Foto: Mike Stewart (AP)
Das Government Accountability Office ist die Warnung der federal-Agenturen, einschließlich der US Postal Service, der Social Security Administration, Veterans Affairs, und die Centers for Medicare und Medicaid Services in einem Bericht diese Woche, Sie sollten aufhören, sich auf Kredit-Agenturen, Identitäten zu überprüfen, der nach einer verheerenden hack von Equifax im Jahr 2017, der gefährdet die Informationen von rund 150 Millionen Amerikaner.
Die Agenturen, die derzeit geprüft werden, ob eine Person ist, wer Sie sagen, Sie sind durch die Fragen der Benutzer persönliche Informationen und dann überprüfen Sie es mit Kredit-Dateien zur Verfügung gestellt von einem der drei großen Agenturen: Equifax, Experian und TransUnion. Pro TechCrunch, der Bericht stellt fest, dass im Jahr 2017, dem National Institute of Standards and Technology (NIST) herausgegebenen Leitlinien, die “effektiv verbietet Agenturen aus, durch Wissens-basierte Verifikation für sicherheitskritische Anwendungen” aufgrund der Möglichkeit, dass die böswillige Benutzer könnten Zugriff auf die Equifax-Daten, oder, dass noch mehr solche Daten könnten in Zukunft gefährdet.
Nur zwei Agenturen, die General Services Administration und dem Internal Revenue Service, erfüllt haben, durch die Entwicklung Ihrer eigenen alternativen Methoden, sagt der Bericht. Die vier genannten weiterhin zumindest teilweise auf wissen basierende Prüfung:
Zwei der sechs Agenturen, die GAO überprüft beseitigt haben, wissen-basierte überprüfung. Insbesondere die General Services Administration (GSA) und der Internal Revenue Service (IRS) hat vor kurzem entwickelt und begann die Verwendung von alternativen Methoden für die remote-Identität proofing für Ihre Login.gov und Bekommen Transcript Dienstleistungen, die sich nicht auf wissen basierte überprüfung. Eine Agentur—das Department of Veterans Affairs (VA)—umgesetzt hat, alternative Methoden für einen Teil seiner Identität proofing-Prozess, aber noch stützt sich auf wissen basierte Verifikation für einige Einzelpersonen. SSA und der United States Postal Service (USPS) beabsichtigen, zu reduzieren oder zu beseitigen Ihre Nutzung der knowledge-based verification irgendwann in der Zukunft, aber haben noch keine konkreten Pläne dafür. Die Centers for Medicare und Medicaid Services (CMS) hat keine Pläne, Sie zu reduzieren oder zu beseitigen knowledge-based verification for remote identity proofing.
Alternative Methoden empfohlen, die von der GAO Fernsteuerungen Bewertung physikalischer Anmeldeinformationen—D. H., ein Bild, einen Führerschein oder andere Dokumente—und-Verifikation mit Handy-carrier records. Während diese beiden Methoden nicht verlangen, dass jemand Zugang zu einem Telefon, TechCrunch bemerkt, dass die Kredit-Agentur-system erfordert eine Kredit-Geschichte, und im Jahr 2016 die Consumer Financial Protection Bureau geschätzte 26 Millionen Menschen (ungefähr jeder zehnte Erwachsene) fehlen solche Aufzeichnungen auf Datei mit den drei großen Kredit-rating-Unternehmen.
“Mehrere Beamte der genannten Gründe für die nicht die Annahme alternativer Methoden, einschließlich der hohen Kosten und Herausforderungen bei der Implementierung für bestimmte Segmente der öffentlichkeit,” der GAO-Bericht abgeschlossen. “… Bis diese Behörden Maßnahmen ergreifen, um zu beseitigen Ihre Verwendung von wissensbasierten Prüfung, die Personen, die Sie dienen, werden, bleiben, die ein erhöhtes Risiko von Identitätsbetrug.”
Equifax, das konnte verhindert werden, die Rechtsverletzung durch patchen der server-software aber nicht und wurde später gezüchtigt durch das Haus Oversight Committee für Reine Inkompetenz, hat endlich angefangen zu Gesicht einige Folgen. Letzten Monat, Moody ‘ s herabgestuft, das Unternehmen von “stabil” auf “negativ” von outlook zu einem großen Teil durch Prozesse, Untersuchungen und Geldbußen, Schätzungen zufolge kostet die Firma $690 Millionen im 1. Quartal 2019 allein, als auch als zukünftige Kosten könnte bis zu hinzufügen, mehr als eine Milliarden Euro bis 2021. Im Januar 2019, ein Bundesrichter in Atlanta weigerte sich zu werfen, zwei konsolidierte Sammelklagen gegen die Gesellschaft, was bedeutet, mehr Auszahlungen kommen können.
[TechCrunch]
Teilen Sie Diese Geschichte