Pelanggaran besar NPD merupakan pengingat serius tentang kerentanan data identitas

Dalam beberapa tahun terakhir, biaya tipikal paket identitas pribadi yang mencakup nama seseorang, tanggal lahir, dan nomor Jaminan Sosial adalah sekitar $10 di pasar gelap, dan seringkali hanya $1. Perkiraan kasar ini berasal dari berbagai analisis penjualan data pasar gelap oleh biro kredit berpengalamanplatform intelijen ancaman siber Titik nyaladan perusahaan pelatihan kesadaran keamanan TahuBe4.

Murahnya nomor Jaminan Sosial — sepotong informasi yang diminta oleh firma-firma ini dan lainnya agar dilindungi oleh konsumen — adalah sebuah pengingat bahwa, terlepas dari bagaimana seseorang mungkin berusaha melindungi identitas mereka secara daring, informasi pribadi tetap muncul dalam pelanggaran data sepanjang waktu, sehingga menyulitkan bank dan koperasi kredit untuk memverifikasi identitas nasabah dan anggota secara daring.

Contoh terbaru dari penurunan nilai nomor Jaminan Sosial sebagai informasi pengenal adalah 2,7 miliar catatan yang bocor dari pialang data National Public Data (NPD), yang banyak di antaranya menyertakan nomor sembilan digit. Meskipun tidak semua nomor Jaminan Sosial dalam basis data yang dicuri terhubung dengan benar ke orang-orang, pelanggaran tersebut cukup besar sehingga kemungkinan jutaan orang telah terpengaruh.

Pelanggaran tersebut tidak mengubah status quo ante, yaitu bahwa informasi identitas pribadi (PII) “sudah tersedia daring dalam jumlah besar,” menurut Teresa Walsh, kepala intelijen global di Pusat Analisis dan Pembagian Informasi Layanan Keuangan, sebuah koalisi internasional lembaga keuangan yang berfokus pada keamanan siber.

“Nomor Jaminan Sosial dapat dibobol sejak bayi,” kata Walsh. “Namun, ketika pelaku kejahatan membuka akun yang terkait dengan PII, sering kali diperlukan lebih dari sekadar nomor Jaminan Sosial.”

Ini adalah kabar baik bagi konsumen yang mencari perlindungan ketika nomor Jaminan Sosial mereka dibobol, tetapi pelaku kejahatan punya metode untuk membangun profil calon korban pencurian identitas yang lebih dari sekadar mencuri data.

Menurut Walsh, AI dan perangkat basis data dapat membantu penipu menghubungkan berbagai pelanggaran PII untuk membangun profil komprehensif individu yang terdampak. Item ini dapat mencakup alamat sebelumnya, informasi rekening bank, kata sandi yang sering digunakan, pindaian paspor atau SIM, dan apa pun yang mungkin muncul dalam pelanggaran data dan akan berguna untuk peniruan identitas.

Salah satu efek samping dari semua ini adalah bahwa penyedia layanan keuangan mulai kembali ke strategi kuno untuk memblokir upaya penipuan, seperti meminta nasabah baru datang ke cabang dengan dokumen identitas dan tagihan utilitas, menurut Walsh.

Dan, seperti halnya penipu dapat menghubungkan pelanggaran data untuk meningkatkan skema penipuan identitas mereka, bank berupaya menghubungkan basis data identitas yang sah. Salah satu contohnya, kata Walsh, adalah menghubungkan basis data pendaftaran bisnis dengan basis data bank untuk memverifikasi rekening bank bisnis baru dengan pendaftaran bisnis terkait.

“Namun, ada banyak kendala pada hubungan basis data ini karena masalah privasi, sehingga saat ini penjahat dunia maya punya banyak peluang,” kata Walsh.

Kemampuan penjahat dunia maya untuk berkolaborasi ini mengharuskan pemerintah dan organisasi berkolaborasi pada gilirannya, untuk menerapkan protokol perlindungan data yang lebih kuat, menurut Jon Clay, wakil presiden intelijen ancaman di firma keamanan dunia maya Trend Micro.

“Meskipun kemungkinan satu orang menjadi sasaran langsung mungkin tidak meningkat drastis karena pelanggaran ini, potensi viktimisasi di masa mendatang sudah pasti meningkat,” kata Clay. “Sangat penting bagi setiap orang untuk tetap waspada dan bagi sektor publik dan swasta untuk memperkuat langkah-langkah keamanan guna melindungi dari penyalahgunaan data tersebut.”

Bahkan jika data seseorang telah dibobol sebelumnya, pembobolan tambahan dapat menjadi titik data bagi penipu untuk mengonfirmasi atau membangun kepercayaan pada profil yang mereka miliki tentang korban tersebut. Semakin banyak pembobolan data yang mengonfirmasi nomor Jaminan Sosial dan detail identitas lain dari calon korban, semakin berharga profil orang tersebut di pasar gelap.

“Permintaan berkelanjutan untuk PII memastikan bahwa penjahat dunia maya masih bisa meraup untung, bahkan jika beberapa data telah bocor sebelumnya,” kata Clay. “Pasar gelap beroperasi berdasarkan volume dan hukum rata-rata. Dengan menjual SSN dalam jumlah besar, bahkan dengan harga yang lebih rendah, penjahat masih bisa meraup untung yang signifikan.”