Angrepp mot Dun & Bradstreet: Social security numbers såväl som personnummer är låg-värde

2013-09-30

Nyligen rapporterat av Reuters (nedan via Huffington post) har bl.a. Dun & Bradstreet (kommersiell provider av filtrerad information om personer och företag: typiskt och runt deras affär för kreditbedömning - ett mer repeterat varumärke i segmentet men möjligen något utvecklingsmässigt och i data efter åtminstone som jag minns det år bakåt):



FBI sägs spekulera att social security numbers är vad man söker och det tycks väl åtminstone inte otroligt. Långt innan trivial-tillgängliga databaser för dessa fanns var ju andelen brott relaterat utnyttjande av andras sådana (och förr inkl. helt säkert mycket oftare döda personers social security number vilket lösningar likt Dun & Bradstreet bl.a. löser) vanliga.


Vi förstår från att det ses som möjligt alternativ att dessa angrepp ej otroligt är en mängd fråga och kanske ej typiskt så stort i värde man kanske lätt föreställer sig från enstaka mer uppmärksammade arresterade personer. Eller att möjlighet av andra orsaker att addera skyddande lager i affärsköp är reducerade.


Därför att köpa informationen från dessa företag kostar per transaktion föga. Det samma gäller också data relaterat person och personnummer mappning (d.v.s. vad ursprungligt känt Dafa spar längre tillbaka där det knappast nu lika lite som förr kostar just något: sista gången när fortfarande konsultande i det segmentet jag hade med dom transaktionsköpen att göra låg det för dom på cirka 70 öre vilket jag minns upplevde var indikation på att de blivit "lurade" ev. någon mellan-provider utnyttjande att det var strunt-summor i affärslösningen och jag betvivlar att det idag flera år senare kan ha gått över ens en krona: Så Sverige här om vi förhandlar ltte kostar knappast mer än några miljoner).


D.v.s. det finns ingen långsiktighet - och har i statistisk-trovärdighet versus riskkostnad som utryckt för enskild kund i annat än rare events inte funnits sedan tidigt 1990-tal - något meningsfullt när det kan kosta i pengar eller obehag för individ stabilitet i något där lösningen beror av att dessa siffror ej är publika över en större population (att de är publika för godtyckliga individer är ju givit som vi alla begriper i Sverige såväl som i USA av vårt dagligt agerande med en mängd företag).


Faktiskt blev jag lite förvånad när jag läste om hacker-angreppen mot vilken tjänsteleverantör det nu var som hade hand om numera om Dafa-spar. Förutom alternativet att köpa det minns jag det verkligen som att man regelmässigt i alla fall förr fick som användarkonton för test-sökningar mot databaserna - ej skarpa belastande resp. under andra primära krav när data är vad som ska användas under kontrollerade sammanhang. Åtminstone i tryckt eller om det var auto-skickade instruktioner (vilket jag påpekade också för andra eller tredje uppdraget berörande det föreslående att det kunde vara lämpligt att korrigera, indikerande ett annat problem och föreslående att en större genomgång av säkerhetsarkitekturen kunde vara lämpligt och indirekt att jag ej otroligt kunde vara ett alternativ för det).


Givet att uppmärksamhet i media på problemen där är det antagligen ganska tryckt att referera det nu (jag har ej heller någonsin gjort uppdrag åt dessa direkt - ej heller via indirekt kund köpande tjänster av dem från det silence agreement berörande något rörande deras tjänster eller information de givit då ev. problem där varit vad för vad jag är medveten om hanterat så det ej inverkar potentiellt negativt säkerhetsarkitektur indirekt mot kund). Rimligen korrigerat liksom potentiell problematik relaterat bulk downloading vilket jag kanske ej påpekade för Sema men antagligen genom deras kanal mot andra liknande leverantör i banksektor men närmare direkt själva bankerna i grupp möjligen var problematik.


I Sverige tror jag vi generellt kanske kan vara mindre oroade per individ även om konceptet av folkbokföring är mindre starkt relativt det amerikanska lösare definierade systemet. Jag har själv två gånger på platser jag aldrig innan besökt (ex. i en liten butik i Sävja resp. Pressbyrån vid slutet av gågatan i Uppsala men för Pressbyrån besökt innan hämtat ut försändelser krävande legitimation för de senare och för de första utan paketreferensen men lovande komma ev. tillbaka med den för något relaterat deras betalning eller annan uppföljning).


Folkbokföringsadress, hämta ut visande leg.-handling o.s.v. som säkerhetsarkitektur mot användarna dog med Posten.