Foto: Mike Stewart (AP)
De Government Accountability Office is de waarschuwing van federale agentschappen met inbegrip van de U.S. Postal Service, de Social Security Administration, Veterans Affairs, en de Centers for Medicare en Medicaid Services in een rapport dat deze week aan dat ze moeten stoppen met vertrouwen op kredietbeoordelaars de identiteit kunnen verifiëren na een verwoestende hack van Equifax in 2017 dat afbreuk aan de informatie van circa 150 miljoen Amerikanen.
Deze instanties gecontroleerd als een persoon is wie ze zeggen te zijn door te vragen gebruikers om persoonlijke informatie te verstrekken en vervolgens een cross-check met credit-bestanden die door een van de drie grote agentschappen: Equifax, Experian en TransUnion. Per TechCrunch, het rapport merkt op dat in 2017, het National Institute of Standards and Technology (NIST) uitgegeven leidraad dat “effectief verbiedt agentschappen van het gebruik van op kennis gebaseerde verificatie voor gevoelige toepassingen” vanwege de mogelijkheid dat schadelijke partijen kunnen toegang hebben tot de Equifax gegevens, of dat er nog meer van zulke gegevens kan worden gebracht in de toekomst.
Slechts twee organisaties, de General Services Administration) en de Internal Revenue Service, hebben voldaan door het ontwikkelen van hun eigen alternatieve methoden, zegt het rapport. De vier genoemde degenen die blijven vertrouwen op zijn minst voor een deel op kennis gebaseerde verificatie:
Twee van de zes organisaties die GAO beoordeeld hebben geëlimineerd op kennis gebaseerde verificatie. Specifiek, de General Services Administration (GSA) en de Internal Revenue Service (IRS) recent ontwikkelde en begon met behulp van alternatieve methoden voor externe identiteit proofing voor hun Login.gov en Voor de Transcriptie diensten die geen beroep doen op kennis gebaseerde verificatie. One agency—het Department of Veterans Affairs (VA)—heeft geïmplementeerd alternatieve methoden voor een deel van zijn identiteit rijsproces, maar nog steeds is gebaseerd op kennis gebaseerde verificatie voor sommige individuen. SSA en de United States Postal Service (USPS) willen reduceren of te elimineren van het gebruik van op kennis gebaseerde verificatie ergens in de toekomst, maar heb nog geen specifieke plannen voor te doen. De Centers for Medicare and Medicaid Services (CMS) heeft geen plannen om het verminderen of elimineren van op kennis gebaseerde verificatie voor externe identiteit proofing.
Alternatieve methoden die worden aanbevolen door de GAO zijn externe beoordeling van de fysieke referenties—dat wil zeggen, een afbeelding van een rijbewijs of andere documenten—en verificatie met behulp van mobiele telefoon vervoerder records. Terwijl beide methoden vereisen dat iemand toegang hebben tot een telefoon, TechCrunch opgemerkt dat de credit agency systeem vereist een krediet geschiedenis, en in 2016 de Consumer Financial Protection Bureau geschat op ongeveer 26 miljoen mensen (ongeveer één op de tien volwassenen) ontbreken dergelijke records in een bestand met de drie grote credit rating bedrijven.
“Een aantal ambtenaren van de aangehaalde redenen voor het niet aannemen van alternatieve methoden, zoals de hoge kosten en de uitvoering uitdagingen voor bepaalde segmenten van het publiek,” het GAO rapport geconcludeerd. “… Tot deze instanties nemen stappen te elimineren hun gebruik van de kennis-gebaseerde verificatie, de mensen die ze dienen, blijven een verhoogd risico van identiteitsfraude.”
Equifax, die zou hebben voorkomen dat de schending door het patchen van de server software, maar deed het niet en later werd gestraft door de House Oversight Committee voor pure incompetentie, is eindelijk begonnen te worden geconfronteerd met een aantal gevolgen. Vorige maand, Moody ‘ s van het bedrijf van een “stabiel” naar “negatief” van outlook in een groot deel te wijten aan rechtszaken, onderzoeken en boetes naar schatting kost het bedrijf € 690 miljoen in Q1 2019 zowel alleen, als de toekomstige kosten die kunnen oplopen tot meer dan een miljard euro in 2021. In januari 2019, een federale rechter in Atlanta weigerde er uit te gooien twee geconsolideerde class actions tegen het bedrijf, wat betekent dat er meer uitbetalingen kunnen komen.
[TechCrunch]
Deel Dit Verhaal