Jakie szkody można wyrządzić kopią paszportu?

60

W jednym z pytań na tej stronie zasugerowano użycie Dropbox do zapisania kopii zapasowej paszportu na wypadek, gdybyś musiał udowodnić, kim jesteś w przypadku zagubienia oryginalnego dokumentu.

Podoba mi się ten pomysł, ale co, jeśli ktoś uzyska dostęp do folderów Dropbox i będzie mógł uzyskać kopię paszportu. To samo dotyczy pozostawienia kopii paszportu w recepcji hotelowej. Gdyby ktoś wydrukował informacje na tej kopii, czy ułatwiłoby to kradzież Twojej tożsamości?

Społeczność
źródło
Najczęściej kradzież tożsamości, ale w dzisiejszych czasach media społecznościowe nie są zbyt poważne.
nolim1t
Odpowiedź na to pytanie jest bardziej wyczerpująca na security.SE .
Dan Dascalescu

Odpowiedzi:

45

Tak - zwiększa to ryzyko kradzieży tożsamości, jednak w przypadku najbardziej udanych kradzieży tożsamości osoba atakująca potrzebuje również różnych innych informacji.

Najlepszym sposobem, aby o tym pomyśleć, jest to, że każda informacja o tobie atakującego jest mniejsza, tym mniej wysiłku musi on poświęcić na podszywanie się pod ciebie.

Gdy osoba atakująca może podszyć się pod Ciebie, może ukraść Twoje pieniądze (zdarza się to często w bankowości internetowej), Twój dom , Twoją zdolność kredytową, Twoją reputację i generalnie powoduje poważne problemy.

Ogólnie zaleca się, aby nie umieszczać niczego w Dropbox w postaci niezaszyfrowanej, jeśli w ogóle jest wrażliwa.

Mamy szereg pytań dotyczących tego tematu Powyżej na zabezpieczający SE i bardziej niż szczęśliwi, aby omówić w DMZ - z Sec.SE czacie .

Rory Alsop
źródło
1
Jak ktoś mógł ukraść dom?
Revetahw,
23

Kopia paszportu może często zawierać poufne informacje, takie jak data urodzenia, których można użyć do uzyskania dostępu do innych poufnych informacji, takich jak konta bankowe. Jednak większość transakcji, w których należy skontaktować się z obsługą klienta, aby uzyskać dostęp, wymaga również dodatkowych informacji, takich jak tajne hasła, kody PIN, dane adresowe lub numery kont - żadne z nich nie jest dostępne w paszporcie, dlatego sam paszport będzie zazwyczaj nie pomaga nikomu ukraść twojej tożsamości. Dodatkowo, jeśli próbują ukraść twoją tożsamość osobiście, w przeciwieństwie do internetu lub telefonu, będą musieli wyglądać podobnie do ciebie i / lub poprzeć ją jakimś innym dokumentem tożsamości, takim jak dowód osobisty lub prawo jazdy, oraz uzyskanie ZARÓWNO kopii paszportu, jak i dodatkowego dokumentu tożsamości dla zwykłego fałszerza może być trudne

Dropbox nie jest jedynym sposobem przechowywania kopii paszportu; niektóre osoby robią to, zapisując zeskanowaną kopię na swoim koncie e-mail. Niezależnie od wybranego sposobu, jeśli chodzi o ochronę danych, należy rozważyć włączenie uwierzytelniania dwuskładnikowego na takich kontach, gdzie oprócz hasła należy również wprowadzić hasło jednorazowe wygenerowane przez aplikację lub wysłane do Ciebie przez wiadomość tekstowa, aby uzyskać dostęp do konta. Ponieważ odbieranie wiadomości tekstowych jest bezpłatne w większości krajów, nawet w roamingu (lub jest stosunkowo tanie), może to być dobry sposób na zwiększenie bezpieczeństwa konta podczas podróży.

Ankur Banerjee
źródło
2
Trzeba powiedzieć, że w przypadku Dropbox, czyli systemu wspólnego udostępniania plików, podwójne sprawdzanie SMS-ów jest trochę bez sensu: - / Jednak zgadzam się, Dropbox nie jest najlepszym miejscem na świecie do przechowywania wrażliwych danych.
yo „
1
Byłbym podejrzliwy wobec wysyłania wrażliwych wiadomości e-mail na twoje e-maile, szczególnie Gmaila, nie sądzę, że poza technologią Google można skanować binarne formaty obrazów w celach reklamowych
kos
@ blackbird57 Nie musisz wysyłać wiadomości e-mail, możesz załączyć plik i zapisać go jako wersję roboczą.
kiradotee 27.04.16
Ta odpowiedź została napisana w 2013 roku. Obecnie używanie 2FA z SMS-em to bardzo zły pomysł . Zamiast tego zalecane jest użycie aplikacji takiej jak Google Authenticator.
Dan Dascalescu
8

Inną rzeczą, którą osoba atakująca może zrobić, jest przejęcie konta w sieci społecznościowej (na przykład Facebook) lub Gmaila, dzwoniąc do pomocy technicznej, udając, że jesteś „który zgubił telefon” i „został zablokowany e-mail”, i wysyłając je skan paszportu, aby „udowodnić”, że to ty. Stało się tak w przeszłości (patrz na przykład „Aaron Thompson stracił kontrolę nad swoim kontem na Facebooku po tym, jak napastnik wykorzystał socjotechnikę i fałszywy paszport” ).

George Y.
źródło
1
W idealnym świecie nie udałoby się to. Ale nie żyjemy w idealnym świecie. Widziałem, jak wielu kasjerów przewraca moją kartę kredytową, zerkam na wyraźnie wydrukowany „WYMAGANY FOTO” zamiast podpisu i dalej nic nie mówię. Kupiłem artykuły spożywcze dla mojej niewidomej przyjaciółki z jej kartą i jej nieobecną, a kasjerka nie myślała o mężczyźnie używającym karty z napisem „Elizabeth”.
WGroleau,
@WGroleau: moja była (kobieta) rutynowo bez problemu kupowała rzeczy za pomocą mojej karty kredytowej. Stało się to dopiero w 2018 r. W Dolinie Krzemowej, gdzie można by pomyśleć, że świadomość praktyk bezpieczeństwa byłaby nieco wyższa niż gdzie indziej.
Dan Dascalescu
5

Istnieje aplikacja, która integruje się z Dropbox, która szyfruje twoje dane, dzięki czemu masz wygodę posiadania go wszędzie, ale znacznie trudniej go ukraść. Nazywa się BoxCryptor, sprawdź to. Mam tam paszport i ubezpieczenie jako kopię zapasową.

kos
źródło
4
Tyle że nie dostaniesz go wszędzie. Aby uzyskać do niego dostęp, musisz zainstalować kopię tego oprogramowania, co nie będzie działać dobrze, gdy zostaniesz zatrzymany przez imigrację z powodu utraty paszportu ...
Doc
3
Tak, możesz mieć to na swoim telefonie, dzięki Dropbox możesz ustawić ulubione, aby były dostępne do przeglądania offline na twoim telefonie. W najgorszym przypadku, jeśli poproszą o coś, możesz poprosić o pobranie 3G / Wi-Fi przed odblokowaniem zaszyfrowanych dokumentów
blackbird
Użyłem Boxcryptora i jest to dobry wybór, jeśli masz tylko jeden komputer i jedno urządzenie mobilne; poza tym musisz za to zapłacić (lub poradzić sobie z instalacją tylko lokalną). Inną podobną opcją byłoby użycie VeraCrypt (wcześniej TrueCrypt) do utworzenia kontenera na komputerze, umieszczenia skanów, a następnie skorzystanie z Odszyfrowywania dysku w telefonie w celu uzyskania dostępu do archiwum. Jeszcze inną opcją jest użycie innego narzędzia niż Dropbox, które ma szyfrowanie bez wiedzy, np. Sync.com, TresorIt, SpiderOak, pCloud lub iDrive.
corvec