Nog een dag, weer een enorm datalek geclaimd door hackers. Dagen nadat een inbreuk bij T-Mobile de persoonlijke informatie van ongeveer 53 miljoen mensen blootlegde, kondigde een hackgroep die bekend staat als ShinyHunters aan dat het 70 miljoen sets gevoelige gegevens veilde die zogenaamd van AT&T waren gestolen.

De informatie die te koop werd aangeboden, was vergelijkbaar in beide inbreuken, inclusief volledige namen, adressen, geboortedata en burgerservicenummers. Kortom, het is de basis voor identiteitsdiefstal.

AT&T reageerde vrijdag door twijfel te zaaien over de bewering van de productieve ShinyHunters-kliek en verklaarde dat "op basis van ons onderzoek van vandaag, de informatie die in een internetchatroom verscheen niet van onze systemen afkomstig lijkt te zijn."

Ongeacht waar de gegevens vandaan komen, als ze geldig zijn, kan het een nachtmerrie zijn voor iedereen wiens gevoelige informatie wordt blootgesteld. Hier is een korte handleiding voor de risico's waarmee u te maken kunt krijgen en enkele dingen die u kunt doen om uzelf te beschermen.

Wat zijn de risico's?

Burgerservicenummers worden veel gebruikt door de federale overheid, banken, investeringsmaatschappijen, uitkeringsprogramma's van de overheid en verzekeraars om uw identiteit te verifiëren. Uw gestolen burgerservicenummer kan worden gebruikt om frauduleuze creditcardrekeningen te openen, uitkeringen om te leiden of frauduleus te innen en fraude op de werkplek te plegen, naast andere vormen van bedrog. Voeg je naam, geboortedatum en e-mailadres toe (die de ShinyHunters ook beweren te hebben gestolen), en het is aanzienlijk gemakkelijker voor iemand om zich voor te doen als jou.

Identiteitsdieven kunnen die informatie gebruiken om zowel u als de banken, verzekeraars en andere bedrijven waarmee u zaken doet te targeten. Ze kunnen het bijvoorbeeld gebruiken om phishing-e-mails realistischer te laten lijken, waardoor u wordt overgehaald om aanvullende gevoelige informatie op te geven, zoals een wachtwoord of persoonlijk identificatienummer (pincode). Of ze kunnen het gebruiken om uw bank te misleiden om hen het wachtwoord op uw rekening te laten wijzigen, waardoor ze toegang krijgen tot uw geld.

De T-Mobile-inbreuk heeft ook de telefoonnummers, apparaat-ID's en simkaartnummers van meer dan 13 miljoen van zijn huidige klanten blootgelegd. Dat schept een opening voor nog minstens één kwaadaardige mogelijkheid:een SIM-swap-aanval. Dat is waar iemand je mobiele telefoonmaatschappij overhaalt om je nummer over te zetten naar een ander apparaat, dat hij of zij vervolgens gebruikt om te proberen in te breken in de accounts die je aan je telefoonnummer hebt gekoppeld.

Het komt steeds vaker voor dat mensen hun mobiele telefoonnummer gebruiken om hun identiteit te verifiëren, bijvoorbeeld wanneer ze inloggen op hun online bankrekening of wanneer ze hun wachtwoord opnieuw willen instellen. Maar dat gemak kan averechts werken als uw nummer wordt gekaapt en vervolgens wordt gebruikt om u online te imiteren.

Waarom willen telefoonmaatschappijen uw burgerservicenummer?

Omdat het de gemakkelijkste manier is om uw kredietwaardigheid te controleren. Bedrijven zoals AT&T en T-Mobile willen weten of u uw rekeningen op tijd hebt betaald voordat ze ermee instemmen u een account te verstrekken of u een telefoon in maandelijkse termijnen te verkopen. En de grote kredietbeoordelaars gebruiken burgerservicenummers om mensen te koppelen aan hun kredietgeschiedenis.

"De SSN is de enige unieke universele identificatiecode voor de hele bevolking", legt Francis Creighton uit van de Consumer Data Industry Association, die de kredietbureaus vertegenwoordigt. "Er is niets anders dat het kan vervangen in de huidige markt."

Burgerservicenummers helpen ook beschermen tegen mensen die frauduleuze kredietrapporten opstellen, zei Creighton. En hoewel er manieren zijn om een ​​kredietscore vast te stellen die niet afhankelijk is van uw burgerservicenummer, zei hij, is de eerste stap dat een geldschieter of dienstverlener er niet om vraagt. U kunt niet worden gedwongen door een telefoonmaatschappij of een ander bedrijf in de particuliere sector om uw nummer bekend te maken, maar in Californië en de meeste andere staten kan het bedrijf u daarom weigeren.

Als je eenmaal je nieuwe telefoon hebt afbetaald of van provider bent gewisseld, zal je mobiele bedrijf niet langer rapporten over je indienen bij de kredietbureaus, zei Creighton. Desalniettemin waren de hackers achter de laatste T-Mobile-inbreuk in staat om burgerservicenummers te stelen van voormalige T-Mobile-klanten die het bedrijf om de een of andere reden vasthield.

De afgelopen tien jaar hebben technologiebedrijven alternatieve manieren ontwikkeld om mensen te identificeren om het gemakkelijker te maken zich te wapenen tegen identiteitsdiefstal, zegt André Ferraz, chief executive van Incogna, een van die technologiebedrijven. Idealiter, zei Ferraz, zouden bedrijven identificatiegegevens die niet kunnen worden gewijzigd, zoals burgerservicenummers, aanvullen met identificatiegegevens op basis van het unieke gedrag van een persoon, dat in de loop van de tijd verandert. Helaas zijn deze oplossingen nog niet algemeen toegepast.

Hoe bescherm je jezelf?

Het beste wat u kunt doen, is uw kredietbestanden bevriezen, zodat niemand een nieuwe rekening kan openen. Het is gratis om een ​​vriezer te plaatsen en op te tillen voor uw eigen behoeften. Maar u moet elk van de drie grote kredietbureaus afzonderlijk contacteren, wat u online kunt doen. Cybersecurity-expert Brian Krebs stelt ook voor om de kredietbestanden te bevriezen die worden beheerd door een handvol kleinere, gespecialiseerde bureaus. U moet ook regelmatig uw kredietscore controleren, wat een goede manier is om fraude te detecteren nadat deze heeft plaatsgevonden.

Krediet- en identiteitscontrolediensten, die doorgaans een maandelijkse vergoeding met zich meebrengen, kunnen ook helpen om het werk van identiteitsdieven aan het licht te brengen. Ze bieden tools om te voorkomen dat u phishing en andere vormen van hacken in combinatie met scanservices die uw burgerservicenummer of e-mailadres online zoeken op plaatsen waar het niet thuishoort.

T-Mobile biedt twee jaar gratis monitoringservice van McAfee aan iedereen die door de inbreuk wordt getroffen. Het heeft een website opgezet met suggesties voor meer stappen die mensen kunnen nemen om fraude tegen te gaan. Iedereen met een smartphone doet er verstandig aan deze mee te nemen:

• Maak een pincode voor uw mobiele telefoonaccount om een ​​extra beveiligingslaag te bieden tegen ongeautoriseerde wijzigingen in uw account, zoals een kwaadaardige simswap. Als je een T-Mobile-klant bent en je hebt een pincode, stel dan een nieuwe in.
• Activeer T-Mobile's "account takeover protection"-functie, die een extra beschermingslaag biedt bovenop de pincode. Verizon gaat verder en blokkeert automatisch SIM-swaps door zowel het nieuwe als het bestaande apparaat uit te schakelen totdat de accounthouder het bestaande apparaat weegt.
• Wijzig het wachtwoord dat u gebruikt om online toegang te krijgen tot uw mobiele telefoonaccount. Het regelmatig wijzigen van wachtwoorden is een goede gewoonte voor al uw accounts. En als je moeite hebt om tientallen wachtwoorden te onthouden, probeer dan een app voor wachtwoordbeheer die ze voor je kan bijhouden.

Positief is dat twee-factor-authenticatie de standaard online wordt, en dat verbetert de beveiliging op internet. Maar te veel sites moedigen u aan om van die tweede factor een sms-bericht naar uw telefoonnummer te maken, wat sim-swapfraude aanmoedigt. Gebruik in plaats daarvan waar mogelijk een authenticatie-app.