre possono essere sviluppate da fonti spesso gratuite.

#8
+4
Rick Chatham
2015-08-06 02:26:24 UTC
view on stackexchange narkive permalink

Ti consiglio di leggere il libro di Kevin Mitnick " Ghost in the Wires " per avere un'idea più chiara di ciò che qualcuno può fare con un singolo, o pochi, datapoint. Secondo la tua domanda, qualcuno potrebbe anche avere il tuo nome e indirizzo.

Un bravo ingegnere sociale come Mitnick lo userebbe forse per chiamare il tuo responsabile dell'appartamento e ottenere qualche punto in più come quando ti sei trasferito, chi sei il contatto di emergenza è, ecc. (Ad esempio, forse si atteggia a medico e dice che sei al suo pronto soccorso e tutto ciò che ha è il tuo cellulare e la patente di guida). Quindi usa queste informazioni per fingere di essere un vecchio amico del college cercando di trovarti, ecc. Ogni chiamata che fa gli dà un altro pezzo finché non riesce a ricreare una storia sufficiente per ottenere il tuo SSN, i numeri di conto, ecc.

Comunque, controlla il libro e vedrai capire molto velocemente perché anche 1 informazione è sufficiente per un buon ladro di identità.

#9
+1
Nate Eldredge
2015-08-01 19:13:40 UTC
view on stackexchange narkive permalink

Negli Stati Uniti, "nome e data di nascita" sembrano essere i token di autenticazione standard richiesti da medici e altri professionisti del settore medico. Sicuramente ogni volta che chiamo il mio medico, mi vengono chieste queste informazioni, e solo queste informazioni, prima che discutano di qualcosa di personale.

Se un aggressore avesse queste informazioni e potesse indovinare l'identità del tuo medico ( forse facile da fare dal tuo indirizzo, se vivi in ​​una città abbastanza piccola), potrebbero probabilmente impersonarti con successo per telefono al tuo medico. Mi aspetto che siano in grado di ottenere informazioni sui tuoi prossimi appuntamenti, risultati dei test, ecc. Ottenere un set completo dei tuoi record potrebbe richiedere un po 'più di lavoro (forse falsificare la tua firma su un modulo inviato per posta).

#10
  0
Deer Hunter
2015-09-10 13:27:44 UTC
view on stackexchange narkive permalink

Aggiungo questa come risposta a causa di una risposta meticolosamente ricercata sul sito Law.SE.

Citando:

Sul sito web del tribunale dello Stato di New York, puoi leggere informazioni su come ottenere i precedenti penali di chiunque: sono registri pubblici, quindi chiunque può fare una richiesta su chiunque. C'è una tassa di $ 65. I record possono essere ordinati online e i risultati possono essere inviati tramite posta elettronica. Le ricerche vengono elaborate in base a una corrispondenza esatta tra nome e data di nascita ( enfasi mia - DH ).

Altri stati hanno sostanzialmente procedure; possono essere richieste anche informazioni su atti e titoli di proprietà. Mentre le richieste vengono registrate, una determinata persona avrà un'identità falsa o alternativa per effettuare queste richieste.

#11
  0
Davis
2016-07-11 06:15:55 UTC
view on stackexchange narkive permalink

La data di nascita è solo un'altra parte delle informazioni di identificazione personale (PII). Qualsiasi dato che potrebbe potenzialmente identificare un individuo specifico. Maggiore è il numero di parti di tali PII, più facile è identificarti o impersonarti. Le banche nel mio paese fanno 2-3 domande personali prima di verificare per telefono che sei effettivamente il titolare del conto.

Per quanto riguarda il modo in cui può identificarti da un database anonimo (ad es. sito di appuntamenti, record di donatori ospedalieri con nomi anonimi), diverse parti delle tue informazioni possono aumentare la probabilità che il moniker che stai utilizzando sei effettivamente tu.

Non tutti i servizi richiedono un secondo fattore di autenticazione (2FA), quindi conoscere le informazioni personali su qualcuno può consentire all'autore dell'attacco di accedere a un sistema, a un operatore telefonico bancario che guarda la tua cartella oa un'infermiera che sta controllando su una cartella clinica per telefono o, in alcuni casi, impersonare un'azienda per richiedere pagamenti a un fornitore.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...