À un moment donné, j'ai dit à un ami qu'il était dangereux de révéler votre date de naissance (un peu comme votre numéro de sécurité sociale ou le nom de jeune fille de votre mère), car c'est une information cruciale pour le vol d'identité. Cependant, je ne sais pas ce que exactement un voleur d'identité pourrait faire si les seulement informations non publiques qu'il avait sur moi était ma date de naissance. (Je considérerais mon nom, et probablement mon adresse, comme étant public ici.)
Comment et pourquoi révéler exactement votre date de naissance elle-même est-il dangereux?
Notez que je pas me demande pourquoi le savoir en combinaison avec d'autres informations personnelles (par exemple SSN) peut être dangereux. Je demande pourquoi même le savoir isolément est dangereux. Quels types de choses un voleur d'identité pourrait-il faire uniquement avec ma date de naissance? Peut-il, par exemple, ouvrir un compte bancaire? Récupérer un mot de passe bancaire? Ouvrir une carte de crédit? Prendre un prêt auto? etc.
(Je suppose que le pays est les États-Unis d'Amérique.)
Le problème de révéler votre anniversaire n'est pas l'anniversaire lui-même, c'est que vous donnez aux gens un point de données supplémentaire.
Révélez votre anniversaire sur le site A, vos proches sur le site B (qui donne par exemple le nom de jeune fille de la mère), votre adresse sur le site C ... avant de vous en rendre compte, les gens peuvent rassembler une énorme quantité d'informations compilées.
Ces informations peuvent ensuite être utilisées pour pirater des éléments, soit directement en utilisant des formulaires de réinitialisation de mot de passe, en devinant des mots de passe, etc., soit indirectement par le biais d'attaques par hameçonnage.
Par exemple, un message d'anniversaire d'un ami de la vieille école qui arrive le jour de votre anniversaire et vient de son nom serait beaucoup plus convaincant qu'un e-mail aléatoire avec un lien disant "cliquez ici".
Le problème n'est pas l'anniversaire lui-même, le problème est que, malheureusement, de nombreuses entreprises et sites Web l'utilisent toujours à des fins de vérification. C'est certainement une mauvaise pratique et de nombreuses entreprises modifient leurs politiques juste pour cette raison.
Les banques l'utilisaient parfois pour récupérer un mot de passe, mais ces dernières années, elles aussi ont considérablement modifié leurs procédures (selon la banque que vous utilisez).
Donc, répondre à votre question est sûr de révéler votre date de naissance. De préférence, vous ne les divulguez que lorsque cela est vraiment nécessaire (par exemple, demandez à chaque fois s'ils en ont vraiment besoin), les informations ne sont pas considérées comme secrètes et vous devrez les divulguer à l'occasion à des fins légitimes. Comme pour toute information personnelle, la meilleure chose à faire est de divulguer le moins d'occasions possible. D'un autre côté, si le vol d'identité est commis et que le coupable se révèle être une personne capable de récupérer des informations ou d'effectuer une action en donnant simplement votre anniversaire (ce qui est facile à trouver). Il est alors très probable que l'entreprise sera responsable de la protection insuffisante de vos informations personnelles ou de sa négligence dans son processus de vérification. Bien sûr, cela signifie que vous devrez y faire face (ce qui est une nuisance et prend beaucoup de temps).
Quels types de choses un voleur d'identité pourrait-il faire uniquement avec mon anniversaire? Peut-il, par exemple, ouvrir un compte bancaire? Récupérer un mot de passe bancaire? Ouvrir une carte de crédit? Prendre un prêt auto?
Les réponses à ces questions dépendent de l'espace et du temps. Par espace, j'entends la législation dans différents pays et même le style de vie et le bien-être du pays dans lequel quelqu'un vit comptent beaucoup. Vous pouvez être surpris, mais il y a beaucoup de pays où même avoir un compte bancaire est un luxe, auquel cas personne n'a à s'inquiéter si son anniversaire est divulgué ou non.
Aussi, s'agissant des banques par exemple, elles s'adaptent à la législation des pays où elles sont actives. De plus, dans le même pays, la loi change avec le temps, de sorte que lorsque de telles informations sont inutiles pour une personne néfaste, elles peuvent être intéressantes d'une manière ou d'une autre en quelques années.
Dans tous les cas, il n'y a pas de système lié à la sécurité qui ne dépende que de votre anniversaire pour accomplir une étape d'authentification car peut-être que votre anniversaire est déjà le mien selon le paradoxe d'anniversaire . Mais bien sûr, moins vous vous révélez, plus vous êtes en sécurité. Mais cela nous amènera à choisir entre être paranoïaque, négligent ou simplement sage.
MODIFIER:
Comme vous vivez aux États-Unis, vous savez mieux que moi que votre SSN est trop important. Dans ce cas, après une courte recherche, j'ai trouvé que il existe déjà des algorithmes une mauvaise personne pourrait courir pour deviner votre SSN en fonction de votre anniversaire et de votre lieu de naissance conduisant également à vol d'identité .
Aux États-Unis, les anniversaires sont des dossiers publics, et il existe de nombreuses bases de données en ligne où ils peuvent être consultés de manière triviale. Dans d'autres pays comme l'Italie, c'est encore moins privé. Votre date de naissance est systématiquement demandée sur de simples formulaires Web et est même incluse dans un CV.
Essentiellement, les anniversaires ne sont pas des secrets et vous ne devriez pas les traiter comme tels. Oui, certains mauvais sites Web les utilisent à des fins de vérification. Mais garder quelque chose d'un secret qui n'est pas un secret est une pratique stupide.
Avec le nom, l'anniversaire et l'adresse seuls, un attaquant pourrait caser votre boîte aux lettres pour savoir avec quelle banque vous avez un compte. Le jour de votre anniversaire, il pourrait vous envoyer une lettre avec le papier à en-tête de cette banque contenant un bon pour votre anniversaire et vous demandant de visiter un lien malveillant pour échanger le bon.
C'est tiré par les cheveux. Mais le point que j'essaie de faire valoir est que vous devriez essayer autant que possible de minimiser la quantité d'informations publiques, car il est possible d'en obtenir des informations supplémentaires. Par exemple. obtenir le nom de votre banque à partir de votre adresse.
Deuxièmement, je pense qu'il n'y a pas de directive standard sur les informations considérées comme publiques et celles qui ne le sont pas. Par exemple, certaines banques peuvent considérer votre anniversaire comme une information privée et vous permettre de réinitialiser votre PIN si vous pouvez fournir l'anniversaire. Un bon exemple est le vol d'identité de Matt Honan. En 2012, Apple considérait les 4 derniers chiffres du numéro de carte de crédit comme des informations privées, mais Amazon les considérait comme des informations publiques. Cela lui a fait perdre toute sa vie numérique.
Source: http://www.wired.com/2012/08/Apple-Amazon-mat-honan-hacking/
Au Royaume-Uni, un résultat spécifique de révéler votre date de naissance - dans certains paramètres - est qu'ils peuvent trouver le nom de jeune fille de votre mère. De là, ils peuvent retracer le mariage de vos parents et tous vos frères et sœurs.
Compte tenu de votre nom et de votre date de naissance, vous pouvez visiter FreeBMD et, si votre nom est inhabituel, il est possible de trouver les détails du registre de votre naissance, y compris le nom de jeune fille de votre mère (une question de sécurité courante). Si votre nom est commun, un lieu de naissance (disponible sur Facebook, je crois) peut être utilisé pour affiner votre entrée.
Une fois qu'ils ont le nom de vos parents, ils pourraient, à partir du même site, découvrir les noms et les dates de naissance de tous vos frères et sœurs. Des copies des certificats de naissance et de mariage peuvent être achetées pour une somme modique, dont certains détails supplémentaires peuvent parfois être tirés.
À partir de là, ils peuvent désormais utiliser le Tableau électoral pour retrouver la maison et l'adresse de votre famille.
Il s'agit clairement d'un fluage d'informations. Une fois qu'une certaine quantité d'informations vous concernant est disponible, d'autres peuvent être développées à partir de sources souvent gratuites.
Je vous recommande de lire le livre de Kevin Mitnick "Ghost in the Wires" pour une vue révélatrice de ce que quelqu'un peut faire avec un seul, ou peu, points de données. Selon votre question, quelqu'un pourrait également avoir votre nom et votre adresse.
Un bon ingénieur social comme Mitnick pourrait peut-être utiliser cela pour appeler le gestionnaire de votre appartement et obtenir quelques points de données supplémentaires comme lorsque vous avez emménagé, qui est votre contact d'urgence, etc. (par exemple, peut-être qu'il se fait passer pour un médecin et dit que vous êtes dans sa salle d'urgence et tout ce qu'il a, c'est votre téléphone portable et votre permis de conduire.) Il utilise ensuite ces informations pour se faire passer pour un vieil ami d'université essayant de vous trouver, etc. Chaque appel qu'il fait lui donne un autre morceau jusqu'à ce qu'il puisse recréer suffisamment de une histoire pour obtenir votre SSN, vos numéros de compte, etc.
Quoi qu'il en soit, consultez le livre et vous comprendrez très rapidement pourquoi même 1 information suffit pour un bon voleur d'identité.
C'est une question complexe car ici le terme de risque peut être compris de 2 manières. Vous demandez le risque associé à l'action de "communiquer sa date de naissance à une entreprise". Parlez-vous du risque global associé au résultat final de cette opération ou parlez-vous du risque supplémentaire associé à cette seule action?.
A partir des détails de votre question, vous demandez une évaluation du risque que vient d'ajouter cette opération.
Étant donné qu'une date de naissance est une information publique, ni secrète ni révocable, vous ne pouvez en aucun cas modifier le risque global associé à ces informations. Le risque associé à cette opération est alors: 0.
Cela semble choquant, mais cela est dû au fait que "communiquer sa date de naissance à une entreprise" est un risque avant l'action de celui qui communique sa date de naissance.
Le risque global associé à la communication de la date de naissance pourrait être considéré comme une formule simplifiée:
faux secret + mauvaise sécurité + recherche croisée + communication personnelle
et mon estimation de ceux-ci en termes de probabilités supplémentaires de mauvais résultats se produisant est:
faux secret: x + mauvaise sécurité: y (ce y n'est pas indépendant x) + recherche croisée: z risque ajouté par un chasseur de différentes informations publiques pour construire une identité correcte pour attaquer entreprises faisant la promotion de faux secrets + communication personnelle: t ________________________________________________________________________ Probabilité totale de mauvais: p = 1 1-x) (1-y) (1-z) (1-t)
(Mon estimation brute personnelle est que x ≃ 0,1, y ≃ 0,4, z ≃ 0,2, t ≃ 0
ce qui conduit à un p ≃ 0,6)
Pour la même raison, de mon point de vue personnel, le risque global associé à l'idée qu'une date de naissance est un secret et pourrait être utilisé comme authentification est de: --- (1 (= probabilité de mauvais événement = 1 x périmètre d'impact = max).
Ma banque utilise ma date de naissance comme mécanisme d'identification. Je leur ai expliqué pourquoi je leur fais moins confiance que les autres à cause de ce faux secret qu'ils vendent à des clients naïfs et du risque qu'ils créent.
Ils n'ont pas changé. Ils ont enregistré l'information très poliment.
Le risque que je change de banque augmente chaque jour.
Le risque que cette mauvaise pratique devienne publique augmente chaque jour.
Aux États-Unis, "nom et date de naissance" semblent être les jetons d'authentification standard exigés par les médecins et autres professionnels de la santé. Certes, chaque fois que j'appelle mon médecin, on me demande cette information, et seulement cette information, avant qu'ils ne discutent de quelque chose de personnel.
Si un attaquant avait ces informations et pouvait deviner l'identité de votre médecin (peut-être facile à faire à partir de votre adresse, si vous vivez dans une ville suffisamment petite), il pourrait probablement vous faire passer pour votre médecin par téléphone. Je m'attends à ce qu'ils soient en mesure d'obtenir des informations sur vos prochains rendez-vous, les résultats des tests, etc. Obtenir un ensemble complet de vos dossiers peut prendre un peu plus de travail (peut-être en forgeant votre signature sur un formulaire envoyé par la poste).
J'ajoute cela comme réponse à cause d'un réponse minutieusement recherchée sur le site Law.SE .
Citant:
Sur le site Web de la Cour de l'État de New York, vous pouvez découvrir comment obtenir le casier judiciaire de quiconque - il s'agit d'un dossier public afin que n'importe qui puisse faire une demande concernant n'importe qui. Il y a des frais de 65 $. Les enregistrements peuvent être commandés en ligne et les résultats peuvent vous être envoyés par e-mail. Les recherches sont traitées par une correspondance exacte du nom et de la date de naissance ( c'est moi qui souligne - D.H.).
D'autres États ont des procédures globalement similaires; des informations sur les actes et titres de propriété peuvent également être demandées. Pendant que les demandes sont enregistrées, une personne déterminée aura une identité fausse ou alternative pour faire ces demandes.
La date de naissance n'est qu'un autre élément d'une information personnellement identifiable (PII). Toutes les données qui pourraient potentiellement identifier un individu spécifique. Plus il y a de morceaux de ces informations personnelles, plus il est facile de vous identifier ou de vous faire passer pour vous. Les banques de mon pays posent 2-3 questions personnelles avant de vérifier que vous êtes bien le propriétaire du compte par téléphone.
En ce qui concerne la façon dont il peut vous identifier à partir d'une base de données anonyme (par exemple, site de rencontres, registres des donateurs d'hôpitaux avec des noms anonymes), différents éléments de vos informations peuvent augmenter la probabilité que le surnom que vous utilisez est bien vous.
Tous les services ne nécessitent pas un deuxième facteur d'authentification (2FA), donc la connaissance des informations personnelles sur une personne peut permettre à l'attaquant d'accéder à un système, à un opérateur de téléphonie bancaire consultant votre dossier ou à une infirmière qui vérifie un dossier médical par téléphone. ou, dans certains cas, usurper l'identité d'une entreprise pour demander des paiements à un fournisseur.