El «bloqueo de SSN» de E-Verify no es nada por el estilo – Krebs on Security

Una de las columnas de consejos más leídas en este sitio es un artículo de 2018 llamado «Plante su bandera, marque su territorio», que trató de inculcar a los lectores la importancia de crear cuentas en sitios web como los de la Administración del Seguro Social, el IRS y otros antes de que los ladrones lo hagan por ti. Un concepto clave aquí es que estos servicios solo permiten una cuenta por número de Seguro Social, que para bien o para mal es el identificador nacional de facto en los Estados Unidos. Pero KrebsOnSecurity descubrió recientemente que este no es el caso con todos los sitios del gobierno federal creados para ayudarlo a administrar su identidad en línea.

Un lector que recientemente fue víctima de un fraude de seguro de desempleo dijo que le dijeron que debería crear una cuenta en el Departamento de Seguridad Nacional‘s sitio web myE-Verifyy coloque un candado en su número de Seguro Social (SSN) para minimizar las posibilidades de que los ladrones de identidad puedan abusar de su identidad para cometer fraude laboral en el futuro.

El bloqueo de SSN de E Verify no es nada por

Página de inicio de myE-Verify del DHS.

Según el sitio web, aproximadamente 600 000 empleadores en más de 1,9 millones de sitios de contratación utilizan E-Verify para confirmar la elegibilidad laboral de los nuevos empleados. El portal orientado al consumidor de E-Verify, myE-Verify, permite a los usuarios rastrear y administrar las consultas de empleo realizadas a través del sistema E-Verify. También cuenta con un «Autobloqueo» diseñado para evitar el uso indebido del SSN en E-Verify.

Se supone que habilitar este bloqueo significa que durante el próximo año, si una persona no autorizada intenta usar de manera fraudulenta un SSN para la autorización de empleo, no podrá usar el SSN en E-Verify, incluso si el SSN es el de una persona autorizada para el empleo. individual. Pero en la práctica, este servicio puede hacer poco para disuadir a los ladrones de identidad de hacerse pasar por usted ante un empleador potencial.

A pedido del lector que se acercó (y con el interés de seguir mi propio consejo para plantar la bandera), KrebsOnSecurity decidió registrarse para obtener una cuenta de myE-Verify. Después de verificar mi dirección de correo electrónico, se me pidió que eligiera una contraseña segura y seleccionara una forma de autenticación multifactor (MFA). La opción MFA más segura que se ofrece (un código único generado por una aplicación como Google Authenticator o Authy) ya estaba preseleccionada, así que la elegí.

El sitio solicitó mi nombre, dirección, SSN, fecha de nacimiento y número de teléfono. Luego se me pidió que seleccionara cinco preguntas y respuestas que me podrían hacer si intentara restablecer mi contraseña, como «¿En qué ciudad/pueblo conoció a su cónyuge?» y «¿Cuál es el nombre de la empresa de su primer trabajo remunerado.” Elegí respuestas largas e incoherentes que no tenían nada que ver con las preguntas (sí, estas preguntas sobre contraseñas son casi inútiles para la seguridad y con frecuencia son la causa de la apropiación de cuentas, pero llegaremos a eso en un minuto).

Se seleccionaron las preguntas de restablecimiento de contraseña, el sitio procedió a hacer cuatro preguntas de «autenticación basada en el conocimiento» de múltiples conjeturas para verificar mi identidad. los Comisión Federal de Comercio de EE. UU.‘s página principal sobre cómo prevenir el robo de identidad relacionado con el trabajo dice que las personas que han colocado un congelamiento de seguridad en sus archivos de crédito con las principales agencias de crédito deberán levantar o descongelar el congelamiento antes de poder responder estas preguntas con éxito en myE-Verify. Sin embargo, no encontré que ese fuera el caso, a pesar de que mi archivo de crédito ha estado congelado con las principales agencias durante años.

Después de responder con éxito las preguntas de KBA (por cierto, la respuesta a cada una fue «ninguna de las anteriores»), ¡el sitio declaró que había creado mi cuenta con éxito! Entonces pude ver que tenía la opción de colocar un «Autobloqueo» en mi SSN dentro del sistema E-Verify.

1660957582 84 El bloqueo de SSN de E Verify no es nada por

Para hacerlo, tuve que elegir tres preguntas y respuestas de desafío más. El sitio no explicó por qué me pedía que hiciera esto, pero asumí que me pediría las respuestas en caso de que luego decidiera desbloquear mi SSN dentro de E-Verify.

Después de seleccionar y responder esas preguntas y hacer clic en el botón «Bloquear mi SSN», el sitio generó un mensaje de error que decía que algo salió mal y que no podía continuar.

1660957582 173 El bloqueo de SSN de E Verify no es nada por

Desgraciadamente, cerrar sesión y volver a iniciarla mostró que el sitio sí procedió y que mi SSN estaba bloqueado. Alegría.

Pero aún tenía que saber una cosa: ¿podría venir otra persona haciéndose pasar por mí y crear otra cuenta usando mi SSN, fecha de nacimiento y dirección pero con una dirección de correo electrónico diferente? Usando un navegador y una dirección de Internet diferentes, procedí a averiguarlo.

Imagínese mi sorpresa cuando pude crear una cuenta separada como la mía con solo una dirección de correo electrónico diferente (una vez más, las respuestas correctas a todas las preguntas de KBA fueron «ninguna de las anteriores»). Al iniciar sesión, noté que mi SSN estaba bloqueado en E-Verify. Así que opté por desbloquearlo.

¿El sistema hizo alguna de las preguntas de seguridad que me hizo crear previamente? No. Simplemente informó que mi SSN ahora estaba desbloqueado. Cerrar sesión y volver a iniciar sesión en la cuenta original que creé (nuevamente con una IP y un navegador diferentes) confirmó que mi SSN estaba desbloqueado.

ANÁLISIS

Obviamente, si el sistema E-Verify permite que se creen varias cuentas con el mismo nombre, dirección, número de teléfono, SSN y fecha de nacimiento, esto es menos que ideal y de alguna manera anula el propósito de crear una con el fin de proteger la identidad. del mal uso

Para que no piense que su SSN y DOB son de alguna manera información privada, debe saber que estos datos estáticos sobre los residentes de los EE. UU. se han expuesto muchas veces en innumerables violaciones de datos y, en cualquier caso, estos dígitos están disponibles para la venta en la mayoría de los estadounidenses a través de sitios web oscuros para aproximadamente el equivalente en bitcoins de una elegante bebida con cafeína en Starbucks.

No poder continuar con las preguntas de autenticación basadas en el conocimiento sin primero descongelar el archivo de crédito con una o las tres grandes agencias de crédito (Equifax, Experian y TransUnion) en realidad puede ser una ventaja para aquellos de nosotros que estamos paranoicos con el robo de identidad. No pude encontrar ninguna mención en el sitio de E-Verify de qué compañía o servicio utiliza para hacer estas preguntas, pero el hecho de que al sitio no parece importarle si uno tiene un congelamiento es preocupante.

Y cuando la respuesta correcta a todas las preguntas de KBA que se hacen es invariablemente «ninguna de las anteriores», eso disminuye un poco el valor de hacerlas en primer lugar. Tal vez eso fue solo la suerte del sorteo en mi caso, pero también preocupante, no obstante. De cualquier manera, estas preguntas de KBA son de seguridad notoriamente débil porque las respuestas a ellas a menudo se extraen de registros que son públicos de todos modos y, a veces, se pueden deducir estudiando la información disponible en los perfiles de redes sociales de un objetivo.

Hablando de preguntas tontas, depender de «preguntas secretas» o «preguntas de seguridad» como método alternativo para restablecer la contraseña está muy desactualizado e inseguro. Un estudio de 2015 de Google titulado “Secretos, mentiras y recuperación de cuentas” (PDF) encontró que las preguntas secretas generalmente ofrecen un nivel de seguridad mucho más bajo que las contraseñas elegidas por el usuario. Además, la idea de que una cuenta protegida por autenticación de múltiples factores podría verse socavada al adivinar con éxito la(s) respuesta(s) a una o más preguntas secretas (respondidas con veracidad y tal vez localizadas por ladrones a través de la minería de cuentas de redes sociales) es molesta.

Finalmente, el consejo dado al lector cuya consulta originalmente me llevó a registrarme en myE-Verify no parece tener nada que ver con evitar que los ladrones de identidad reclamen de manera fraudulenta los beneficios del seguro de desempleo en su nombre a nivel estatal. KrebsOnSecurity hizo un seguimiento con cuatro lectores diferentes que dejaron comentarios en este sitio sobre ser víctimas de fraude de desempleo recientemente, y ninguno de ellos vio ninguna consulta sobre esto en sus cuentas de myE-Verify después de crearlas. No es que deberían haber visto signos de esta actividad en el sistema E-Verify; Solo quería enfatizar que uno parece tener poco que ver con el otro.

Deja un comentario