web-dev-qa-db-fra.com

Pourquoi certaines entreprises demandent-elles les 4 derniers chiffres de mon SSN ou une analyse de mon ID? Quels sont mes risques?

Hier, j'ai découvert que certains grands fournisseurs de services (locations en ligne) que j'utilise maintenant exigent une preuve de mon identité si je veux continuer et faire une réservation. On m'a proposé 2 options:

  1. Entrez les 4 derniers chiffres de mon numéro de sécurité sociale et répondez à plusieurs questions.
  2. Scannez une forme de carte d'identité (passeport, permis de conduire ou autre pièce d'identité valide du gouvernement)

J'ai décidé d'abandonner les 4 derniers chiffres de mon SSN, mais j'ai été un peu choqué de ce qui s'est passé ensuite. À l'étape suivante, ils ont commencé à me poser des questions auxquelles je ne m'attendais pas à ce qu'ils connaissent les réponses:

  • Dans quel état ai-je vécu en 2005?
  • Où se trouve la rue XXX (sur laquelle j'ai vécu en 2013 et 2014)?
  • Etc.

D'après les questions et les réponses proposées, il semblait qu'ils connaissaient déjà les réponses à ces questions. La raison pour laquelle je pense qu'ils connaissaient déjà les réponses est parce que je ne vivais pas aux États-Unis en 2006-2012, et ils semblaient savoir que j'habitais aux États-Unis en 2005 puis depuis 2013.

Comment le savaient-ils? Il est donc si facile pour une entreprise d'obtenir ces informations? Je ne me sens pas à l'aise!

Maintenant, j'ai quelques questions:

  1. Pourquoi certaines entreprises veulent-elles les 4 derniers chiffres de mon SSN?

  2. Comment l'utilisent-ils? Comment les 4 derniers chiffres du SSN aident-ils à vérifier mon identité? Comment ça marche?

  3. Que peut faire un pirate informatique s'il vole d'une manière ou d'une autre ces informations (mon nom, ma date de naissance, mon adresse, les 4 derniers chiffres du SSN)? Comment ces informations peuvent-elles être utilisées contre moi?

  4. Pensez-vous qu'ils pourraient obtenir ces questions et réponses personnelles uniquement en fonction de mon nom, de mon adresse et de ma date de naissance, ou qu'ils pourraient obtenir ces informations d'une manière ou d'une autre uniquement après avoir entré les 4 derniers chiffres de mon SSN?

  5. Que peut faire un pirate informatique s'il vole en quelque sorte une photo de ma carte d'identité?

  6. Selon vous, qu'est-ce qui est plus sûr: envoyer les 4 derniers chiffres du SSN ou une photo de la carte d'identité?

13
nightcoder

J'habite en dehors des États-Unis, donc je ne sais pas exactement comment les SSN sont normalement utilisés, mais il semble qu'ils utilisent ces détails comme clé pour vous rechercher dans un --- service de vérification d'identité .

Ce n'est pas trop rare en ce qui concerne les locations immobilières, car la plupart des agences de location physiques veulent des analyses de votre carte d'identité, etc. de toute façon.

1) Pourquoi certaines entreprises veulent-elles les 4 derniers chiffres de mon SSN?

2) Comment l'utilisent-ils? Comment les 4 derniers chiffres du SSN aident-ils à vérifier mon identité? Comment ça marche?

Il est très peu probable que quelqu'un d'autre ait le même prénom et le même nom, plus les mêmes 4 derniers chiffres dans son SSN.

Par conséquent, je peux imaginer que cette combinaison soit utilisée comme clé pour rechercher votre enregistrement dans une base de données externe. Une fois qu'ils ont votre dossier, ils vous posent des questions sur ces informations pour prouver que vous êtes bien cette personne.

3) Que peut faire un pirate informatique s'il vole d'une manière ou d'une autre ces informations (mon nom, ma date de naissance, mon adresse, les 4 derniers chiffres du SSN)? Comment ces informations peuvent-elles être utilisées contre moi?

Dans une certaine mesure, cela vous protège. Il ne serait pas trop difficile pour un attaquant d'obtenir les informations que vous mentionnez, mais il lui serait beaucoup plus difficile de répondre à des questions telles que "Quel état avez-vous vécu en 2005?".

Par conséquent, s'ils essayaient d'utiliser vos coordonnées pour louer une propriété sous votre nom (par exemple pour diriger un laboratoire de méthamphétamine), ils seraient, espérons-le, empêchés de ne pas pouvoir répondre aux questions supplémentaires.

Cela dit, il y a bien sûr la menace qu'un attaquant puisse accéder à vos enregistrements via le service d'authentification d'identité. Espérons que le service de vérification d'identité nécessiterait des contrôles suffisants pour protéger vos données avant de fournir l'accès.

C'est un compromis entre la commodité, vous protéger contre l'entreprise comme une menace pour votre vie privée et vous et l'entreprise contre les locataires frauduleux.

4) Pensez-vous qu'ils pourraient obtenir ces questions et réponses personnelles uniquement en fonction de mon nom, de mon adresse et de ma date de naissance, ou qu'ils pourraient obtenir ces informations d'une manière ou d'une autre uniquement après avoir entré les 4 derniers chiffres de mon SSN?

Probablement , j'imagine que les fournisseurs de crédit (par exemple votre banque) auraient au moins un historique de votre adresse postale et qu'ils seraient en mesure d'identifier de manière unique votre enregistrer à partir de ces informations.

D'un point de vue pratique, je ne suis pas sûr des détails de la façon dont ils pourraient fournir ces informations à un service de vérification d'identité. Il semble cependant raisonnablement probable que cela puisse se produire.

5) Que peut faire un pirate informatique s'il vole en quelque sorte une photo de ma carte d'identité?

6) Selon vous, qu'est-ce qui est plus sûr: envoyer les 4 derniers chiffres du SSN ou une photo de la carte d'identité?

Il y a beaucoup de facteurs à considérer, mais je dirais que l'envoi de SSN est plus sûr en supposant qu'il n'y a pas de vérification supplémentaire (c'est-à-dire pas de questions supplémentaires) lorsque vous téléchargez votre pièce d'identité avec photo.

La raison en est qu'un attaquant pourrait simplement renvoyer votre pièce d'identité avec photo à chaque fois et réussir la vérification. Cependant, s'ils n'avaient que votre SSN, ils devraient également répondre à ces questions (qui, espérons-le, changent à chaque fois).

10
thexacre

Les 4 derniers de votre SSN sont considérés comme des données "publiques". Les questions qui vous ont été posées faisaient partie de LexusNexus ( http://www.lexisnexis.com/ ). C'est un centre d'échange que les entreprises et les agences gouvernementales utilisent pour affirmer votre identité. C'est un peu déconcertant les choses qui sont dans la base de données, mais c'est normal.

Quant à la question de la pièce d'identité avec photo, cela devra être une question à laquelle vous répondrez en raison du risque que vous êtes prêt à prendre. Étant donné que les 4 derniers de votre SSN sont des données "publiques", n'importe qui peut prendre votre photo en public, que souhaitez-vous révéler? S'agit-il des informations sur l'ID ou les 4 derniers de votre SSN?

5
user79537