En octobre 2017, BreachTrace a averti que les vauriens pourraient profiter d’un service relativement nouveau offert par le Service postal américain qui fournit des images numérisées de tous les courriers entrants avant qu’ils ne soient censés arriver à leur adresse de destination. Nous avons indiqué que les harceleurs ou les escrocs pourraient abuser de ce service en s’inscrivant comme n’importe qui dans le ménage, car l’USPS n’était pas à ce moment-là configuré pour utiliser son propre système de communication unique – le courrier américain – pour alerter les résidents lorsque quelqu’un s’était inscrit. pour recevoir ces images numérisées.
L’USPS a récemment déclaré à cette publication qu’à partir du 16 février, il avait commencé à alerter tous les ménages par courrier chaque fois que quelqu’un s’inscrivait pour recevoir ces notifications numérisées de courrier livré à cette adresse. Le programme de notification, baptisé « Livraison informée», comprend un scan du recto de chaque enveloppe destinée à une adresse spécifique chaque jour.
Le service postal affirme que les commentaires des consommateurs sur son service de livraison informé ont été extrêmement positifs, en particulier parmi les résidents qui voyagent régulièrement et souhaitent surveiller de près les factures ou autres courriers livrés pendant qu’ils sont sur la route. Il est disponible pour sélectionner des adresses dans plusieurs États depuis 2014 dans le cadre d’un programme pilote ciblé de l’USPS, mais il s’est depuis étendu pour inclure de nombreux codes postaux à l’échelle nationale. Les résidents américains peuvent savoir si leur adresse est éligible en visitant informeddelivery.usps.com.
Selon l’USPS, quelque 8,1 millions de comptes ont été créés via le service jusqu’à présent (le 7 octobre 2017, la dernière fois que j’ai écrit sur Informed Delivery, il y avait 6,3 millions d’abonnés, de sorte que le programme a augmenté de plus de 28 % en cinq ans). mois).
Roy Bettsun porte-parole de l’équipe de communication de l’USPS, a déclaré que les bureaux de poste avaient traité 50 000 notifications de livraison informée la semaine du 16 février et livraient 100 000 lettres supplémentaires aux adresses de livraison informées existantes la semaine prochaine.
Actuellement, l’USPS autorise les changements d’adresse via le site Web USPS ou en personne dans l’un des plus de 35 000 points de vente USPS à l’échelle nationale. Lorsqu’une demande est traitée, l’USPS envoie une lettre de confirmation à la fois à l’ancienne et à la nouvelle adresse.
Si quelqu’un déjà inscrit à Informed Delivery publie ultérieurement une demande de changement d’adresse, l’USPS ne transfère pas automatiquement le service Informed Delivery à la nouvelle adresse : il envoie plutôt un courrier avec un code spécial lié à la nouvelle adresse et au nom d’utilisateur. qui a demandé le changement. Pour reprendre la livraison informée à la nouvelle adresse, ce code doit être saisi en ligne à l’aide du compte qui a demandé le changement d’adresse.
Un examen des méthodes utilisées par l’USPS pour valider les nouvelles inscriptions de compte l’automne dernier a suggéré que le service était largement ouvert aux abus par un éventail de parties, principalement en raison d’une authentification faible et parce qu’il n’est pas facile de se retirer du service.
L’inscription nécessite un résident éligible pour créer un compte utilisateur gratuit sur USPS.com, qui demande le nom, l’adresse et une adresse e-mail du résident. La dernière étape de la validation des résidents consiste à répondre à quatre questions dites « d’authentification basée sur les connaissances » ou KBA.
L’USPS m’a dit qu’il utilise deux fournisseurs de vérification d’identité : Lexis Nexis; et, naturellement, a récemment violé les trois grands bureaux de crédit Equifax – pour poser les questions magiques de KBA, en alternant entre elles au hasard.
BreachTrace a attaqué KBA comme une méthode d’authentification peu fiable, car de nombreuses réponses aux questions à devinettes multiples sont disponibles sur des sites tels que Spokéo et Zillowou via des profils de réseaux sociaux.
C’est aussi bien quand Equifax donne un camion métrique d’informations sur l’endroit où vous avez travaillé, combien vous avez gagné à chaque travail et quelles adresses vous avez fréquentées quand. Voir: Comment se retirer d’Equifax en révélant votre historique de salaire pour combien de fuites de cette division lucrative d’Equifax.
Tous les points de données d’un profil d’historique d’employé d’Equifax seront utiles pour répondre aux questions KBA, ou au moins pour éliminer ceux qui ne correspondent pas aux échelles de salaire ou aux dates et emplacements des adresses précédentes de l’identité cible.
Une fois inscrit, un résident peut voir des images numérisées du recto de chaque courrier entrant avant son arrivée. Malheureusement, toute personne capable de vaincre ces questions automatisées KBA d’Equifax et de Lexis Nexis – qu’il s’agisse de harceleurs, d’anciens partenaires abandonnés ou d’enquêteurs privés – peut voir avec qui vous communiquez via le courrier postal.
C’est peut-être beaucoup de bruit pour rien : c’est peut-être juste un rappel que les gens aux États-Unis ne devraient pas s’attendre à plus qu’une garantie de confidentialité d’une carte postale (qui peut divulguer le « qui » et le « quand » de toute correspondance, et parfois le « quoi » et « pourquoi » de la communication). Nous serions certainement tous mieux lotis si plus de gens gardaient cette garantie à l’esprit pour le courrier électronique en plus du courrier postal. Au moins maintenant, l’USPS fournira à votre adresse un morceau de papier vous permettant de savoir quand quelqu’un s’inscrit pour regarder ces W dans votre courrier postal en ligne.