El «bloqueo de SSN» de E-Confirm no es nada de eso – Krebs on Safety


Una de las columnas de consejos más leídas en este sitio es una pieza de 2018 llamada «Plante su bandera, marque su territorio», que trató de impresionar a los lectores sobre la importancia de crear cuentas en sitios world-wide-web como los de la Administración del Seguro Social, el IRS y otros antes que los ladrones lo hagan por ti. Un concepto clave aquí es que estos servicios solo permiten una cuenta por número de Seguro Social, que para bien o para mal es el identificador nacional de facto en los Estados Unidos. Pero KrebsOnSecurity descubrió recientemente que este no es el caso con todos los sitios del gobierno federal creados para ayudarlo a administrar su identidad en línea.

Un lector que recientemente fue víctima de fraude en el seguro de desempleo dijo que le dijeron que debía crear una cuenta en el Departamento de Seguridad Nacional‘S Sitio internet myE-Validatey coloque un candado en su número de Seguro Social (SSN) para minimizar las posibilidades de que los ladrones de identidad puedan abusar de su identidad por fraude laboral en el futuro.

Página de inicio de DHE myE-Validate.

Según el sitio website, aproximadamente 600,000 empleadores en más de 1.9 millones de sitios de contratación usan E-Confirm para confirmar la elegibilidad de empleo de los nuevos empleados. El portal orientado al consumidor de E-Confirm myE-Confirm permite a los usuarios rastrear y gestionar las consultas de empleo realizadas a través del sistema E-Confirm. También presenta un «Bloqueo automático» diseñado para evitar el mal uso del SSN de uno en E-Validate.

Se supone que habilitar este bloqueo significa que para el año siguiente a partir de entonces, si una persona no autorizada intenta usar fraudulentamente un SSN para obtener autorización de empleo, no podrá usar el SSN en E-Validate, incluso si el SSN es el de un empleo autorizado person. Pero en la práctica, este servicio puede hacer poco para disuadir a los ladrones de identidad de hacerse pasar por un posible empleador.

A solicitud del lector que se acercó (y en interés de seguir mi propio consejo para plantar la bandera), KrebsOnSecurity decidió registrarse para obtener una cuenta myE-Confirm. Después de verificar mi dirección de correo electrónico, me pidieron que elija una contraseña segura y seleccione una forma de autenticación multifactor (MFA). La opción MFA más segura ofrecida (un código único generado por una aplicación como Google Authenticator o Authy) ya estaba preseleccionada, así que elegí eso.

El sitio solicitó mi nombre, dirección, número de seguro social, fecha de nacimiento y número de teléfono. Luego me pidieron que seleccionara cinco preguntas y respuestas que podrían hacerse si intentara restablecer mi contraseña, como “¿En qué ciudad / pueblo conociste a tu cónyuge?” Y “¿Cuál es el nombre de la compañía de tu primer trabajo remunerado «. Elegí respuestas largas y tontas que no tenían nada que ver con las preguntas (sí, estas preguntas de contraseña son casi inútiles para la seguridad y con frecuencia son la causa de las adquisiciones de cuentas, pero llegaremos a eso en un minuto).

Seleccionadas las preguntas para restablecer la contraseña, el sitio procedió a hacer cuatro preguntas de «autenticación basada en el conocimiento» de conjeturas múltiples para verificar mi identidad. los Comisión Federal de Comercio de EE. UU.‘S página principal sobre cómo prevenir el robo de identidad relacionado con el trabajo dice que las personas que han congelado la seguridad en sus archivos de crédito con las principales agencias de crédito deberán levantar o descongelar antes de poder responder estas preguntas con éxito en myE-Confirm. Sin embargo, no encontré que ese fuera el caso, a pesar de que mi archivo de crédito ha estado congelado en las principales oficinas durante años.

Después de responder con éxito las preguntas de KBA (la respuesta a cada una fue «ninguna de las anteriores», por cierto), ¡el sitio declaró que había creado mi cuenta con éxito! Entonces pude ver que tenía la opción de colocar un «Self Lock» en mi SSN dentro del sistema E-Validate.

Hacerlo me obligó a elegir tres preguntas y respuestas más. El sitio no explicaba por qué me pedía que hiciera esto, pero supuse que me pediría las respuestas en caso de que más tarde decidiera desbloquear mi SSN dentro de E-Validate.

Después de seleccionar y responder esas preguntas y hacer clic en el botón «Bloquear mi SSN», el sitio generó un mensaje de error que decía que algo salió mal y no pudo continuar.

Por desgracia, cerrar sesión y volver a iniciar sesión nuevamente mostró que el sitio en realidad procedió y que mi SSN estaba bloqueado. Alegría.

Pero aún tenía que saber una cosa: ¿podría venir alguien más fingiendo ser yo y crear otra cuenta usando mi SSN, fecha de nacimiento y dirección pero con una dirección de correo electrónico diferente? Utilizando un navegador y una dirección de Internet diferentes, procedí a averiguarlo.

Imagine mi sorpresa cuando pude crear una cuenta separada para mí con una dirección de correo electrónico diferente (una vez más, las respuestas correctas a todas las preguntas de KBA fueron «ninguna de las anteriores»). Al iniciar sesión, noté que mi SSN estaba bloqueado dentro de E-Confirm. Así que elegí desbloquearlo.

¿El sistema hizo alguna de las preguntas de desafío que me hizo crear anteriormente? No Simplemente informó que mi SSN ahora estaba desbloqueado. Cerrar sesión y volver a iniciar sesión en la cuenta unique que creé (nuevamente con una IP y un navegador diferentes) confirmó que mi SSN estaba desbloqueado.

ANÁLISIS

Obviamente, si el sistema E-Verify permite que se creen varias cuentas usando el mismo nombre, dirección, número de teléfono, número de seguro social y fecha de nacimiento, esto es menos que suitable y de alguna manera anula el propósito de crear una con el propósito de proteger la identidad de uno. por mal uso

Para que no piense que su SSN y DOB es de alguna manera información privada, debe saber que esta información estática sobre los residentes de EE. UU. Ha estado expuesta muchas veces en innumerables violaciones de datos, y en cualquier caso, estos dígitos están disponibles para la venta en la mayoría de los estadounidenses a través de sitios web oscuros para aproximadamente el equivalente de bitcoin de una elegante bebida con cafeína en Starbucks.

No poder continuar con las preguntas de autenticación basadas en el conocimiento sin descongelar primero el archivo de crédito de uno con todas o las tres grandes oficinas de crédito (Equifax, Experian y TransUnion) puede ser una ventaja para aquellos de nosotros que estamos paranoicos sobre el robo de identidad. No pude encontrar ninguna mención en el sitio de E-Verify de qué compañía o servicio utiliza para hacer estas preguntas, pero el hecho de que al sitio no parece importarle si uno está congelado es preocupante.

Y cuando la respuesta correcta a todas las preguntas de la KBA que se hacen invariablemente es «ninguna de las anteriores», eso en cierta medida disminuye el valor de formularlas en primer lugar. Tal vez esa fue solo la suerte del sorteo en mi caso, pero también inquietante. De cualquier manera, estas preguntas de KBA son una seguridad notoriamente débil porque las respuestas a ellas a menudo se extraen de registros que de todos modos son públicos, y a veces se pueden deducir estudiando la información disponible en los perfiles de redes sociales de un objetivo.

Hablando de preguntas tontas, confiar en «preguntas secretas» o «preguntas de desafío» como un método alternativo para restablecer la contraseña de uno está muy desactualizado e inseguro. Un estudio de 2015 realizado por Google titulado «Secretos, mentiras y recuperación de cuenta”(PDF) descubrió que las preguntas secretas generalmente ofrecen un nivel de seguridad mucho más bajo que las contraseñas elegidas por el usuario. Además, la idea de que una cuenta protegida por autenticación multifactor podría socavarse al adivinar con éxito la (s) respuesta (s) a una o más preguntas secretas (respondidas de manera veraz y tal vez ubicadas por ladrones a través de la extracción de las cuentas de redes sociales) es molesta.

Finalmente, el consejo dado al lector cuya investigación originalmente me llevó a inscribirme en myE-Validate no parece tener nada que ver con evitar que los ladrones de identidad reclamen fraudulentamente beneficios de seguro de desempleo a nombre del estado. KrebsOnSecurity siguió con cuatro lectores diferentes que dejaron comentarios en este sitio acerca de ser víctimas de fraude de desempleo recientemente, y ninguno de ellos vio ninguna consulta al respecto en sus cuentas myE-Validate después de crearlos. No es que deberían haber visto signos de esta actividad en el sistema E-Verify Solo quería enfatizar que uno parece tener poco que ver con el otro.


Etiquetas: myE-Validate, myE-Verify.gov, desempleo ins

Esta entrada fue publicada el sábado 4 de julio de 2020 a las 6:24 pm y está archivada en A Little Sunshine, Security Resources.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el last y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia primary