Un altro giorno, un'altra massiccia violazione dei dati rivendicata dagli hacker. Giorni dopo che una violazione di T-Mobile ha rivelato informazioni personali di circa 53 milioni di persone, un gruppo di hacker noto come ShinyHunters ha annunciato che stava mettendo all'asta 70 milioni di set di dati sensibili presumibilmente rubati da AT&T.

Le informazioni offerte in vendita erano simili in entrambe le violazioni, inclusi nomi completi, indirizzi, date di nascita e numeri di previdenza sociale. In breve, è la base per il furto di identità.

AT&T ha risposto venerdì mettendo in dubbio l'affermazione della prolifica cabala ShinyHunters, affermando che "sulla base della nostra indagine odierna, le informazioni apparse in una chat room su Internet non sembrano provenire dai nostri sistemi".

Indipendentemente dalla provenienza dei dati, tuttavia, se sono validi potrebbero essere un incubo per chiunque le cui informazioni sensibili siano esposte. Ecco una guida rapida ai rischi che potresti incontrare e ad alcune delle cose che puoi fare per proteggerti.

Quali sono i rischi?

I numeri di previdenza sociale sono ampiamente utilizzati dal governo federale, dalle banche, dalle società di investimento, dai programmi di benefici governativi e dagli assicuratori per verificare la tua identità. Il tuo numero di previdenza sociale rubato può essere utilizzato per aprire conti di carte di credito fraudolenti, deviare o riscuotere in modo fraudolento vantaggi e commettere frodi sul posto di lavoro, tra le altre forme di inganno. Inserisci il tuo nome, data di nascita e indirizzo email (che anche gli ShinyHunters affermano di aver rubato) ed è molto più facile per qualcuno fingere di essere te.

I ladri di identità potrebbero utilizzare tali informazioni per prendere di mira sia te che le banche, gli assicuratori e le altre società con cui fai affari. Ad esempio, potrebbero utilizzarlo per rendere le e-mail di phishing più realistiche, aiutandoti a persuaderti a rinunciare a ulteriori informazioni sensibili come una password o un numero di identificazione personale (PIN). Oppure potrebbero usarlo per ingannare la tua banca facendogli cambiare la password del tuo conto, dando loro accesso al tuo denaro.

La violazione di T-Mobile ha anche rivelato i numeri di telefono, gli identificatori dei dispositivi e i numeri delle schede SIM di oltre 13 milioni dei suoi attuali clienti. Ciò crea un'apertura per almeno un'altra possibilità maligna:un attacco SIM-swap. È qui che qualcuno convince la tua compagnia di telefonia mobile a trasferire il tuo numero su un dispositivo diverso, che poi usa per cercare di entrare negli account che hai collegato al tuo numero di telefono.

È sempre più comune che le persone utilizzino i propri numeri di cellulare per verificare la propria identità, ad esempio quando accedono al proprio conto bancario online o quando desiderano reimpostare la password. Ma questa comodità può ritorcersi contro se il tuo numero viene dirottato, quindi utilizzato per impersonarti online.

Perché le compagnie telefoniche vogliono il tuo numero di previdenza sociale?

Perché è il modo più semplice per controllare la tua solvibilità. Aziende come AT&T e T-Mobile vogliono sapere se hai un record di pagamento delle bollette in tempo prima di accettare di fornirti un account o di venderti un telefono in rate mensili. E le principali agenzie di rating del credito utilizzano i numeri di previdenza sociale per abbinare le persone alle loro storie di credito.

"Il SSN è l'unico identificatore universale univoco nell'intera popolazione", ha spiegato Francis Creighton della Consumer Data Industry Association, che rappresenta le agenzie di credito. "Non c'è nient'altro che possa sostituirlo nel mercato di oggi."

I numeri di previdenza sociale aiutano anche a proteggersi dalle persone che creano rapporti di credito fraudolenti, ha affermato Creighton. E mentre ci sono modi per stabilire un punteggio di credito che non si basano sul tuo numero di previdenza sociale, ha detto, il primo passo è che un prestatore o un fornitore di servizi non lo richieda. Non puoi essere obbligato da una compagnia telefonica o da un'altra azienda del settore privato a rivelare il tuo numero, ma in California e nella maggior parte degli altri stati, l'azienda può rifiutarsi di servirti di conseguenza.

Una volta che hai pagato il tuo nuovo telefono o cambiato operatore telefonico, tuttavia, la tua compagnia di telefonia mobile non presenterà più rapporti su di te alle agenzie di credito, ha detto Creighton. Tuttavia, gli hacker dietro l'ultima violazione di T-Mobile sono stati in grado di rubare i numeri di previdenza sociale per gli ex clienti di T-Mobile che l'azienda si è trattenuta per qualche motivo.

Nell'ultimo decennio, le aziende tecnologiche hanno sviluppato metodi alternativi per identificare le persone per rendere più facile la protezione contro il furto di identità, ha affermato André Ferraz, amministratore delegato di Incognia, una di quelle società tecnologiche. Idealmente, ha affermato Ferraz, le aziende integrerebbero gli identificatori che non possono essere modificati, come i numeri di previdenza sociale, con identificatori basati sui comportamenti unici di una persona, che si evolvono nel tempo. Sfortunatamente, queste soluzioni non sono state ancora ampiamente adottate.

Come ti proteggi?

L'unica cosa migliore da fare è bloccare i file di credito, che impedirà a chiunque di aprire un nuovo account. È libero di posizionare un congelamento e di sollevarlo per le proprie esigenze. Ma devi contattare individualmente ciascuno dei tre principali uffici di credito, cosa che puoi fare online. L'esperto di sicurezza informatica Brian Krebs suggerisce anche di congelare i file di credito gestiti da una manciata di agenzie specializzate più piccole. Dovresti anche controllare regolarmente il tuo punteggio di credito, che è un buon modo per rilevare una frode dopo che si è verificata.

I servizi di monitoraggio del credito e dell'identità, che in genere prevedono una tariffa mensile, possono anche aiutare a rivelare il lavoro dei ladri di identità. Forniscono strumenti per prevenire il phishing e altre forme di hacking combinati con servizi di scansione che cercano il tuo numero di previdenza sociale o indirizzo e-mail in luoghi online a cui non appartiene.

T-Mobile offre gratuitamente due anni del servizio di monitoraggio di McAfee a chiunque sia colpito dalla violazione. Ha creato un sito Web che suggerisce più passaggi che le persone possono adottare per proteggersi dalle frodi. Chiunque abbia uno smartphone farebbe bene a prenderli:

• Crea un PIN per il tuo account di cellulare per fornire un ulteriore livello di sicurezza contro modifiche non autorizzate al tuo account, come uno scambio dannoso di SIM. Se sei un cliente T-Mobile e hai un PIN, impostane uno nuovo.
• Attiva la funzione di "protezione contro l'acquisizione di account" di T-Mobile, che fornisce un ulteriore livello di protezione oltre al PIN. Verizon va oltre, bloccando automaticamente gli scambi di SIM spegnendo sia il nuovo dispositivo che quello esistente fino a quando il titolare dell'account non si confronta con il dispositivo esistente.
• Cambia la password che utilizzi per accedere all'account del tuo cellulare online. La modifica periodica delle password è una buona pratica per tutti i tuoi account. E se hai problemi a ricordare dozzine di password, prova un'app di gestione delle password in grado di tenerne traccia per te.

Tra i lati positivi, l'autenticazione a due fattori sta diventando lo standard online e questo sta migliorando la sicurezza sul Web. Ma troppi siti ti incoraggiano a trasformare quel secondo fattore in un messaggio di testo inviato al tuo numero di telefono, il che incoraggia la frode dello scambio di SIM. Ove possibile, utilizza invece un'app di autenticazione.