[ad_1]

Lorsque les systèmes de cartes de crédit d’un détaillant sont piratés par des pirates, les banques peuvent généralement dire quel commerçant a été piraté peu de temps après que ces comptes de carte sont devenus disponibles à l’achat dans des magasins clandestins de cybercriminalité. Mais lorsque les entreprises qui collectent et vendent des données sensibles sur les consommateurs sont piratées ou sont amenées à donner ces informations à des voleurs d’identité, il n’y a pas de moyen facile de savoir qui a divulgué les données lorsqu’elles se retrouvent en vente sur le marché noir. Dans cet article, nous examinerons une idée pour responsabiliser davantage les courtiers en données grand public.

canariCertaines des plus grandes violations de cartes de crédit au détail de l’année écoulée – y compris les cambriolages chez Target et Home Depot – ont été détectées par les banques bien avant que la nouvelle des incidents ne soit rendue publique. Lorsque les cartes volées à ces marchands sont mises en vente dans des magasins de cybercriminalité souterrains, les banques peuvent souvent déterminer quel marchand a été piraté en acquérant une poignée de leurs cartes et en analysant l’historique des achats des clients de ces comptes. Le commerçant commun à toutes les cartes volées au cours d’une période de transaction donnée est généralement le détaillant violé.

Malheureusement, ce processus de travail à rebours des données volées à la victime de la violation ne fonctionne généralement pas dans le cas des courtiers en données violés qui échangent des informations de sécurité sociale et d’autres données, car trop souvent, il n’y a pas de marqueurs uniques dans les données des consommateurs qui indiqueraient de où l’information a été obtenue.

Même dans les rares cas où les magasins clandestins vendant des données personnelles sur les consommateurs ont inclus des points de données dans les dossiers qu’ils vendent qui permettraient cette analyse de la source, il a fallu des années d’enquête très imaginative par les forces de l’ordre pour déterminer quels courtiers en données étaient à faute. En novembre 2011, j’ai écrit sur un service d’usurpation d’identité appelé Superget[dot]Info, notant que « chaque enregistrement achetable contient un « ID source » de deux à trois lettres, qui peut fournir des indices quant à la source de ces informations d’identité ».

Malheureusement, le monde n’a appris la source des données de ce service d’usurpation d’identité qu’en 2013, un an après Services secrets américains des agents ont arrêté le propriétaire du site, un Vietnamien de 24 ans qui se faisait passer pour un détective privé basé aux États-Unis. Ce n’est qu’alors que les enquêteurs ont pu déterminer que les données d’identification de la source correspondaient aux informations vendues par une filiale des trois grands bureaux de crédit Expérian (entre autres courtiers en données qui vendaient au service d’usurpation d’identité). Mais les agents fédéraux n’ont établi ce lien qu’après une enquête approfondie qui a attiré le propriétaire de cette boutique hors du Vietnam et sur un territoire américain.

Pendant ce temps, pendant la plus de six ans que ce service était opérationnel, Superget.info a attiré plus de 1 300 clients qui ont payé au moins 1,9 million de dollars pour rechercher des numéros de sécurité sociale, des dates de naissance, des adresses, des adresses précédentes, des adresses e-mail et d’autres informations sensibles sur les consommateurs, en grande partie utilisées pour la fraude à l’ouverture d’un compte et la fraude à la déclaration de revenus.

Les enquêteurs ont eu la chance de déterminer la source d’un autre service de vol d’identité qui a été démantelé et a depuis changé de nom (plus à ce sujet dans un instant). Ce service — connu sous le nom de «sndob[dot]ru” — était le service utilisé par exposé[dot]suun site qui affiche fièrement la sécurité sociale, la date de naissance, l’historique des adresses et d’autres informations sur des dizaines de célébrités hollywoodiennes, ainsi que sur des fonctionnaires tels que Première Dame Michelle Obamaensuite Le directeur du FBI, Robert Muelleret Directeur de la CIA, John Brennan.

Comme je l’ai expliqué dans une exclusivité de 2013, les enquêteurs civils sur les fraudes travaillant avec les forces de l’ordre ont eu accès au serveur principal qui était utilisé pour traiter les demandes d’informations des clients. Cette base de données a montré que les 1 300 clients du site avaient dépensé des centaines de milliers de dollars pour rechercher des SSN, des anniversaires, des dossiers de permis de conduire et obtenir des rapports de crédit et de fond non autorisés sur plus de quatre millions d’Américains.

Bien que quatre millions d’enregistrements de consommateurs puissent sembler un grand nombre, ce chiffre ne représente pas le nombre total d’enregistrements de consommateurs disponibles via ssndob[dot]ru. Au contraire, quatre millions n’étaient que le nombre de dossiers de consommateurs que les clients du service avaient payé le service pour qu’ils les consultent. En bref, il est apparu que le service d’usurpation d’identité s’appuyait sur des comptes clients actifs au sein des principaux courtiers en données grand public.

Les enquêteurs travaillant sur cette affaire ont déterminé plus tard que les mêmes escrocs qui exécutaient ssndob[dot]ru exploitait également un petit botnet personnalisé d’ordinateurs piratés à l’intérieur de plusieurs grands courtiers de données, y compris LexisNexis, Dun & Bradstreetet Kroll. Les trois sociétés ont reconnu les infections du botnet, mais n’ont pas partagé grand-chose d’autre sur les incidents.

Malgré leur rôle apparent dans la facilitation (quoique sans le savoir) de ces services de vol d’identité, à ma connaissance, les courtiers en données impliqués n’ont jamais été tenus publiquement responsables devant un tribunal ou par le Congrès.

SERVICES DE VOL D’IDENTITÉ ACTUELS

À l’heure actuelle, il existe de nombreux magasins dans le milieu de la cybercriminalité qui vendent tout ce dont on aurait besoin pour voler l’identité de quelqu’un aux États-Unis ou demander de nouvelles lignes de crédit en son nom – y compris les numéros de sécurité sociale, les adresses, les adresses précédentes, les numéros de téléphone, les dates de naissance et, dans certains cas, des antécédents de crédit complets. Le prix de ces informations est scandaleusement bas – environ 3 à 5 dollars par enregistrement.

BreachTrace a mené un examen exhaustif des données des consommateurs en vente sur certains des sites clandestins de cybercriminalité les plus populaires. Les résultats montrent que les informations personnelles sur certains des Américains les plus puissants restent disponibles pour seulement quelques dollars. Et bien sûr, si l’on peut acheter ces informations sur ces gens, on peut les acheter sur à peu près n’importe qui aux États-Unis aujourd’hui.

À titre d’expérience, cet auteur a vérifié deux des services de vol d’identité les plus populaires dans le métro pour la disponibilité des numéros de sécurité sociale, des numéros de téléphone, des adresses et des adresses précédentes de tous les membres du réseau. Comité sénatorial du commercec’est Sous-commission de la protection des consommateurs, de la sécurité des produits et des assurances. Ces données sont actuellement en vente pour les treize législateurs démocrates et républicains du panel.

Entre ces deux services d’usurpation d’identité, les mêmes informations personnelles étaient en vente sur Édith Ramirez et Richard Cordrayles chefs de Commission fédérale du commerce (FTC) et la Bureau de protection financière des consommateurs (CFPB), respectivement.

ssndob-trouvé

La fermeture de ces sites Web de services de vol d’identité peut sembler agréable, mais ce n’est pas une solution à long terme. Les deux services utilisés pour effectuer ces recherches des personnalités publiques mentionnées ci-dessus sont des magasins de deuxième et de troisième génération qui ont réapparu après les efforts de retrait précédents. En fait, au moins l’un d’entre eux semble être une réincarnation de ssndob[dot]ru, tandis que l’autre semble un peu plus qu’un revendeur de ce service.

Il semble plutôt clair que nous avons besoin d’une surveillance plus active de l’industrie des courtiers en données et de nouveaux outils pour aider les forces de l’ordre (et les enquêteurs indépendants) à déterminer la source des données revendues par ces services d’usurpation d’identité.

Plus précisément, s’il existait un moyen pour les enquêteurs fédéraux d’ajouter des « canaris de violation » – des identités factices uniques – aux enregistrements conservés par les principaux courtiers en données, il pourrait être beaucoup plus facile de déterminer quel courtier divulgue des données sur les consommateurs, soit par le biais de violations, soit piraté. /comptes frauduleux.

Les courtiers en données comme Experian ont fortement résisté aux appels des régulateurs pour une plus grande transparence dans leurs opérations et dans les données qu’ils détiennent sur les consommateurs. Lorsque la FTC a recommandé la création d’un site Web central où les courtiers en données seraient répertoriés – avec des liens vers ces entreprises, leurs politiques de confidentialité et également des options de choix, donnant aux consommateurs la possibilité de revoir/modifier les données que les entreprises conservent – Experian a fait pression contre l’idée , accusant que cela « aurait pour effet involontaire de semer la confusion chez les consommateurs et d’éroder la confiance dans le commerce électronique ».

Le principal point de friction de l’entreprise était essentiellement qu’il était injuste d’imposer de telles exigences aux plus gros courtiers en données et d’ignorer le reste. Lobbyiste en chef d’Experian Tony Hadley a fait valoir qu’il y a tout simplement trop d’entreprises qui possèdent et partagent toutes ces données sur les consommateurs, ce qui semble précisément le problème.

« La Direct Marketing Association (DMA) estime que même une définition étroite d’un fournisseur de services d’informations marketing est susceptible d’inclure plus de 2 500 entreprises de tous les secteurs de l’économie », Hadley a écrit dans un article de blog plus tôt cette année. « En termes simples, l’ensemble de l’industrie des données – extrêmement vitale pour l’économie américaine – ne peut pas être identifiée avec précision ou avec précision, puis soumise à des exigences irréalistes. »

Je suppose que si les géants du courtage de données sont opposés à l’idée d’insérer des identités factices dans leurs dossiers pour agir comme des canaris de violation, c’est parce qu’une telle pratique pourrait exposer des relations de partage de données et des pratiques de tenue de dossiers que ces entreprises préféreraient ne pas voir la lumière du jour. Mais à moins d’idées créatives pour aider les enquêteurs à découvrir rapidement la source des données vendues par les services d’usurpation d’identité en ligne, les courtiers en données resteront libres de faciliter et même de profiter d’un marché illicite d’informations sensibles sur les consommateurs.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *