Author

Topic: De ce procesul KYC este unul deosebit de periculos – și inutil (Read 261 times)

legendary
Activity: 1680
Merit: 6524
Fully-fledged Merit Cycler|Spambuster'23|Pie Baker
Foarte util articolul!

Trebuie sa ii multumim cu totii lui 1miau Smiley Intr-adevar, este un articol de exceptie.

KYC pune si mai profund totul sub risc, in special avand in vedere ca majoritatea site-urilor cer [...] o multitudine de informatii personale precum facturi casnice, pasaport, buletin, permis, certificat de casatorie

Mai au sa ceara istoricul medical, grupa sanguina, cazier (atat fiscal cat si judiciar), sa faca obligatorii pasapoartele biometrice si, de ce nu? si buletinele... Unii poate rad, si situatia poate ar fi de ras, daca, in realitate, nu ar fi de ras-plans.

Informatia personala e personala cu un scop

Si, din pacate, daca o singura daca nu mai ramane personala, o singura clipa, ea ramane pierduta pentru totdeauna. Si devine una cunoscuta si de altcineva, care o poate impartasi altcuiva si tot asa. Si, uite asa, unii se trezesc cu casele sparte, jefuiti, haituiti de infractori (da, in lumea reala, dar si in cea digitala), pentru ca in cazul unui om caruia nu i-a pasat de datele lui personale, s-au gasit mai multi carora sa le pese de datele lui personale mai mult decat i-a pasat lui insusi. Acestia fiind un hacker care i-a furat datele si le-a vandut pe DarkNet si un infractor care i-a cumparat acele date personale pentru 1$ si acum il haituieste in lumea reala...
legendary
Activity: 1134
Merit: 1598
Foarte util articolul! Între timp s-a petrecut și hack-ul bazei de date de clienți Ledger, care arată că și atunci cînd procesul KYC nu e cerut pentru gestionarea portofelului Bitcoin, tot poate pune în pericol utilizatorii / clienții.
Orice informatie personala furnizata mai departe catre o parte terta reprezinta un potential risc.. si asta e de cand exista internetul si tehnologia, pentru ca oamenii se incred in servicii tip Cloud si au falsa impresie ca modalitatea lor de a stoca datele personale ale clientilor lor este cea mai buna.

KYC pune si mai profund totul sub risc, in special avand in vedere ca majoritatea site-urilor cer (sau cel putin cereau, cand am fost eu curios sa aflu cum functioneaza) "selfie"-uri din 3 unghiuri diferite, o multitudine de informatii personale precum facturi casnice, pasaport, buletin, permis, certificat de casatorie etc.

Informatia personala e personala cu un scop..
newbie
Activity: 1
Merit: 0
Foarte util articolul! Între timp s-a petrecut și hack-ul bazei de date de clienți Ledger, care arată că și atunci cînd procesul KYC nu e cerut pentru gestionarea portofelului Bitcoin, tot poate pune în pericol utilizatorii / clienții.
legendary
Activity: 1680
Merit: 6524
Fully-fledged Merit Cycler|Spambuster'23|Pie Baker
Am bucuria de a vă prezenta în limba română topicul "De ce procesul KYC este unul deosebit de periculos – și inutil", scris de 1miau la data de 28 ianuarie 2020. 1miau este un personaj remarcabil, implicat in diverse acțiuni de a promova Bitcoin și de a-i ajuta pe toți ceilalți membri, dar și un organizator recunoscut de tombole cu premii în BTC. Printre cele mai importante eseuri ale lui 1miau se numără, pe lângă acest topic, și “Is diversification into different coins really a good advice for Newbies?”, “Make sure to avoid wasting BTC for too high fees – step by step guide (Electrum)”, “MLM – a dangerous marketing strategy”, sau “[Guide] How to create your customized Bitcoin-Address (vanitygen) – step by step”.
legendary
Activity: 1680
Merit: 6524
Fully-fledged Merit Cycler|Spambuster'23|Pie Baker
Autor: 1miau
Topic original: Why KYC is extremely dangerous – and useless




Tuturor ne este teamă că putem pierde bani din cauza hackerilor, a țepelor, a propriilor greșeli sau chiar din cauza unor decizii proaste (cum ar fi achiziția unor monede lipsite de valoare, vânzarea prematură sau tardivă a monedelor etc.). multe topicuri acoperă astfel de subiecte. Dar când vine vorba de pierderi, să știți că puteți pierde și altele, pe lângă bani. Și aici mă refer la furtul de identitate sau de date personale, indiferent de forma lor. Protejarea acestor date și o atenție sporită asupra intimității ar trebui să aibă aceeași prioritate precum protejarea banilor. În fond, banii pot fi obținuți din nou; reprezintă “doar” o pierdere financiară. Dar odată ce o identitate este furată nu mai există cale de întors.

De aici începe adevărata problemă. Una dintre celei mai bune protecții față de furtul de identitate constă în a înțelege bine falsele presupuneri despre KYC. În prezent, unele servicii crypto le solicită clienților să parcurgă un așa-numit “KYC”. KYC vine de la “know your customer” (cunoaște-ți clientul) și-i forțează pe utilizatori să își predea datele personale unei companii sau unei organizații. Problema devine destul de spinoasă, deoarece unele firme sunt foarte stricte și nu vor permite servisarea fără KYC, chiar dacă ar fi vorba de cumpărarea de criptomonede în valoare de câteva sute de dolari.

Motivele principale pentru existența KYC ar fi acelea de prevenire a spălării banilor (cunoscut sub numele de AML - anti-money laundering) și de prevenire a atacurilor teroriste. Procedurile stricte de KYC și AML au fost introduse mai întâi în S.U.A. după atacurile din 11 septembrie, multe țări fiind îndemnate de SEC (n.r. Comisia Pentru Valori Mobiliare Și Burse din S.U.A.) să introducă acest KYC obligatoriu. AML a existat și înainte, însă doar pentru instituții care rulau sume mari de bani. Clienții obișnuiți au fost afectați doar după restricțiile impuse de SEC.
La prima vedere, KYC pare un demers bun pentru limitarea activității infracționale. Din păcate însă, în realitate lucrurile stau altfel. KYC în crypto nu pune piedici prea mari spălării banilor și nici nu reduce infracțiunile; de asemenea, nu previne nici atacurile teroriste. Ba, din contră - KYC pune în pericol intimitatea și încurajează infracțiunile (prin intermediul proceselor KYC înșelătoare, a furtului de identitate și a altor țepe).



KYC încurajează furtul de identitate

Când cineva parcurge procesul KYC, este forțat să predea unele date personale către un terț (cum ar fi un exchange, un ICO etc.). De aici încolo nu mai există niciun control asupra procesului, fiind total expus în fața terțului respectiv care ar trebui să administreaze în siguranță aceste date sensibile. Dacă intervine un atac al hackerilor, oamenii nu pot face nimic.

Oricine este îngrijorat despre siguranța datelor personale și nu-și predă aceste date în procesul de KYC, ajunge în situația de a i se refuza oferirea de servicii.

Este limpede că riscurile sunt inevitable pentru utilizatorii obișnuiți, ei fiind siliți să își dezvăluie datele personale în fața unor necunoscuți sau a unui serviciu centralizat. Și nu există nicio garanție că aceste date ar fi în siguranță, în condițiile în care și marile companii, cu standarde înalte de securitate, pot cădea pradă hackerilor.

Așa cum se întâmplă cu tot ce mișcă în lumea digitală, companiile și organizațiile care colectează KYC sunt vulnerabile la atacurile informatice. Am văzut că și firmele mari, precum Binance, pot fi sparte, hackerii fiind capabili să fure multe documente legate de KYC.

Tot ce se știe vine doar de la incidentele cunoscute, care au fost raportate. Deci nu ar fi de mirare dacă acesta ar fi de fapt doar vârful aisbergului, iar în realitate să existe mult mai multe atacuri ale hackerilor amatori de a obține date asociate cu KYC, de care să nu știe nimeni nimic, deoarece, firește, anunțuri de genul nu ar face decât rău exchange-urilor sau altor operatori de date personale. De asemenea, este o certitudine faptul că hackerii profesioniști dezvoltă noi și noi metode care să le asigure succesul atacurilor din care obțin datele relevante pentru parcurgerea procesului KYC.

Toate acestea conduc la altă problemă: având KYC aplicat oriunde, datele cu caracter personal devin o adevărată marfă de valoare pe piața neagră, acolo unde deja există un interes major pentru obținerea de date personale sau pentru compromiterea identităților. Așadar, în mod inevitabil va apărea o piață ilegală a identităților, odată cu aplicarea KYC în toată lumea.
Toți utilizatorii care sunt nevoiți să treacă prin orice formă de KYC se supun riscului de a avea datele personale vândute pe piața neagră. În schimb, infractorii pot cumpăra cu ușurință “pachete cu identități”, care conțin toate datele de care au nevoie pentru a impersona pe ghinionistul căruia i-au fost furate datele, putând deschide astfel un cont pe numele acestuia, urmând să își desfășoare activitățile ilicite de pe acel cont.


Quote
În urmă cu două zile, ccn.com scris a postat articolul “Date Furate Ale Clienților Unui Exchange Major Pe Dark Web?”, care descria că pe piața neagră “Dread”, un vânzător cunoscut sub numele “ExploitDOT” încearcă să vândă date personale obținute prin KYC de către cele mai mari exchange-uri crypto, date care sunt solicitate în cele mai multe zone ale lumii.

Astăzi, colegul meu l-a contactat pe vânzător, care i-a oferit un preț de 15 USD pentru fiecare document (pașaport sau carte de identitate, adresă, poză de tip selfie), însumând 45 USD pentru o persoană. Însă era dispus să vândă cel puțin 100 de identități într-o singură tranșă (la prețul de 4500 USD). Vânzătorul era dispus să fie folosit și un serviciu escrow pentru tranzacția crypto, ceea ce însemna că oferta era una de încredere.
Sursă

Identitățile furate de hackeri sunt bunuri de valoare pentru infractori, mai ales dacă pot fi corelate cu alte date complementare, cum ar fi:

  • nume și adresă fizică (care apar pe diverse documente sau facturi la utilități)
  • acte de identitate emise de guvern, pașapoarte, fotografii sau poze de tip selfie
  • date biometrice (amprentă, scan al feței sau al irisului)
  • diverse date existente pe facturile la utilități, sursa veniturilor, numele angajatorului sau contul bancar
  • parole, adrese de email utilizate
  • adrese crypto utilizate, inclusiv depozite / retrageri (+ corelarea cu alte adrese prin intermediul cercetărilor efectuate pe blockchain)

Infractorii pot folosi aceste date în varii moduri ilicite:

  • Ei pot utiliza datele pentru a comite infracțiuni prin impersonarea individului ale cărui date au fost furate, deschizând apoi un cont pe numele acestuia, cont de pe care pot opera activități ilegale.

  • Infractorii se pot folosi de aceste date pentru a accesa alte conturi ale persoanei căreia i-au fost furate datele:
    • resetarea conturilor cu ajutorul adresei de email
    • resetarea conturilor cu ajutorul datelor biometrice
    • pot încerca să se infiltreze pe alte site-uri folosind aceeași parolă

  • Cel mai rău lucru posibil ar fi ca un infractor să dețină destule date despre cineva pentru a putea determina cât de profitabil ar fi un jaf. Pentru aceasta ar avea nevoie de:
    • adresa fizică a victimei (obținută dintr-un document personal), și
    • informații despre averea victimei (obținute din operațiunile efectuate de pe contul crypto corelat cu adrese crypto sau din documente despre sursa veniturilor, sursa averii etc.).
    Un astfel de pachet de date ar fi suficient pentru a evalua o victimă din perspectiva unei posibile tâlhării. Chiar dacă țeparii ar fi din altă țară, ei ar putea vinde informații despre “victime promițătoare” altor infractori, care ar locui în aceeași țară cu victima.

  • Alternativ, infractorii pot colecta și corela unele date cu altele, pentru a face ca pachetul de date oferit spre vânzare să fie cât mai prețios.



KYC încurajează înșelătoriile

Pe lângă furtul de identitate, KYC oferă o altă posibilitate de profit țeparilor, aceasta fiind o strategie în plină ascensiune, numită “țeapa KYC”, constând în următoarele:

  • Utilizatorii depozitează crypto la un serviciu care nu necesită KYC.
  • După ce suficient de mulți oameni au efectuat depuneri, site-ul anunță că procesul KYC devine obligatoriu și blochează toate fondurile.
  • Site-ul îi șantajează pe utilizatori să parcurgă KYC. Dacă cineva se opune, își pierde fondurile, acestea fiind blocate de exchange. Dacă exchange-ul este țepar, are în plus și documente de preț ale clienților care atestă identitatea acestora, documente pe care le poate vinde sau pe care le poate folosi în scopuri proprii.
  • Utilizatorii nu au nicio șansă de a se apăra.

Aceeași strategie este folosită și de bonificații (bounties), mai ales cele care lucrează cu monedele alternative ale unor ICO-uri în care nu poți avea încredere. Ca urmare, este bine de știut despre aceste țepe asociate cu KYC. Acestea au loc în special în cazul exchange-urilor necunoscute sau al premierilor cu monede alternative înșelătoare. Este recomandată doar utilizarea exchange-urilor mari, de încredere, care nu și-ar permite pierderea credibilității prin operarea unei țepe asociate cu KYC.

Sub nicio formă nu ar trebui parcurs un proces KYC pentru țeparii din acest domeniu. Un exchange cu reputație va folosi mereu termeni și condiții în care utilizatorul poate efectua depuneri de bani și va trimite mereu notificări referitoare la implementarea KYC în timp ce utilizatorii pot încă să-și retragă fondurile, chiar dacă o fac la pragul minim setat de companie. Astfel, utilizatorii au ocazia de a-și retrage fondurile fără a fi înșelați.



KYC îi ajută pe țepari să rămână nedetectați

KYC valorează mult pentru o mare parte a infractorilor, deoarece aceștia pot rămâne nedepistați și își pot continua activitățile ilegale prin folosirea identităților furate pentru a putea trece de KYC. Când este vorba de mulți bani la mijloc, nimic nu îi poate opri:

  • Pe piața neagră există deja un bazin enorm de pachete conținând date de identificare, cele mai multe provenind de la alte proceduri KYC găzduite sau sparte de alți țepari. Cu cât aceste pachete sunt mai ample, cu atât devin șî mai prețioase. Pentru a trece de KYC, infractorii trebuie doar să intre în posesia acestor înregistrări de pe piața neagră.
  • Adițional, țeparii ar putea organiza ei înșiși ICO-uri sau ar putea deschide un exchange înșelător pentru a solicita KYC prin intermediul acestuia. Ei își pot da seama de ce date au nevoie în funcție de acțiunile pe care au de gând să le întreprindă. Astfel, infractorii pot obține anumite date rezultate din KYC pentru un anume ICO sau exchange.

Deși este oarecum neintuitiv, unii “experți” propun mai nou aplicarea unei proceduri KYC și mai stricte, care să cuprindă niște documente scanate de o calitate superioară sau mai multe date, cum ar fi datele biometrice. Aceasta este ceva total greșit, deoarece astfel de măsuri nu ar face decât să pericliteze și mai mult siguranța utilizatorilor:

  • Datele biometrice (amprenta, scan al feței sau al irisului) pot fi folosite de asemenea în scopuri ilegale, odată ce cad pradă infractorilor. Prejudiciul celor afectați este poate unul mult mai mare, deoarece datele biometrice sunt cele mai sensibile informații ce pot fi dezvăluite.
  • O îmbunătățire a calității datelor oferite înseamnă doar că hackerii pot primi niște informații de o și mai mare acuratețe, deci niște date și mai prețioase. Acest nivel crescut al calității ar face ca infractorii să impersoneze pe cineva cu mult mai multă ușurință.
  • Tot mai mulți infractori încep să reconstruiască părțile lipsă, pornind de la cele înregistrările KYC furate. Metodele de a păcăli identificarea video, cum ar fi “clipurile deepfake” (n.r. clipuri video foarte bine trucate), sunt în plină dezvoltare. Producerea de măști realiste, care cu greu se pot distinge față de oamenii reali, reprezintă o altă formă de păcălire a procesului de identificare. Aceste metode au fost deja prezentate la evenimentul 35c3 din 2018 din Leipzig (n.r. 35th Chaos Communication Congress (35c3), eveniment susținut anual de Chaos Computer Club), unde s-a demonstrat că aceste proceduri de identificare video pot fi eludate.

    Aceste tehnici ar putea fi într-o fază de început, motiv pentru care nu au rezultate perfecte, însă în principiu sunt deja posibile. Iar ideea de o profitabilitate crescută determinată de aplicarea KYC oriunde și oricând îi încurajează pe infractori să îmbunătățească din ce în ce mai mult metodele de păcălire a procesului KYC.

    În principiu, este nevoie doar de câțiva infractori: cei care pot verifica conturile cu ajutorul datelor furate. Acest serviciu ar putea fi vândut altor infractori prin intermediul darknet-ului, aceștia din urmă putând păcăli în totalitate procesul KYC.


Prin urmare, dacă KYC a fost conceput pentru a limita acțiunile întreprinse de infractori, atunci a eșuat deja în cel mai teribil mod cu putință. Probabil că pe piața neagră există milioane de pachete de date, acest număr fiind într-o continuă creștere pe măsură ce KYC devine obligatoriu în tot mai multe zone.

În timp ce tehnicile de manipulare a tuturor proceselor KYC se devoltă tot mai amplu, găștile de infractori se poziționează bine pentru a verifica conturi și pentru a le vinde altor infractori, la un preț ridicat, pe piața neagră. Alternativ, aceștia ar putea sparge conturile care sunt deja verificate pentru a le vinde ulterior.

Astfel, cei cu intenții rele au o gamă bogată de opțiuni din care pot alege modul în care să evite cele mai multe forme de KYC.



Concluzie: KYC este inutil

Aparent, un prim rezultat al acestei evaluări ne spune nu doar că procesul KYC este inutil, ci și că acesta încurajează ceea ce ar trebui să prevină. KYC deschide noi posibilități pentru infractori (cum ar fi tranzacțiile cu date de identificare ale utilizatorilor reali) și amplifică alte zone de infracționalitate (criminalii rămân nedetectați în timp ce se folosesc de identitățile utilizatorilor nevinovați). Practic, KYC pune în pericol intimitatea și securitatea tuturor clienților.

Așadar, lăudata eficiență a unui KYC digital în crypto există doar în mod teoretic, din păcate. Ar fi bine ca membrii comunității să înțeleagă că acest KYC este inutil, periculos și încurajează infractorii. Și cum documentele aferente KYC sunt vândute ilegal pe net sau sunt falsificate de inteligența artificială, KYC nu își mai are rostul, deoarece nu mai poate demonstra nimic.

În fapt, KYC încurajează țepele și infracțiunile, iar în același timp periclitează intimitatea și siguranța clienților din cauza furturilor de identitate. De aici se naște o dinamică periculoasă pentru utilizatorii care sunt forțați să parcurgă o verificare KYC: tone întregi de documente personale sunt colectate de infractori și au șanse mari ca în viitor să devină publice, într-o manieră la care nu am mai asistat până acum.



Cum ne protejăm de KYC?

Fiți vigilenți și încercați să evaluați dacă utilizarea unui serviciu chiar merita riscul furtului de identitate, incluzând toate consecințele negative asociate. De asemenea, fiți atenți la ce adrese corelați unui cont, în cazul în care acesta ar fi spart. Legătura dintre identitate și o adresă bitcoin / altcoin nu poate fi ruptă, dacă cineva știe cum să le asocieze.

Se recomandă utilizarea unor servicii de încredere, care nu presupun KYC, cum ar fi exchange-urile P2P; tranzacțiile pot avea loc și aici, pe forum, apelând la un escrow cu reputație.

Evitați KYC pentru orice altceva:

  • Fără KYC pentru tombole cu altcoin / monede fără valoare sau airdrop-uri în altcoin / monede fără valoare, unde organizatorii par a fi țepari sau incompetenți.
  • Fără KYC în cazul exchange-urilor dubioase ale căror proprietari par a fi țepari sau incompetenți.
  • Fără KYC când este vorba de sume mici de bani, iar asumarea riscului ar fi nejustificată (aici intră orice care nu te-ar îmbogăți).

Este importantă sublinierea pericolelor asociate cu KYC, ca o măsură de prevenire. În fond, este doar o chestiune de timp până când un scandal mai mare legat de KYC va aduce la cunoștința publicului toate aceste pericole, precum și inutilitatea procesului în sine. Din nefericire, atunci va fi prea târziu, iar răul va fi deja făcut. Sunteți bineveniți să transmiteți acest eseu mai departe, astfel încât cât mai mulți utilizatori (și furnizori de servicii) să afle despre lacunele KYC.

În particular, furnizorii de servicii care abuzează de siguranța utilizatorilor pentru a-și umple ei buzunarele, să fie și ei conștienți de comportamentul lor iresponsabil.

Ar fi bine să se apeleze la un furnizor de servicii care să nu perceapă KYC (sau unul ale cărui limite sunt justificate). Și asta nu doar pentru propria protecție, ci și pentru a-i susține pe furnizorii care își protejează clienții.


Notă de final: am început să lucrez la acest articol de ceva timp, încă de la începutul lui 2019. În timp ce am realizat un sumar al celor mai cunoscute aspecte, pe Internet s-au publicat diverse articole informative, care analizează în detaliu problemele procesului KYC pentru a le aduce la cunoștința tuturor.
Referitor la aspectele menționate de mine, acestea nu doar că au fost confirmate în timp ce citeam respectivele articole, dar trebuie să admit că am subestimat cu mult pericolul si inutilitatea KYC în versiunea originală a eseului. Tehnologia și piața neagră pentru KYC sunt mult mai avansate decât am crezut și vor deveni și mai lucrative din cauza aplicării excesive a KYC. Infractorii au descoperit în KYC o nouă formă de beneficii, pentru care au trecut la o nouă strategie de înșelătorii (cum ar fi țepele KYC), realizând tranzacții comerciale cu date de identificare și, în același timp, continuând activitățile criminale în condițiile în care rămân nedetectați.
Pentru siguranță, pentru protecția datelor și pentru prevenirea infracționalității ar fi bine să se recunoască public faptul că procesul KYC nu este o soluție, ci un risc la care sunt supuși toți utilizatorii nevinovați.



De reținut:

Lumea digitală nu este atât de simplă precum ar crede unii. Dacă ești un utilizator obișnuit de crypto sau Internet, poți face multe greșeli, însă o singură mișcare greșită este suficientă pentru a determina un risc, chiar dacă în rest totul este perfect.
Cei mai mulți țepari sunt și inteligenți, ascunzându-și urmele și profitând de concepțiile greșite. O astfel de concepție greșită o reprezintă KYC pentru serviciile centralizate, care deseori sunt ușor de spart și de eludat.
Dacă nouă, utilizatorilor obișnuiți, nu ne pasă de intimitatea noastră, dacă nu ne educăm sau dacă nu avem pretenția de a fi protejați de infractorii de pe net, am putea ajunge rapid în pericol. Intimitatea înseamnă protecție față de acești țepari, și este un bun de valoare pe care toți îl putem revendica. Intimitatea nu este o crimă, ea este modul nostru de protecție pe net în fața infractorilor și este un drept personal pe care ar trebui să îl securizăm oricând avem această posibilitate.

Simțiți-vă liberi să distribuiți acest articol sau să-l traduceți în secțiunea locală de care aparțineți (puteți rezerva traducerea printr-un mesaj privat, pentru a evita o dublă traducere). Există multe informații eronate cu privire la o nevoie pentru KYC, deși aceasta nu există în realitate, iar dacă oamenii vor fi atenți la detalii, vor putea preveni multe țepe și infracțiuni.




Alte articole care descriu pericolele determinate de KYC:

https://medium.com/@wilderko/how-does-kyc-aml-pose-a-serious-threat-to-your-privacy-and-should-not-be-used-at-all-88f7acd3f3b

https://medium.com/mycrypto/be-careful-with-your-kyc-documents-978ab532f2be

https://blog.goodaudience.com/the-unseen-danger-of-kyc-e3e1c4448eee
Jump to: