فهرست بستن

IRS به زودی برای دسترسی آنلاین به عکس های سلفی نیاز خواهد داشت – Krebs on Security

vpn
IRS به زودی برای دسترسی آنلاین به عکس های سلفی نیاز خواهد داشت – Krebs on Security

اگر یک حساب آنلاین برای مدیریت سوابق مالیاتی خود با سرویس درآمد داخلی ایالات متحده (IRS) ایجاد کرده اید، این اعتبارنامه های ورود به سیستم در اواخر سال جاری کار نمی کنند. این آژانس می گوید که تا تابستان سال 2022، تنها راه برای ورود به irs.gov از طریق ID.me خواهد بود، یک سرویس تأیید هویت آنلاین که متقاضیان را ملزم می کند کپی قبوض و مدارک هویتی و همچنین یک ویدیوی زنده را ارسال کنند. تغذیه از صورت آنها از طریق یک دستگاه تلفن همراه.
IRS می گوید برای همه ورود به سیستم در اواخر تابستان امسال به ID.me نیاز دارد.
ID.me مستقر در مک‌لین در ابتدا در سال 2010 با هدف کمک به سایت‌های تجارت الکترونیکی برای اعتبارسنجی هویت مشتریانی که ممکن است واجد شرایط تخفیف در موسسات خرده‌فروشی مختلف باشند، مانند کهنه‌کاران، معلمان، دانش‌آموزان، پرستاران و اولین‌ها راه‌اندازی شد. پاسخ دهندگان
این روزها، ID.me شاید بیشتر به عنوان سرویس تأیید هویت آنلاین شناخته می شود که اکنون بسیاری از ایالت ها از آن برای جلوگیری از ضرر میلیاردها دلاری بیمه بیکاری و کمک های بیماری همه گیر که هر ساله توسط سارقان هویت به سرقت می رود، استفاده می کنند. این شرکت خصوصی می گوید که تقریباً 64 میلیون کاربر دارد و هر روز تقریباً 145000 کاربر جدید به دست می آورد.
برخی از 27 ایالت قبلاً از ID.me برای بررسی سارقان هویتی که برای دریافت مزایا به نام شخص دیگری درخواست می کنند، استفاده می کنند و اکنون IRS به آنها می پیوندد. این سرویس از متقاضیان می‌خواهد که اطلاعات بسیار بیشتری از آنچه معمولاً برای طرح‌های تأیید آنلاین درخواست می‌شود، ارائه دهند، مانند اسکن گواهینامه رانندگی یا سایر کارت‌های شناسایی صادرشده توسط دولت، کپی‌های صورت‌حساب‌های آب و برق یا بیمه، و جزئیات مربوط به خدمات تلفن همراه خود.
هنگامی که متقاضی یک یا چند مورد از موارد فوق را ندارد – یا اگر چیزی در مورد درخواست او باعث ایجاد پرچم های تقلب بالقوه می شود – ID.me ممکن است به یک چت ویدیویی ضبط شده و زنده با شخص متقاضی مزایا نیاز داشته باشد.
از آنجایی که اعتبارنامه من در IRS به زودی دیگر کار نخواهد کرد، تصمیم گرفتم یک حساب ID.me ایجاد کنم و تجربه را در اینجا به اشتراک بگذارم. یک مقدمه مهم برای این راهنما این است که برای تأیید هویت خود با Id.me نیاز است که فرد بتواند یک سلفی زنده ویدیویی بگیرد – چه با دوربین روی دستگاه تلفن همراه یا یک وب کم متصل به رایانه (وب کم شما باید می تواند در دستگاهی که برای درخواست حساب ID.me استفاده می کنید باز شود).
همچنین، تأیید موفقیت آمیز هویت شما با ID.me ممکن است به سرمایه گذاری قابل توجهی در زمان و کمی صبر نیاز داشته باشد. برای مثال، دور شدن از یک بخش از فرآیند درخواست چند مرحله‌ای برای کمی بیش از پنج دقیقه، نیاز به ورود مجدد به سیستم و سپس ارسال مجدد اسنادی را که قبلاً بارگذاری کرده بودم، داشت.
پس از وارد کردن آدرس ایمیل و انتخاب رمز عبور، از شما خواسته می‌شود که آدرس ایمیل خود را با کلیک کردن روی پیوند ارسال شده به آن آدرس تأیید کنید. پس از تایید، ID.me از کاربران می خواهد تا یک گزینه تایید هویت چند عاملی (MFA) را انتخاب کنند.
گزینه های MFA از یک کد شش رقمی ارسال شده از طریق پیام متنی یا تماس تلفنی گرفته تا برنامه های تولید کننده کد و کلیدهای امنیتی FIDO متغیر است. ID.me حتی استفاده از برنامه تولید کد یکبار مصرف مارک خود را پیشنهاد می‌کند، که می‌تواند هر زمان که وارد سیستم می‌شوید، پیامی را به دستگاه تلفن همراهتان فشار دهد تا شما آن را تأیید کنید. یک کلید امنیتی فیزیکی برای اطلاعات بیشتر در مورد مزایای استفاده از کلید امنیتی برای MFA، این پست را ببینید.
هنگامی که گزینه MFA تأیید شد، سیستم یک کد پشتیبان یک‌بار مصرف تولید می‌کند و به شما پیشنهاد می‌کند که آن را در مکانی امن ذخیره کنید، در صورتی که دفعه بعد که می‌خواهید از سرویسی استفاده کنید که به ID.me نیاز دارد، گزینه MFA در دسترس نیست.
در مرحله بعد، از متقاضیان خواسته می شود تا تصاویر گواهینامه رانندگی، شناسه دولتی یا گذرنامه خود را آپلود کنند – از طریق یک فایل ذخیره شده یا با اسکن آنها با وب کم یا دستگاه تلفن همراه.
اگر مدارک شما پذیرفته شود، ID.me از شما می خواهد که با دستگاه تلفن همراه یا وب کم خود یک سلفی زنده بگیرید. که چندین تلاش طول کشید. وقتی دوربین رایانه من نتیجه قابل قبولی را نشان داد، ID.me گفت که خروجی را با تصاویر اسکن های گواهینامه رانندگی من مقایسه می کند.
پس از این، ID.me به تأیید شماره تلفن شما نیاز دارد، به این معنی که از ارائه‌دهنده تلفن همراه یا ثابت شما می‌خواهد تأیید کند که شما واقعاً یک مشتری موجود و پرداخت‌کننده هستید که می‌توان با آن شماره تماس گرفت. ID.me می گوید در حال حاضر شماره تلفن های مرتبط با سرویس های Voice-Over-IP مانند Google Voice و Skype را نمی پذیرد.
برنامه من در مرحله «تأیید تلفن شما»، که تقریباً در میانه کل فرآیند تأیید است، به طور بی‌وقفه گیر کرد.
ایمیلی به افراد پشتیبانی ID.me پیامی با پیوندی برای تکمیل فرآیند تأیید از طریق یک چت ویدیویی زنده ایجاد کرد. متأسفانه، با کلیک بر روی آن پیوند، درخواستی برای آپلود مجدد تمام اطلاعاتی که قبلاً ارائه کرده‌ام و سپس برخی از آنها ظاهر می‌شود.
برخی از اسناد اولیه و ثانویه درخواست شده توسط ID.me.
به عنوان مثال، تکمیل فرآیند مستلزم ارائه حداقل دو مدرک شناسایی ثانویه، مانند کارت تامین اجتماعی، گواهی تولد، کارت بیمه سلامت، فرم W-2، صورتحساب برق یا صورت‌حساب موسسه مالی است.
پس از آپلود مجدد همه این اطلاعات، سیستم ID.me از من خواست که «لطفاً روی این صفحه بمانید تا به تماس ویدیویی بپیوندید». با این حال، زمان تخمینی انتظار زمانی که آن پیام برای اولین بار ظاهر شد، گفت: «3 ساعت و 27 دقیقه».

من قدردانی می‌کنم که سیستم ID.me به انسان‌های واقعی متکی است که به دنبال مصاحبه با متقاضیان در زمان واقعی هستند و نمی‌توان انتظار داشت که همه آن نمایندگان فوراً به همه این موارد رسیدگی کنند. و من متوجه شدم که کند کردن کارها بخش مهمی از شکست دادن کلاهبرداران هویتی است که به دنبال سوء استفاده از سیستم های تأیید هویت خودکار هستند که عمدتاً بر داده های ثابت در مورد مصرف کنندگان متکی هستند.
با این اوصاف، من این فرآیند "ملاقات با یک مامور" را در حوالی ساعت 9:30 شب شروع کردم، و به خصوص مشتاق نبودم که تا نیمه شب بیدار بمانم تا آن را کامل کنم. اما مدت زیادی پس از انتشار پیامی مبنی بر 3 ساعت انتظار، با یک تکنسین ID.me تماس تلفنی دریافت کردم که در ایمیل اصلی من به موسس ID.me ارسال شده بود. در مقابل اعتراض های مکرر من که می خواستم مثل بقیه منتظر نوبتم باشم، گفت که خودش این روند را انجام خواهد داد.
مطمئناً، یک دقیقه بعد با شخص پشتیبانی ID.me ارتباط برقرار کردم که تأیید را در یک تماس تلفنی ویدیویی به پایان رساند. که حدود یک دقیقه طول کشید. اما برای هرکسی که ثبت نام خودکار را انجام نمی دهد، روی صرف چند ساعت برای تأیید حساب حساب کنید.
وقتی درخواست من در نهایت تایید شد، به irs.gov برگشتم و با حساب ID.me جدید خود وارد شدم. پس از اعطای دسترسی IRS به داده های شخصی که با ID.me به اشتراک گذاشته بودم، به آخرین داده های مالیاتی خود در وب سایت IRS نگاه می کردم.

من تا حدودی نگران بودم که تأیید هویت من ممکن است انجام نشود زیرا پرونده اعتباری خود را با سه دفتر اصلی اعتبار مصرف کننده مسدود کرده ام. اما در هیچ زمانی در طول فرآیند درخواست من، ID.me حتی به نیاز به برداشتن یا آب کردن این فریز امنیتی برای تکمیل فرآیند احراز هویت اشاره نکرد.
IRS قبلاً برای فرآیند اثبات هویت خود به Equifax متکی بود، و حتی پس از آن هرکسی که پرونده‌های اعتباری مسدود شده داشت، مجبور بود این فریز را برطرف کند تا از طریق سیستم احراز هویت قدیمی IRS عبور کند. برای چندین سال، نتیجه این اتکا این بود که سارقان شناسه به طور گسترده از وب سایت خود IRS برای جعل هویت مالیات دهندگان، مشاهده سوابق مالیاتی محرمانه آنها و در نهایت بازپرداخت مالیات تقلبی به نام آنها سوء استفاده کردند.
IRS قرارداد "هویت مالیات دهندگان" خود را با Equifax در اکتبر 2017 لغو کرد، پس از اینکه اداره اعتبار فاش کرد که عدم اصلاح نقص امنیتی چهار ماهه صفر روز منجر به سرقت شماره های تامین اجتماعی و اطلاعات شخصی و مالی در 148 میلیون آمریکایی
شاید با توجه به مگابریش سال 2017، بسیاری از خوانندگان به درستی نگران این باشند که مجبور شوند اطلاعات حساس زیادی را در اختیار یک شرکت خصوصی نسبتاً ناشناخته قرار دهند. KrebsOnSecurity با موسس و مدیر عامل ID.me بلیک هال در داستان سال گذشته، چگونه 100 میلیون دلار از مطالبات بیکاری به دست زندانیان رفت، صحبت کرد. از هال پرسیدم که ID.me برای محافظت از این اطلاعات حساسی که جمع آوری می کند چه می کند، که بدون شک به عنوان یک هدف فریبنده برای هکرها و سارقان هویت عمل می کند.
هال گفت ID.me مطابق با دستورالعمل‌های هویت دیجیتال NIST 800-63-3 تایید شده است، از چندین لایه امنیتی استفاده می‌کند و داده‌های ثابت مصرف‌کننده مرتبط با هویت معتبر را از توکنی که برای نشان دادن آن هویت استفاده می‌شود، به‌طور کامل جدا می‌کند.
هال گفت: «ما یک رویکرد دفاعی عمیق، با شبکه‌های پارتیشن‌شده را در پیش می‌گیریم و از طرح رمزگذاری بسیار پیچیده استفاده می‌کنیم تا در زمان و در صورت نقض، این موارد فایروال شود. "شما باید توکن ها را در مقیاس و نه فقط پایگاه داده را به خطر بیندازید. ما همه موارد را تا سطح فایل با کلیدهایی که هر 24 ساعت یکبار می چرخند و منقضی می شوند رمزگذاری می کنیم. و هنگامی که شما را تأیید کردیم، به طور مداوم به آن داده‌های مربوط به شما نیاز نداریم.»
خط‌مشی رازداری ID.me بیان می‌کند که اگر برای ID.me ثبت‌نام کنید «در ارتباط با تأیید هویت قانونی یا یک سازمان دولتی، از اطلاعات تأیید شما برای هر نوع بازاریابی یا اهداف تبلیغاتی استفاده نخواهیم کرد».
ثبت‌نام در ID.me از کاربران می‌خواهد که یک خط‌مشی داده‌های بیومتریک را تأیید کنند که بیان می‌کند شرکت داده‌های بیومتریک شما را به هیچ شخص ثالثی نمی‌فروشد، اجاره نمی‌دهد، یا مبادله نمی‌کند یا به دنبال کسب سود از این اطلاعات نیست. ID.me می گوید که کاربران می توانند داده های بیومتریک خود را در هر زمانی حذف کنند، اما وقتی من مستقیماً وارد حساب کاربری جدید خود در ID.me شدم، هیچ گزینه مشخصی برای انجام این کار وجود نداشت.
وقتی از تکنسین پشتیبانی که مصاحبه ویدیویی را انجام داد خواستم داده‌های بیومتریک من را حذف کند، او پیوندی به فرآیند حذف حساب ID.me برای من فرستاد. بنابراین، به نظر می‌رسد که حذف داده‌های شخص از ID.me پس از تأیید، برابر با حذف حساب شخصی است و احتمالاً در آینده باید دوباره ثبت نام کند.
در طول سال‌ها، سعی کرده‌ام بر اهمیت ایجاد حساب‌های آنلاین مرتبط با خدمات مختلف هویت، مالی و ارتباطی شما، قبل از اینکه سارقان هویت این کار را برای شما انجام دهند، تأکید کرده‌ام. اما همه آن مکان‌هایی که باید «پرچم خود را نصب کنید» تأیید هویت را به صورت خودکار انجام می‌دهند و با استفاده از نقاط داده کاملاً ثابت در مورد مصرف‌کنندگانی که چندین بار نقض شده‌اند (SSN، DoBs و غیره).
آن را دوست داشته باشید یا از آن متنفر باشید، ID.me احتمالاً به یکی از مکان‌هایی تبدیل می‌شود که آمریکایی‌ها باید پرچم خود را نصب کنند و قلمرو خود را علامت‌گذاری کنند، در صورتی که برای مدیریت روابط شما با فدرال به هیچ دلیل دیگری نیاز نباشد. دولت و/یا ایالت شما و با توجه به زمان بالقوه سرمایه گذاری مورد نیاز برای ایجاد موفقیت آمیز حساب ID.me، ممکن است ایده خوبی باشد که این کار را قبل از اینکه مجبور به انجام آن در آخرین لحظه (مثلا منتظر ماندن تا ساعت یازدهم برای پرداخت هر سه ماهه یا پرداخت سه ماهه خود شوید) انجام دهید. مالیات برآورد شده سالانه).
اگر اخیراً از صفحه ورود به سیستم در اداره تأمین اجتماعی ایالات متحده (SSA) بازدید کرده باشید، متوجه خواهید شد که در 18 سپتامبر 2021 یا حوالی آن، این آژانس اجازه ایجاد حساب های جدید را فقط با نام کاربری و رمز عبور متوقف کرده است. هر کسی که به دنبال ایجاد یک حساب کاربری در SSA است، اکنون به ID.me یا Login.gov هدایت می‌شود، یک راه‌حل ورود واحد برای وب‌سایت‌های دولتی ایالات متحده.