Kredit:Pixabay/CC0 Public Domain
En annan dag, ännu ett massivt dataintrång som hackare hävdar. Dagar efter att ett intrång hos T-Mobile avslöjat omkring 53 miljoner människors personliga information, meddelade en hackergrupp känd som ShinyHunters att den auktionerar ut 70 miljoner uppsättningar känsliga data som påstås ha stulits från AT&T.
Informationen som erbjuds till försäljning var likartad i båda överträdelserna, inklusive fullständiga namn, adresser, födelsedatum och personnummer. Kort sagt, det är grunden för identitetsstöld.
AT&T svarade på fredagen genom att tvivla på påståendet från den produktiva ShinyHunters-kabalen och påstod att "baserat på vår undersökning idag verkar informationen som dök upp i ett chattrum på internet inte ha kommit från våra system."
Oavsett var informationen kom ifrån, men om den är giltig kan det vara en mardröm för alla vars känslig information exponeras. Här är en snabbguide till de risker du kan möta och några av de saker du kan göra för att skydda dig själv.
Vilka är riskerna?
Personnummer används ofta av den federala regeringen, banker, investeringsbolag, statliga förmånsprogram och försäkringsbolag för att verifiera din identitet. Ditt stulna personnummer kan användas för att öppna bedrägliga kreditkortskonton, avleda eller bedrägligt samla in förmåner och begå bedrägerier på arbetsplatsen, bland andra former av bedrägeri. Släng in ditt namn, födelsedatum och e-postadress (som ShinyHunters hävdar att de också har stulit), så är det betydligt lättare för någon att låtsas vara du.
Identitetstjuvar kan använda den informationen för att rikta in sig på både dig och bankerna, försäkringsbolagen och andra företag du gör affärer med. De kan till exempel använda det för att få nätfiske-e-postmeddelanden att verka mer realistiska, vilket hjälper dig att övertala dig att ge upp ytterligare känslig information som ett lösenord eller personligt identifieringsnummer (PIN). Eller de kan använda det för att lura din bank att låta dem ändra lösenordet på ditt konto, vilket ger dem tillgång till dina pengar.
T-Mobile-intrånget avslöjade också telefonnumren, enhetsidentifierare och SIM-kortsnummer för mer än 13 miljoner av dess nuvarande kunder. Det skapar en öppning för åtminstone ytterligare en malign möjlighet:en SIM-bytesattack. Det är där någon övertalar ditt mobiltelefonbolag att överföra ditt nummer till en annan enhet, som han eller hon sedan använder för att försöka bryta sig in på konton som du har kopplat till ditt telefonnummer.
Det är allt vanligare att människor använder sina mobiltelefonnummer som ett sätt att verifiera sin identitet – till exempel när de loggar in på sitt onlinebankkonto eller när de vill återställa sitt lösenord. Men den bekvämligheten kan slå tillbaka om ditt nummer kapas och sedan används för att imitera dig online.
Varför vill telefonbolagen ha ditt personnummer?
För det är det enklaste sättet att kontrollera din kreditvärdighet. Företag som AT&T och T-Mobile vill veta om du har registrerat dig för att betala dina räkningar i tid innan de går med på att ge dig ett konto eller sälja en telefon till dig i månatliga avbetalningar. Och de stora kreditvärderingsinstituten använder personnummer för att matcha människor till deras kredithistorik.
"SSN är den enda unika universella identifieraren för hela befolkningen", förklarade Francis Creighton från Consumer Data Industry Association, som representerar kreditinstituten. "Det finns inget annat som kan ersätta det på dagens marknad."
Personnummer hjälper också till att skydda mot människor som skapar bedrägliga kreditupplysningar, sa Creighton. Och även om det finns sätt att fastställa en kreditpoäng som inte förlitar sig på ditt personnummer, sa han, är det första steget för en långivare eller tjänsteleverantör att inte be om det. Du kan inte tvingas av ett telefonbolag eller andra privata företag att avslöja ditt nummer, men i Kalifornien och de flesta andra stater kan företaget vägra att betjäna dig som ett resultat.
När du har betalat av din nya telefon eller bytt operatör kommer ditt mobilföretag inte längre att lämna in rapporter om dig till kreditbyråerna, sa Creighton. Ändå kunde hackarna bakom det senaste T-Mobile-intrånget stjäla personnummer för tidigare T-Mobile-kunder som företaget höll fast vid av någon anledning.
Under det senaste decenniet har teknikföretag utvecklat alternativa sätt att identifiera människor för att göra det lättare att skydda sig mot identifieringsstöld, säger André Ferraz, vd för Incognia, ett av dessa teknikföretag. Idealiskt, sa Ferraz, skulle företag komplettera identifierare som inte kan ändras, såsom personnummer, med identifierare baserade på en persons unika beteenden, som utvecklas över tiden. Tyvärr har dessa lösningar inte antagits i stor utsträckning än.
Hur skyddar du dig själv?
Det enskilt bästa du kan göra är att frysa dina kreditfiler, vilket kommer att hindra någon från att öppna ett nytt konto. Det är gratis att placera en frys och att lyfta den för dina egna behov. Men du måste kontakta var och en av de tre stora kreditupplysningarna individuellt, vilket du kan göra online. Cybersäkerhetsexperten Brian Krebs föreslår också att frysa kreditfilerna som underhålls av en handfull mindre, specialiserade byråer. Du bör också kontrollera din kreditvärdighet regelbundet, vilket är ett bra sätt att upptäcka bedrägerier efter att det har inträffat.
Kredit- och identitetsövervakningstjänster, som vanligtvis har en månadsavgift, kan också hjälpa till att avslöja identitetstjuvarnas arbete. De tillhandahåller verktyg för att förhindra dig från nätfiske och andra former av hacking i kombination med skanningstjänster som letar efter ditt personnummer eller din e-postadress på platser online där det inte hör hemma.
T-Mobile erbjuder två år av McAfees övervakningstjänst gratis till alla som berörs av intrånget. Den har skapat en webbplats som föreslår fler steg som människor kan vidta för att skydda sig mot bedrägerier. Alla som har en smartphone skulle göra klokt i att ta dem:
På plussidan håller tvåfaktorsautentisering på att bli standard online, och det förbättrar säkerheten över hela webben. Men alltför många sajter uppmuntrar dig att göra den andra faktorn till ett textmeddelande som skickas till ditt telefonnummer, vilket uppmuntrar SIM-bytesbedrägeri. Om möjligt, använd en autentiseringsapp istället.