1 puan yazan GN⁺ 2023-11-12 | 1 yorum | WhatsApp'ta paylaş
  • Experian hesabı, aynı kişisel bilgiler ve farklı bir e-posta adresiyle yeniden kaydedilerek ele geçirilebiliyordu ve 2022'de ortaya çıkan kimlik doğrulama sorunu 16 ay sonra da devam ediyordu
  • Yeniden kayıt; Social Security number, doğum tarihi, ad, adres, e-posta, parola ve bilgiye dayalı güvenlik soruları ile ilerliyordu; cep telefonu doğrulaması ise “Continue another way” ile atlatılabiliyordu
  • Yeni hesap oluşturulduğunda tam kredi dosyası görüntülenebiliyor, kredi dondurma ayarlanıp kaldırılabiliyordu; mevcut e-postaya ise onay isteği değil yalnızca değişiklik bildirimi gönderiliyordu
  • Equifax ve TransUnion, mevcut hesap değişikliklerinde kayıtlı e-posta ya da telefon numarasına gönderilen kodun doğrulanmasını isterken, Experian mevcut kullanıcılara değişikliği onaylama veya hesabı kurtarma yöntemi sunmuyordu
  • Saldırgan yeni telefon numarası ve e-postayla hesabı yeniden oluşturabiliyorsa, oturum açma anındaki çok faktörlü kimlik doğrulama tek başına hesap ele geçirmeyi durdurmakta yetersiz kalabiliyor

Farklı bir e-postayla hesabın yeniden oluşturulabildiği Experian

  • 2022 yazında, Experian hesabının farklı bir e-posta adresiyle yeniden kaydedilerek ele geçirildiği bir vaka doğrulandı
  • 16 ay sonra da aynı sorun devam ediyordu ve Krebs'in kendi Experian hesabı da yakın zamanda ele geçirilmişti
  • annualcreditreport.com üzerinden Experian kredi dosyasının bir kopyası istendi ancak Experian, kimlik doğrulaması yapılamadığını söyleyerek bunu sağlamadı
  • Experian.com üzerinden doğrudan giriş de başarısız oldu ve site, kullanıcı adını veya parolayı tanımadığını gösterdi
  • Kullanıcı adı talep sürecinde tam Social Security number ve doğum tarihi gerekiyordu; ardından Krebs'in onaylamadığı ve bilmediği bir e-posta adresinin bir bölümü gösterildi

Yeniden kayıt sürecinde ortaya çıkan kimlik doğrulama zayıflıkları

  • Experian ana sayfası Social Security number ve telefon numarası istiyor, kimlik doğrulama bağlantısı alınacağını belirtiyordu
  • ABD içindeki rastgele herhangi bir telefon numarası girildiğinde sitenin bunu engellemediği görülüyordu ve “Continue another way” seçildiğinde bu adım atlanabiliyordu
  • Sonrasında hesabın yeniden oluşturulması için şu bilgiler isteniyordu
    • Tam ad
    • Adres
    • Doğum tarihi
    • Social Security number
    • E-posta adresi
    • Seçilen parola
  • Sonraki adımda 3 ila 5 çoktan seçmeli güvenlik sorusu yanıtlanıyordu ve bu yanıtlar çoğu zaman kamu kayıtlarına dayanıyordu
  • Krebs hesabı yeniden oluştururken 5 sorudan yalnızca 2'si gerçek bilgileriyle ilişkiliydi ve ikisi de geçmişte yaşadığı adreslerle ilgiliydi
  • Çoktan seçmeli sorular geçildiğinde yeni bir 4 haneli PIN ve önceden tanımlı sorulardan biri için yeni bir yanıt belirleniyordu
  • Yeni hesap oluşturulduktan sonra Experian panosuna geçilebiliyor, burada tam kredi dosyası görüntülenebiliyor ve kredi dondurma açılıp kapatılabiliyordu

Mevcut kullanıcıya kalan tek şey değişiklik bildirimi

  • Hesap verileri değiştiğinde Experian, mevcut e-posta adresine kullanıcı profilinin bir bölümünün değiştiğini belirten bir mesaj gönderiyor
  • Bu mesaj bir doğrulama isteği değil, yalnızca değişiklik bildirimi; mevcut kullanıcıya sunulan tek işlem Experian.com giriş bağlantısına tıklamak
  • Bildirimi alan mevcut kullanıcı artık eski Experian hesap bilgileriyle giriş yapamıyor
  • PIN ve hesap kurtarma sorusu da zaten değiştirilmiş olduğundan, mevcut kullanıcının hesabı geri alabilmesi için Experian'da hesabı yeniden oluşturması gerekiyor
  • Equifax ve TransUnion, mevcut hesap değişikliklerinde kayıtlı e-posta adresine ya da telefon numarasına gönderilen kod girilmeden değişikliğe izin vermiyor

Experian'ın yanıtı ve okur doğrulama örnekleri

  • Experian, Krebs'in kredi dosyasına izinsiz eklenen tam e-posta adresini paylaşmayı reddetti
  • Experian sözcüsü Scott Anderson, tüketici kimliğini ve bilgilerini korumak için manuel ve proaktif önlemler de içeren çok katmanlı bir güvenlik yaklaşımını hayata geçirdiklerini ve bunu geliştirmeyi sürdürdüklerini söyledi
  • Anderson'a göre bu önlemler arasında bilgiye dayalı soru-cevaplar ile cihaz sahipliği ve elde bulundurma doğrulama süreçleri bulunuyor
  • Tüm tüketiciler, her hesap girişinde istenen çok faktörlü kimlik doğrulamayı etkinleştirebiliyor; ancak hesap yeni telefon numarası ve e-postayla yeniden oluşturulabiliyorsa bunun etkisi sınırlı kalıyor
  • Mastodon'da Experian ile ilgili gönderiyi gören okurlar da aynı sorunu doğruladı
    • @Jackerbee, ikinci bir telefon numarası ve yeni bir e-posta adresi girdiğini; mevcut e-postaya yalnızca bilgilerin güncellendiğini belirten tek bir e-posta geldiğini ve mevcut e-posta için doğrulama yapılmadığını söyledi
    • Mevcut telefon numarasına SMS bildirimi de gelmedi ve sonrasında giriş sırasında 2FA yeni telefon numarası üzerinden çalıştı
    • PeteMayo, aynı hafta içinde Experian hesabını iki kez yeniden oluşturduğunu, ikincisinde rastgele bir sabit hat numarası girdiğini söyledi
    • PeteMayo örneğinde, kişisel geçmişine ilişkin 5 sorunun ardından “Welcome back, Pete!” mesajıyla birlikte tam erişim verildi

Tekrarlanan Experian güvenlik olayları

  • Krebs'in hesabını ele geçiren kişi kredi dondurmayı kaldırmamıştı ya da kaldırdıysa yeniden dondurmuştu
  • Experian kimlik doğrulama sürecini değiştirmezse Krebs'in Experian hesabı yeniden ele geçirilebilir
  • Experian'da geçmişte de temel kimlik doğrulama zayıflıkları ile ilgili olaylar tekrar tekrar yaşandı
    • 2022 Aralık'ta, yalnızca ad, adres, doğum tarihi ve Social Security number ile tüketicinin tam kredi raporuna erişim sağlayan bir bypass yöntemi bulundu; Experian bu açığın 9 Kasım 2022'den 26 Aralık'a kadar yaklaşık 7 hafta sürdüğünü kabul etti
    • 2021 Nisan'da, Experian'ın PIN arama sayfasındaki zayıf kimlik doğrulama nedeniyle kimlik hırsızları tüketici kredi dosyası dondurmalarını kaldırabildi
    • Aynı ay, Experian API'sinin ABD'lilerin büyük bölümünün kredi puanlarını açığa çıkardığı bir vaka kamuya yansıdı
  • İlgili geçmiş vakalar arasında 2022'de hesap güvenliğine dair toplu dava, 2017'de kredi dondurma PIN'lerinin ifşası, 2015'te 15 milyon müşterinin ihlali, 2014'te 200 milyon tüketici kaydına erişim izni ve 2013'te tüketici verilerinin kimlik hırsızlığı hizmetine satılması yer alıyor

1 yorum

 
GN⁺ 2023-11-12
Hacker News yorumları
  • Buradaki temel sorun, güvenliği sağlamanın maliyetinin yüksek olması ve bazen hacklendikten sonra bununla uğraşmanın daha ucuz olması
    Tek çözüm, para cezaları ve kimlik hırsızlığı mağdurlarının davaları yoluyla, hacklenen şirketin çok büyük bir bedel ödemesini sağlamak

    • Maliyet o kadar da büyük değil
      Kredi raporu sorgusu başına birkaç sent karşılığında, “nerede yaşadın”, “bu ticari ilişki sana mı ait” gibi bilgiye dayalı kimlik doğrulama yöntemleri kullanılabilir
      ID.me veya Stripe Identity gibi devlet kimlik bilgilerine dayalı kimlik doğrulama da deneme başına 1,50–2,00 dolar düzeyinde
      Sorun, dolandırıcılık yükünün tüketiciye aktarılması nedeniyle, maliyeti biraz artırıp dolandırıcılığı azaltmak için bir teşvik olmaması ve kredi bürolarının da kendi hendeklerinin ve gelir kaynaklarının aşınmasını istememesi
      Özetle, daha iyi bir ulusal dijital kimlik sistemi olsaydı bu sorun ortadan kalkardı
      Fintech’te kimlik doğrulamayı da içeren müşteri IAM’inden sorumluyum ve bir yurttaş aktivisti olarak Login.gov ile ilgili bazı çalışmalarda da yer alıyorum
    • “Güvenliği sağlamak pahalıdır” sözü bir ölçüde doğru olabilir, ama insanların kimlikleri temelinde güvence sağlamak işinizin tamamıysa, hizmeti daha güvenli hale getirmek için çok daha fazla çaba göstermeniz gerekir
      Güvenli şekilde işletmek için fazla pahalıysa, böyle bir hizmetin var olmasına izin verilip verilmemesi ve bu kadar çok kişisel ve özel bilgiyi saklama hakkı olup olmadığı sorgulanmalı
    • SSN ile kimlik doğrulama sorununun GDPR kapsamındaki yetki alanına girmemesi dikkat çekici
      GDPR, küresel cironun %4’üne kadar para cezası uygulayabiliyor
  • Elbette biz bu gözetim şirketlerinin müşterisi değiliz
    Yine de güvenliğin neredeyse tamamen yok denecek düzeyde olmasına rağmen bunun gerçek müşteriler için işlem kesme nedeni olmaması şaşırtıcı
    Bu hizmetle fiilen herhangi biri bir başkasının kimliğine bürünebiliyorsa, kullanmak için nasıl bir gerekçe olabilir bilmiyorum

    • Bu hesaplar Experian’a para ödeyen kişiler için değil
      Şirketler, kişiler hakkındaki bilgilere erişmek için Experian’a para ödüyor; Experian’ın bireysel hesaplara izin vermesinin tek nedeni ise kredi dondurma veya yıllık kredi raporu gibi şeyleri yasalar gereği sunmak zorunda olması
      Zorunlu olmasaydı bunu hiç yapmazdı ve deneyimi ya da güvenliği iyileştirmek için hiçbir teşviki yok
    • Amaç, makul inkâr edilebilirlik elde ederek kimlik hırsızlığı gibi ciddi bir riski şirketten ziyade mümkün olduğunca tüketiciye yıkmak
    • Kimlik hırsızlığı, verilerin istatistiksel olarak güvenilemeyecek kadar yaygınlaştığı bir noktaya gelirse, o zaman Kongre’nin bile bir şey yapılması gerektiğini hissedeceği aşama çoktan geçmiş olacak
    • Bir seçeneğimiz var mı ki? Yaşadığım yerde Experian’dan veya diğer kredi değerlendirme hizmetlerinden çıkmak mümkün değil
    • Kişisel veriler için de HIPAA benzeri bir yasaya ihtiyaç var
  • Bir adım geri çekilip tabloya bütün olarak bakınca asıl sorun mahremiyet yasalarının olmaması
    Bankaların, şirketlerin ve işverenlerin kişisel bilgileri üçüncü taraflarla paylaşması yasaklanmalı
    Yaşadığım İsviçre’de gerçekten durum böyle ve hükümet bile bu bilgileri alamıyor
    Hükümet vergi kaçakçılığından şüpheleniyorsa arama emri almalı ve diğer suçlarla aynı prosedürü izlemeli
    Erişilebilir finansal kayıtlar yalnızca yasal borç tahsilatı süreçlerinin kayıtları olan “Betreibungen”den ibaret
    Birine kredi vermeden önce, başka birinin parasını almak için dava açmaya kadar gitmek zorunda kalıp kalmadığı kontrol edilebiliyor
    Buna rağmen kredi büroları olmadan, bu kadar az bilgiyle her şey yolunda işliyor
    Ancak FATCA gibi uluslararası baskılar nedeniyle İsviçre yasaları değişti ve bankalar uluslararası müşteriler hakkında bildirim yapmaya başladı

    • “Her şey yolunda işler” sözü diktatörler, vergi kaçıranlar gibi kişiler için kesinlikle iyi olmuş olmalı
      İsviçre, tam finansal mahremiyetin sıradan vergi mükellefi için neden adil olmadığını iyi gösteriyor
      Çünkü ultra zenginlerin ödemeleri gereken vergileri gizleyebilmesine imkân tanıyor
    • Bu sorun, Sosyal Güvenlik Numarasını güvenli bir ulusal kimlik belgesinin ciddi bir alternatifi gibi görmeyi bırakırsak çözülecek gibi
    • İsviçre’nin finansal mahremiyet ve kredi raporlama yasalarının AB ülkelerinden nasıl farklı olduğunu merak ediyorum
      “İsviçrelilerin yaklaşık %36’sı bir ev veya daireye sahip; bu, Batı dünyasındaki en düşük oranlardan biri ve Avrupa Birliği ortalaması olan %70 ile ABD’deki %67’nin çok altında” deniyor
      Pek çok etken vardır ama kredi değerliliğine dair daha az bilgi varsa, birinin büyük bir satın almasını finanse etmeye daha az istekli olunacağını düşünüyorum
      [1] https://www.nytimes.com/2023/11/06/realestate/zurich-switzer...
    • Gerçekten doğru bir söz
      Çalıştığım şirketin adını vermeyeceğim ama FAANG’den biri; bu şirket Experian çerezleri almak için veri satın alıyor ve bunları daha iyi izleme ve grafik oluşturma için kullanıyor
      ABD sürekli vatandaşlarının mahremiyetini önemsediğini söylüyor ama gerçekte umursamıyor
      Mahremiyet yasaları sıkı biçimde uygulanırsa, en büyük 500 hisse içinde büyük teknoloji şirketleri üst sıralarda olduğu için banka hesapları gibi alanlara da etkisi olacağını düşünüyorum
  • Bu sorunu yasa koyucuların görmesini sağlamaya yönelik bir Resistbot dilekçesi yayınlanmış
    https://resist.bot/petitions/PONADR

    • Amerikalı değilim, ilk kez görüyorum; erişim alanı sınırlı gibi
      https://resist.bot/petitions
      Almanya’da örneğin Campact var ve genelde her dilekçe 200 bin imzayı aşıyor
      ABD’de böyle bir şey yoksa, parası olan birinin bunu kurması ya da OpenPetition gibi mevcut bir çözümü yeterli sayıda düzenli imzacıya tanıtması gerektiğini düşünüyorum
      https://en.wikipedia.org/wiki/Campact
  • Üç kredi derecelendirme kuruluşu varsa, bunlardan birinde kredi puanınız olmamasını sağlamanın bir yolu var mı?
    Bir tüketici olarak bu alandaki rekabeti artırmanın bir yolu olabilir diye düşünüyorum
    Aradım ama kolay bir seçenek görünmüyor

    • Kredi raporlamasından çıkmanın bir yolu yok
      Kredi verenler genelde bilgileri üç büyük kredi derecelendirme kuruluşunun tamamına raporladığı için, hiçbir bilginin raporlanmamasını istiyorsanız tüm kredi kartlarını ve kredileri kapatıp kredi raporunuza dondurma koymanız gerekir
      Burada “rekabeti artırma”nın işe yarayacağını sanmıyorum
      Biz kredi derecelendirme kuruluşlarının müşterisi değil, ürünüyüz; müşteriler kredi verenler ve bilgilerimize ihtiyaç duyan diğer kişiler
      Kredi verenler açısından bu yapı iyi işliyor; çünkü kredi vermeden önce başvuru sahibinin kimliğini doğru biçimde doğrulama sorumluluğu kredi verene değil, “kimlik hırsızlığı” yükü olarak bireylere ve kamuya aktarılıyor
      “Kimlik hırsızlığı” ifadesinin kendisi bile sorumluluğu bireye yıkmak için uydurulmuş yanlış bir adlandırmaya yakın
      İdeal durumda, suçluların bilgilerimi kötüye kullanmasını engelleme ve bir suçlu bilgilerimi hileli biçimde kullanmaya çalıştığında bunu düzeltme sorumluluğu kredi verenlerde olmalı
      Daha iyi çözüm, kredi verenlerin kimlik doğrulama standartlarını yükseltmek
      Böylece kredi vermeden önce kimliği gerçekten doğrulama yükü kredi verenlere geçer
      Bazı kredi verenler bunu gerçekten epey iyi yapıyor, ama diğerleri aldıkları bilgileri hiç sorgulamadan kabul ediyor gibi görünüyor
      Sektör genelinde yüksek standartlar, ister gönüllü ister yasal zorunluluk olsun, bu sorunun çözümüne yardımcı olur
    • Böyle bir değişikliğin mutlaka olması gerekiyor gibi
      Kredi derecelendirme kuruluşları, neredeyse seçeneği olmayan özel sektör kamu hizmeti şirketleri gibi çalışıyor
      Eğer bir parola yöneticisi uygulaması gibi olsaydı, birden fazla şirketi değerlendirip istediğimizi seçer, sorun çıkarsa istediğimiz zaman başka yere geçebilirdik
    • Sorun şu ki tüketici biz değiliz
      Bizim verilerimizi, işlem yaptığımız tüm şirketlerden alıyorlar
      Kredi derecelendirme kuruluşlarıyla ilgili tüm bağlantı halkalarını tek tek tespit etmek gerekir
      Muhtemelen kredi kartı çıkarmamış ve kredi almamış olsaydınız, onların “araştırmasından” bir ölçüde korunabilirdiniz
    • Şirketler onlara veri raporluyor
      Dolayısıyla tek bir kuruluşa raporlayan şirketlerden kaçınmanız gerekir; ama genelde aynı anda birden fazla kuruluşa raporlarlar
    • Tüketici olarak imkânsız
      Şirket olsaydınız istediğiniz kuruluşa raporlayabilirdiniz
  • Birkaç gün önce profilimi oluşturup hesabımda neler olduğunu görmek için giriş yapmaya çalıştım, ama site o kadar bozuktu ki giriş bile yapamadım
    Ben kendim bile olamıyorken, birinin nasıl benim yerime geçebildiğini anlamıyorum

    • Senin yerine geçmek için Experian müşterilerinin kullandığı kanallardan geçmek yeterli
      Senin kullandığın kanal Experian müşterilerine yönelik kanal değil, Experian’a yük olan insanların kullandığı kanal
  • Son haftalarda Casas Bahia, Americanas, Magazine Luiza gibi büyük perakendecilerden sayısız satın alma onay e-postası alıyorum
    Çeşitli akıllı telefon ve dizüstü bilgisayar faturalarında adım ve CPF’im yazıyor
    Tüm perakendecilerle iletişime geçtim ama yalnızca Magazine Luiza dolandırıcılığı kabul edip bir uyarı yayımlamış gibi göründü; buna rağmen hâlâ fatura alıyorum
    Yerel polise başvurup boletim de ocorrência aldım; nasıl çevirmeliyim bilmiyorum ama sorunu ve gerekli karşı önlemleri alamadığım durumu açıklayan bir belge
    Bunun ardından gelecek sonuçlar yüzünden çok endişeliyim ve kimlik korumam konusunda tamamen çaresiz hissediyorum

    • Benzer bir durum yaşadım ve bence şu anda doğru yönde ilerliyorsun
      Her şirketin ombudsmanına, yani ouvidoria’ya ulaşıp durumu anlat
      Sorunu gerçekten çözmeseler bile, iyi niyetle çözmeye çalıştığına dair kayıt kalır
      En kötü durumda perakendeci sahte faturayı tahsilat şirketine devredip kredi derecelendirme kuruluşlarına raporlayabilir
      Bu sahte borç için kesinlikle tek kuruş ödeme yapmamalısın, pazarlık da etmemelisin
      Bu dolandırıcılık olduğu için tek seçenek borcun ortadan kalkmasıdır
      Ortada söz konusu olan para onların parası; ödeme yaparsan sorumluluk sana geçer
      Zaten Boletim de Ocorrência ve şirketlerle iletişim kanıtların, yani kayıt numarası ve tarih gibi belgelerin olduğuna göre, kredi derecelendirme kuruluşlarına girerse dava açıp tazminat talep edebilirsin
      Hem kredi derecelendirme kuruluşlarının hem de perakendecinin uzlaşmak isteyeceği basit ve yaygın bir dava
      Zamanını harcattılar; bunun bedelini ödemeliler
      O işlemi senin yaptığını gösteren kanıtları yok
      Ayrıca perakendeciler, bankalar ve kredi kartı şirketleri gerçekten dolandırıcılıktan kaçınmak isteseydi, her satın alma ve üyelik için gayrimenkul işlemi seviyesinde koruma gerekirdi
      İmza, yüz yüze görüşme, peşinat, banka, avukat, noter, kriptografik imza bile gerekirdi; e-CPF de var ama kimse kullanmıyor
      Ama dolandırıcılığı %100 önlemek sürtünme demek ve normal perakendeciler sürtünmeyi sevmez
      Sonuçta bu onların iş kararı; parayı daha kolay almak için riski kabul ediyorlar
    • Bu dolandırıcılık nasıl işliyor? Bir şey satın alıp satıcıya rastgele bir kişinin, yani senin kimlik bilgilerini vermek şeklinde mi?
  • Çoğu bağlamda, birine zarar verecek şekilde yanlış bilgi vermek iftira ya da karalamadır
    Kredi raporlamasının böyle bir sorumluluktan muaf olmayı hak edip etmediğine ve hangi koşullarda hak etmesi gerektiğine yeniden bakmak gerekiyor

    • Doğru
      Kredi derecelendirme kuruluşu kredi verenlere hakkımızda yanlış bilgi iletip kredi alamamamıza ya da hak ettiğimizden daha yüksek faiz ödememize neden olursa, parasal tazminat davasını kazanabilmeliyiz
      Bunun yanlış olduğunu bilip bilmemeleri önemli olmamalı
      Çünkü ister ihmal olsun ister kötü niyet, zarar meydana geliyor
    • Aslında çalışma biçimleri daha çok “X şirketi bana Y adlı kişinin bir hesabı olduğunu söyledi” şeklinde
      Ünlü biri değilseniz, bir şeyin iftira sayılması için doğruluk kontrolünde en azından ihmal olması gerekir
      Yani bilginin yanlış olduğuna inanmak için makul bir bilgi olduğunda ancak ihmal oluşur
      Bir hesabın dolandırıcılık olduğunu kredi derecelendirme kuruluşuna bildirirseniz, o hesabın gerçekten size ait olmadığına dair bildirim yapmış olursunuz; hesabı rapordan kaldırırlarsa gelecekte bu tür karalayıcı bilgileri yayma sorumluluğundan kurtulurlar
  • Geçen hafta iki kez veri ihlali bildirimi aldım.
    Biri sağlık hizmeti sağlayıcımdan, diğeri de konut kredimi elinde bulunduran bankadan geldi.
    İkisi de kredimi kilitlememi söyledi ve 1 yıllık ücretsiz kredi izleme sundu.
    Bu gülünç derecede yetersiz; bence bu alanda çok daha fazla düzenleme gerekiyor.
    Ömür boyu kredi izleme, adıma gerçekleşen tüm finansal dolandırıcılıklar için tam sigorta ve derhâl varsayılan tazminat sağlanmalı.
    Temel neden, ABD’deki kimlik sisteminin karmakarışık olması.
    Benzersiz tanımlayıcı, yani SSN ile gizli değer, yine SSN, birbirinden ayrılmıyor.
    Diğer tüm güvenlik soruları da nihayetinde dolandırıcıların kolayca elde edebileceği “bildiğin şey” şeklindeki aynı kimlik doğrulama faktörünün varyasyonlarından ibaret.
    Kelimenin tam anlamıyla senin gerçekten sen olduğunu kanıtlamanın üzerinde uzlaşılmış bir yolu yok.
    DMV’nin, kredi kartı gibi hem fiziksel hem de dijital özelliklere sahip kimlikler vermeye başlaması gerekiyor.
    Çevrimiçi kimlik doğrulama için Apple Pay veya Android Pay benzeri bir şeye ihtiyaç var ve bankaların dijital kimliği desteklemesi zorunlu kılınmalı.
    Ayrıca dijital kimliği kötüye kullananlara karşı güçlü yaptırım uygulanmalı.
    Bu sorunu görmezden gelmenin sonucu olarak her yıl en az onlarca milyar dolarlık GSYH’nin dolandırıcılık yüzünden yok olduğunu düşünüyorum.
    Daha da önemlisi, hukukun üstünlüğüne dayalı bir ülke olma konumu yavaş yavaş aşınıyor.

    • DMV’nin dijital özellikleri olan fiziksel kimlik vermesi gerektiği konusunda, böyle bir şeyi devletin aşırı müdahalesinden kelimenin tam anlamıyla şeytanın işaretine kadar uzanan bir şey olarak gören, sesi çok çıkan bir grubun varlığı sorun.
      Bunu çıkarmanın kendisi de zor; genellikle işçi sınıfı bölgelerindeki oy verme merkezlerini kapatan ve DMV bütçelerini kesen eyaletler, bunun herkes için ücretsiz uygulanması gereken modele sonuna kadar karşı çıkacaktır.
    • Tüm bunların çevrimiçi ortamda sihirli bir şekilde nasıl çalışması bekleniyor?
      Cevap, şu anda SSN verdiğimiz gibi erişim yetkisi veren bir tür dijital gizli değer sağlamanız gerektiği.
      O zaman bu dijital gizli değer de şu anda SSN’nin bulunduğu aynı çevrimiçi yerlerde bulunacak ve aynı tür saldırılara açık olacak.
      Bunun neyi düzelttiğini anlamıyorum.
  • Makaledeki tavsiyeye uyarak başkası kaydolamasın diye hesap oluşturdum; görünüşe göre otomatik olarak bir dijital vadesiz mevduat hesabına kaydedilmişim.
    Böyle bir şeyi hiç istememiştim.