από τον Τόμας Όισμυλερ
Οι κυβερνήσεις παγκοσμίως προσπαθούν να εξαναγκάσουν τους πολίτες να χρησιμοποιούν ψηφιακές ταυτότητες – σύντομα απλώς για να έχουν πρόσβαση στο Διαδίκτυο. Ωστόσο, αυτές οι ίδιες οι κυβερνήσεις δεν είναι ήδη σε θέση να προστατεύσουν αυτά τα έγγραφα που εκδίδουν και ελέγχουν. Αυτό καταδεικνύει από μια πρόσφατη επίθεση από χάκερ (κυβερνοπειρατές) στο Τέξας.
Το Τέξας κατασκευάζει επίσης και την υποδομή που θα απαιτεί από τους ανθρώπους να ταυτοποιούνται ψηφιακά στο διαδίκτυο στο μέλλον. Αυτό θα παρέχει στο κράτος μια πληθώρα νέων δεδομένων ταυτότητας αλλά ήδη δυσκολεύεται να τα ασφαλίσει. Χάκερ έκλεψαν τους αριθμούς των αδειών οδήγησης και των διαβατηρίων περισσότερων από 3 εκατομμυρίων ανθρώπων από ένα κρατικό σύστημα ─ μία από τις μεγαλύτερες παραβιάσεις προσωπικών δεδομένων που έχει αναφέρει το Τέξας φέτος.
Το Reclaim the Net αναφέρει αυτήν τη στιγμή την υπόθεση:
Τα κλεμμένα δεδομένα προέρχονται από το Τμήμα Πάρκων και Άγριας Ζωής του Τέξας, την υπηρεσία που πουλά τις άδειες κυνηγιού και αλιείας. Μια δήλωση στον ιστότοπο αυτού του τμήματος ανέφερε ότι η υπηρεσία κυβερνοασφάλειας της πολιτείας ανακάλυψε ένα περιστατικό παραβίασης της ασφαλείας. Αυτό έδωσε στους εισβολείς την δυνατότητα να αποκτήσουν πρόσβαση στον εξωτερικό πάροχο των υπηρεσιών που διαχειρίζεται το σύστημα αδειοδότησης.
Η αρχή δεν έχει αποκαλύψει ούτε περί τίνος επρόκειτο ούτε το πότε συνέβη. Επιπλέον, δεν έχει κατονομάσει την εταιρεία που διαχειρίζεται τα δεδομένα αυτών αδειών.
Εκτός από τα δεδομένα των αδειών οδήγησης και τους αριθμούς των διαβατηρίων, κλάπηκαν επίσης και οι διευθύνσεις του ηλεκτρονικού ταχυδρομείου (email), οι αριθμοί προσωπικών τηλεφώνου και οι διευθύνσεις κατοικίας των κατόχων των αδειών οδήγησης αυτών που έχουν επηρεαστεί.
Όποιος αγοράζει άδεια αλιείας ή κυνηγιού από την πολιτεία του Τέξας παραδίδει τα έγγραφα της ψηφιακής ταυτότητάς του στην πολιτεία ─ και η πολιτεία, με τη σειρά της, τα μεταβιβάζει σε έναν ιδιώτη ανάδοχο εργολάβο, τον οποίο όμως τώρα (που έγινε η ζημιά) αρνείται να τον κατονομάσει το ποιος είναι. Οι αξιωματούχοι αυτής της υπηρεσίας αρνήθηκαν επίσης να επιβεβαιώσουν εάν οι χάκερ είχαν έρθει ήδη σε επικοινωνία μαζί τους. Αυτό συνήθως υποδηλώνει είτε ότι έχουν ζητηθεί λύτρα είτε ότι τα δεδομένα θα μπορούσαν σύντομα να δημοσιοποιηθούν.
Επομένως, τρία εκατομμύρια άνθρωποι αντιμετωπίζουν πλέον την πιθανότητα οι κρατικές ψηφιακές ταυτότητές τους να καταλήξουν σε εγκληματικές αγορές – και δεν μπορούν καν να αποκαλύψουν το ποια εταιρεία διέρρευσε τα δεδομένα. Το περιστατικό περιλαμβάνεται στη δημόσια λίστα παραβιάσεων του Γενικού Εισαγγελέα Κεν Πάξτον.
Η ίδια η πολιτεία του Τέξας που αυτοπροσδιορίζεται ως πρωτοπόρος στην εισαγωγή των απαιτήσεων της επαλήθευσης της ηλικίας στους ύποπτους ιστότοπους και τα καταστήματα εφαρμογών, προφανώς δεν μπορεί καν να προστατεύσει τα δεδομένα που ήδη κατέχει.
Την ίδια στιγμή, που μια κυβέρνηση αδυνατεί να προστατεύσει αποτελεσματικά 3 εκατομμύρια από τα ήδη υπάρχοντα αρχεία δεδομένων από τους χάκερ συνεχίζει να επιμένει με θράσος ότι όλο και περισσότερες εταιρείες θα πρέπει να συλλέξουν ακόμη περισσότερα στοιχεία από αυτά τα ευαίσθητα προσωπικά δεδομένα από όλους τους πολίτες.
Κάθε διαδικασία επαλήθευσης ηλικίας που απαιτεί σάρωση της άδειας οδήγησης ή σάρωση προσώπου δημιουργεί άλλη μια βάση δεδομένων, έναν άλλο πάροχο υπηρεσιών και ένα άλλο αντίγραφο της ψηφιακής ταυτότητάς σας — το οποίο μπορεί να διαρρεύσει ανά πάσα στιγμή. Αυτό ακριβώς συνέβη και στο Τμήμα Πάρκων και Άγριας Ζωής του Τέξας: Τα ψηφιακά δεδομένα που μάζεψε η πολιτεία μέχρι σήμερα, κλάπηκαν από επιτήδειους χάκερ (κυβερνοεγκληματίες). Αυτό υποδηλώνει ότι είναι ανίκανη να ασφαλίσει των ψηφιακά δεδομένα που ίδια μάζεψε.
Ένα παρόμοιο μοτίβο ήταν ήδη εμφανές τον Οκτώβριο, όταν η Discord ανακοίνωσε ότι οι κυβερνοεισβολείς είχαν αποκτήσει περίπου 70.000 ψηφιακές φωτογραφίες επίσημων εγγράφων ταυτοποίησης μέσω ενός τρίτου παρόχου – ψηφιακές φωτογραφίες που η εταιρεία είχε συλλέξει για την επαλήθευση της ηλικίας.
Το αδύναμο σημείο σε τέτοιες περιπτώσεις σπάνια είναι η εταιρεία στην οποία κάποιος έχει δώσει απευθείας τα δεδομένα του, αλλά μάλλον η αδιαφανής αλυσίδα παρόχων υπηρεσιών που κρύβεται πίσω από αυτήν – την οποία δεν έχετε ποτέ εξουσιοδοτήσει συνειδητά και η οποία επαληθεύεται μόνο μετά από διαρροή.
Οι αριθμοί των αδειών οδήγησης και των διαβατηρίων δεν λήγουν ποτέ και δεν μπορούν εύκολα να επαναφερθούν όπως γίνεται με ένα κωδικό πρόσβαση. Τα τρία εκατομμύρια πληγέντες Τεξανοί πολίτες αντιμετωπίζουν πλέον τον κίνδυνο κλοπής της ταυτότητας τους για χρόνια – όχι επειδή έκαναν κάτι στο διαδίκτυο, αλλά επειδή πήγαν απλά για ψάρεμα ή για κυνήγι.
Αυτό είναι το υψηλό τίμημα που επιβάλλει η προσέγγιση που μας λέει «πρώτα η ψηφιακή επαλήθευση» στους ανθρώπους που υποτίθεται ότι προστατεύει: Το κράτος απαιτεί απόδειξη ψηφιακής ταυτότητας, και στη συνέχεια το ίδιο είναι τόσο ανίκανο, που δεν μπορεί να διασφαλίσει απόρρητα τα ίδια τα δεδομένα που έχει συλλέξει – και στην συνέχεια εξακολουθεί να απαιτεί από τους πολίτες ακόμη περισσότερα δεδομένα και στοιχεία.
