KYC e o paradoxo do seu incentivo à fraude das identidades

Loganota

hero member

Activity: 1778

Merit: 882

Quote from: alegotardo on December 04, 2020, 01:32:31 PM

Eu vejo uma forma muito mais simples.
Porque a porra do governo não faz logo o tal Documento Único? Coloca em um desses "pedaço de plástico com chip" o seu CPF, RG, CNH, PIS, Título Eleitoral, OAB, CR*, e o que mais tiver, gera um par de chaves ( o tal certificado digital), dá isso de graça para a população e usa para tudo... Precisa de KYC? Nada, faz a autenticação usando o certificado digital do governo, procura um computador pra fazer isos se só tiver celular, depois continua usando com seu login e senha.

Eliminaria muitas fraudes, pois impede que mais de um certificado seja válido ao mesmo tempo. Perdeu o cartão? Vai num banco, no correios, algum lugar que você possa se autenticar usando a biometria e pede o cancelamento.... ele vai entrar para uma lista de certificado revogados e todo lugar onde você usou irá cancelar automaticamente os seus acessos até que você refaça a validação com outro cartão/certificado válido.

É burocrático e custoso no começo, mas depois é só ir renovando o certificado de 3 em 3 anos usando o mesmo cartão.
Numa dessas, dá até pra usar o smarthone se a segurança não for comprometida.

Minha ideia é exatamente essa que você sugeriu, explicou muito bem como funcionaria. Creio que isso vai acontecer, mas daqui a uns 20 anos. Em algum momento as coisas tem que evoluir, tudo é "crackeavel" mas quanto mais burocracia tem em algum serviço, mais brechas se abrem para que a segurança possa ser violada.

alegotardo

legendary

Activity: 2352

Merit: 1121

☢️ alegotardo™️

Quote from: Loganota on December 03, 2020, 12:22:02 PM

Quote from: sabotag3x on December 03, 2020, 12:14:47 PM

Ai basta roubar as credenciais desse "SUCPF - sistema único de cadastro de pessoa física" e abrir contas aonde bem entender..

A única solução que eu vejo é burocratizar tudo, assinatura autenticada em cartório, etc.. Não há para onde fugir.

Com um 2fa obrigatório não oferece tantos riscos assim. Do jeito que é hoje em dia é bem fácil criar uma conta com documentos roubados de outra pessoa. Mas isso é uma utopia, acho que por muitos anos vai continuar desse modo que conhecemos hoje.

Eu vejo uma forma muito mais simples.
Porque a porra do governo não faz logo o tal Documento Único? Coloca em um desses "pedaço de plástico com chip" o seu CPF, RG, CNH, PIS, Título Eleitoral, OAB, CR*, e o que mais tiver, gera um par de chaves ( o tal certificado digital), dá isso de graça para a população e usa para tudo... Precisa de KYC? Nada, faz a autenticação usando o certificado digital do governo, procura um computador pra fazer isos se só tiver celular, depois continua usando com seu login e senha.

Eliminaria muitas fraudes, pois impede que mais de um certificado seja válido ao mesmo tempo. Perdeu o cartão? Vai num banco, no correios, algum lugar que você possa se autenticar usando a biometria e pede o cancelamento.... ele vai entrar para uma lista de certificado revogados e todo lugar onde você usou irá cancelar automaticamente os seus acessos até que você refaça a validação com outro cartão/certificado válido.

É burocrático e custoso no começo, mas depois é só ir renovando o certificado de 3 em 3 anos usando o mesmo cartão.
Numa dessas, dá até pra usar o smarthone se a segurança não for comprometida.

Loganota

hero member

Activity: 1778

Merit: 882

Quote from: sabotag3x on December 03, 2020, 12:14:47 PM

Ai basta roubar as credenciais desse "SUCPF - sistema único de cadastro de pessoa física" e abrir contas aonde bem entender..

A única solução que eu vejo é burocratizar tudo, assinatura autenticada em cartório, etc.. Não há para onde fugir.

Com um 2fa obrigatório não oferece tantos riscos assim. Do jeito que é hoje em dia é bem fácil criar uma conta com documentos roubados de outra pessoa. Mas isso é uma utopia, acho que por muitos anos vai continuar desse modo que conhecemos hoje.

sabotag3x

legendary

Activity: 2688

Merit: 2297

Quote from: Loganota on December 03, 2020, 12:06:40 PM

A receita que se vire pra armazenar essa merda então, deveriam criar uma solução única de identificação já que eles ligam tanto pra isso. Criam uma solução tipo a OriginalMy ou integra o tal do cadastro Cidadão pra outros serviços utilizarem. O que ninguém merece é a cada vez que você quer criar conta em uma empresa nova ter que ficar mandando seus documentos e aumentando a chance de ter eles vazados.

Ai basta roubar as credenciais desse "SUCPF - sistema único de cadastro de pessoa física" e abrir contas aonde bem entender..

A única solução que eu vejo é burocratizar tudo, assinatura autenticada em cartório, etc.. Não há para onde fugir.

Loganota

hero member

Activity: 1778

Merit: 882

Quote from: bitmover on December 03, 2020, 11:53:01 AM

Isso nao existe.

A receita e os orgaos reguladores exigem q eles tenham um bando de dados dos clientes. (Pois ela pode fazer solicitacoes)

Esse banco de dados de clientes tb tem valor. Eles podem usar eles mesmo esse banco de dados para enviar emails, marketing, etc.

Uma vez q o banco de dados nao será deletado, existem varias formas desse banco de dados vazar:
-a exchange/servico pode ser hackeado, assim como a ledger foi.
-eles podem compartilhar os dados com parceiros
-podem vender seus dados.

Uma vez que voce mandou seus dados pela internet, documentos e tal, pode ter certeza de que esta rodando ai na nuvem em diversas copias e já é algo compartilhado por muitas empresas e pessoas, e um dia se tornará publico (se ja nao se tornou).

A receita que se vire pra armazenar essa merda então, deveriam criar uma solução única de identificação já que eles ligam tanto pra isso. Criam uma solução tipo a OriginalMy ou integra o tal do cadastro Cidadão pra outros serviços utilizarem. O que ninguém merece é a cada vez que você quer criar conta em uma empresa nova ter que ficar mandando seus documentos e aumentando a chance de ter eles vazados.

Quote from: TryNinja on December 03, 2020, 11:58:36 AM

Relaxa que mesmo sem fazer KYC em exchange online seus dados acabam nas mãos de terceiros.

...

Não tem pra onde correr, por isso eu queria uma solução central onde eu pelo menos não precisaria ficar enviando a mesma coisa pra cada empresa diferente. Pelo menos perdemos menos tempo.

TryNinja

legendary

Activity: 2758

Merit: 6830

Relaxa que mesmo sem fazer KYC em exchange online seus dados acabam nas mãos de terceiros.

A última foi do governo, que deixou login e senha codificados em base64 na HTML da página de login: Nova falha do Ministério da Saúde expõe dados pessoais de mais de 200 milhões de brasileiros Cheesy

Além do mais, como eu disse antes, o Brasil é o pais dos golpes online e clonagem de cartão. Tem tanta falha por aí que com um simples CPF, você facilmente pega os dados completos de qualquer pessoa (RG, endereço, telefone, etc...). Tem uns chats IRC por ai que é só você mandar o CPF que um bot manda tudo na hora sem esforço algum.

bitmover

legendary

Activity: 2352

Merit: 6089

bitcoindata.science

Quote from: Loganota on December 02, 2020, 11:29:27 PM

To com algumas pessoas que postaram nesse tópico aqui, não ligaria nem um pouco de verificar minha identidade se os meus dados fossem excluídos assim que a minha identificade foi verificada. Pra que manter fotos dos meus documentos, endereço, verificou? Beleza, bota lá na minha conta que sou verificado e apaga os documentos, ou eles ficam olhando todos os dias minha foto pra verificar a identidade?

\

Isso nao existe.

A receita e os orgaos reguladores exigem q eles tenham um bando de dados dos clientes. (Pois ela pode fazer solicitacoes)

Esse banco de dados de clientes tb tem valor. Eles podem usar eles mesmo esse banco de dados para enviar emails, marketing, etc.

Uma vez q o banco de dados nao será deletado, existem varias formas desse banco de dados vazar:
-a exchange/servico pode ser hackeado, assim como a ledger foi.
-eles podem compartilhar os dados com parceiros
-podem vender seus dados.

Uma vez que voce mandou seus dados pela internet, documentos e tal, pode ter certeza de que esta rodando ai na nuvem em diversas copias e já é algo compartilhado por muitas empresas e pessoas, e um dia se tornará publico (se ja nao se tornou).

Loganota

hero member

Activity: 1778

Merit: 882

Quote from: sabotag3x on December 03, 2020, 04:33:46 AM

Acho que isso poderia ajudar as fraudes.. Você molha a mão de alguém de dentro da empresa e ele marca que a sua conta é verificada mesmo sem enviar nenhum documento.. Como saber se os documentos realmente foram enviados?

Não sei muito sobre quais são as "regras" porém é o que eu penso que poderia acontecer..

Talvez uma boa alternativa fosse manter esses dados offline ao invés de usar um "servidor da Amazon", ao menos haveria menos riscos.. Parecido com a forma que armazenam BTC, em cold wallets..

Mas partindo do pressuposto que você conhece alguém dentro da empresa que você pode molhar a mão, qual a diferença pra hoje em dia? Cê pode combinar com o cara de mandar algum documento falso e o cara deixar passar, ou nem mandar nada e o cara colocar como verificado.

livecoins

member

Activity: 123

Merit: 74

Notícias Bitcoin

Esses dias fiz KYC na Binance, os caras pedem pra você fazer algumas coisas inesperadas e responder outras também que creio eu só você sabe.

Eu estava respondendo a várias perguntas quando me escuto um "qual seu signo".

Eu nem acompanho isso, nem sabia direito, chutei pq já olhei algumas vezes na vida.

Dai eu respondi bem rápido, então perguntei a menina, "e seu eu não soubesse meu signo?" Ela respondeu que então eu seria reprovado.

Mostrar o documento faz parte, mas tem outras coisas que eles pegam. Inclusive essa parte é terceirizada na maioria das vezes.

Mas com certeza tem fraude.

Esses dias abriram conta em nome de um amigo meu no C6 Bank. Como? Sei lá. Mas usaram documentos dele vazados do Inter.

sabotag3x

legendary

Activity: 2688

Merit: 2297

Quote from: Loganota on December 02, 2020, 11:29:27 PM

To com algumas pessoas que postaram nesse tópico aqui, não ligaria nem um pouco de verificar minha identidade se os meus dados fossem excluídos assim que a minha identificade foi verificada. Pra que manter fotos dos meus documentos, endereço, verificou? Beleza, bota lá na minha conta que sou verificado e apaga os documentos, ou eles ficam olhando todos os dias minha foto pra verificar a identidade?

Acho que isso poderia ajudar as fraudes.. Você molha a mão de alguém de dentro da empresa e ele marca que a sua conta é verificada mesmo sem enviar nenhum documento.. Como saber se os documentos realmente foram enviados?

Não sei muito sobre quais são as "regras" porém é o que eu penso que poderia acontecer..

Talvez uma boa alternativa fosse manter esses dados offline ao invés de usar um "servidor da Amazon", ao menos haveria menos riscos.. Parecido com a forma que armazenam BTC, em cold wallets..

Loganota

hero member

Activity: 1778

Merit: 882

To com algumas pessoas que postaram nesse tópico aqui, não ligaria nem um pouco de verificar minha identidade se os meus dados fossem excluídos assim que a minha identificade foi verificada. Pra que manter fotos dos meus documentos, endereço, verificou? Beleza, bota lá na minha conta que sou verificado e apaga os documentos, ou eles ficam olhando todos os dias minha foto pra verificar a identidade?

alegotardo

legendary

Activity: 2352

Merit: 1121

☢️ alegotardo™️

Quote from: tg88 on December 02, 2020, 02:03:07 PM

As empresas só exigem KYC devido a obrigatoriedade imposta pelos governos.

Não totalmente.
Se fosse apenas para cumprir a lei, o simples envio de documentos seria o suficiente.
Para exchanges que lidam com dinheiro fiat e onde há a possiblidade de fraude com uso indevido de um CPF, a exigência do KYC com foto dos documentos, selfie, etc seja também uma questão de segurança para a própria empresa.
Quanto mais provas eles tiverem em mãos mais fácil é para lidar futuramente em um possível processo movido contra ela.

tg88

legendary

Activity: 2492

Merit: 1429

Payment Gateway Allows Recurring Payments

Quote from: rdluffy on December 01, 2020, 08:06:55 PM

As empresas também deveriam ser totalmente responsáveis pelos dados de seus usuários, e arcar com toda e qualquer consequência que isso viria a trazer, isso deveria ser lei, quer os dados? Será totalmente responsável

A lei geral de proteção de dados pessoais (LGPD) entrou em vigor esse ano, teoricamente agora sempre que ocorrer um vazamento de dados a empresa terá obrigação de notificar os envolvidos... leis e normas que podem responsabilizar as empresas até existem, mas não existe reparação total... As empresas só exigem KYC devido a obrigatoriedade imposta pelos governos.

rdluffy

legendary

Activity: 2366

Merit: 1408

Não sei exatamente como funciona a questão da empresa ser obrigada a pedir todos os dados do usuário, em relação ao governo, porém gostaria muito que fosse tudo mais claro e responsável.
Um exemplo, a empresa que exigir KYC, poderia deletar imediatamente as informações mais delicadas, sendo apenas deixadas informações básicas no bando de dados.
As empresas também deveriam ser totalmente responsáveis pelos dados de seus usuários, e arcar com toda e qualquer consequência que isso viria a trazer, isso deveria ser lei, quer os dados? Será totalmente responsável

Os nossos dados estão em todos os lugares, e como sabermos a questão nunca é se é possível, pois é, as questões são: quando vai acontecer? e o valor dos dados compensa o valor investido para o hack?

A ideia de ter o CPF monitorado é uma boa, mas isso deveria ser algo para não nos preocuparmos

Outra ideia interessante ao meu ver seria haver um banco de dados público onde todas empresas deveriam ser obrigadas a informar quais dados possuem dos usuários, e se você entrasse, conseguiria ver todas as empresas que possuem suas informações e poderia revogar essa permissão.

Paredao

legendary

Activity: 3304

Merit: 1617

Quote from: alegotardo on December 01, 2020, 09:18:07 AM

É por motivos assim que existe os serviços de monitoramento de CPF.
Já falei em outro tópico sobre esse assunto e volto à repetir....

Não estou querendo fazer propaganda, apenas avisar à quem ainda não conhece, que existe por aí um serviço baratinho que você contrata e fica sabendo na hora quando uma empresa consultou seu CPF. Sempre que alguém for abrir uma conta, solicitar um cartão ou tomar um empréstimo, seu CPF será consultado e você recebe um aviso no celular e email.

Se aparecer algo estranho, ainda dá tempo de correr atrás da empresa e ver do que se trata, poupando muita dor de cabeça futura.

E depois, esses serviços fornecem a assessoria jurídica caso seu CPF esteja sendo usando em algum lugar ? Fico imaginando o que acontece depois do serviço alertar o cliente que o documento está sendo usado. Ou esses serviços são só de alerta. Assim como o serviço de "detetives particulares" que avisam quando o marido está sendo traído. Cheesy

alegotardo

legendary

Activity: 2352

Merit: 1121

☢️ alegotardo™️

Esse negócio de KYC eu tenho em 3 empresas relacionadas à criptos, apenas as que eu uso para converter em Reais.
Quanto mais você puder fugir dessa prática, melhor.

Quote from: TryNinja on November 30, 2020, 02:34:22 PM

Vários e vários. Nunca ouviu falar em roubo de identidade? Já conheci muita gente que descobriu meses depois que estava devendo milhares em um suposto cartão que apareceu do nada. Tongue

É por motivos assim que existe os serviços de monitoramento de CPF.
Já falei em outro tópico sobre esse assunto e volto à repetir....

Não estou querendo fazer propaganda, apenas avisar à quem ainda não conhece, que existe por aí um serviço baratinho que você contrata e fica sabendo na hora quando uma empresa consultou seu CPF. Sempre que alguém for abrir uma conta, solicitar um cartão ou tomar um empréstimo, seu CPF será consultado e você recebe um aviso no celular e email.

Se aparecer algo estranho, ainda dá tempo de correr atrás da empresa e ver do que se trata, poupando muita dor de cabeça futura.

sabotag3x

legendary

Activity: 2688

Merit: 2297

Quote from: TryNinja on November 30, 2020, 02:47:36 PM

Geralmente, as exchanges pedem: foto do RG, comprovante de residencia, selfie segurando o RG e dados completos. Do que você precisa para abrir uma conta no Banco Inter, Next ou afins? Literalmente a mesma coisa... o que impede que isso aconteça caso role um vazamento? Só por que até agora não teve, não vai acontecer? Tá faltando a exchange vazar tudo, o que é uma questão de tempo.

Raramente um banco vai te pedir uma selfie atualizada com jornal, algo escrito no papel, etc... geralmente é só foto e pronto. Coisa que está bem salva nos bancos de dados das exchanges.

Eu acredito que já tenha vazado porém nem mesmo a(s) exchange(s) sabe(m)..

Esse é um artigo de 2019:

Quote from: TryNinja on November 30, 2020, 02:47:36 PM

O Brasil é um dos paises "reis" da clonagem de cartão e fraude bancaria. Tem um mercado gigante atrás disso. Já tentei comprar muita coisa (via cartão) que não aceitava usuários Brasileiros por causa desse preconceito.

Então estamos protegidos Grin

Quote from: bitmover on November 30, 2020, 02:54:24 PM

Cara, nessas altcoins que sao SCAMS abertos e pegam até passaporte dos outros pra dar airdrop...

Ah, ai é golpe mesmo.. porém imagino que o intuito é conseguir acesso a contas de exchanges (já criadas), e-mails, etc, e tentar roubar algo..

Quote from: bitmover on November 30, 2020, 02:54:24 PM

Eles podem até fazer um passaporte falso com seu nome e dar pra um terrorista usar.

Mais fácil o cara ser preso usando o meu nome do que o dele Roll Eyes

bitmover

legendary

Activity: 2352

Merit: 6089

bitcoindata.science

Quote from: sabotag3x on November 30, 2020, 02:28:42 PM

Em termos de AML? Acredito que não.. O cara rouba os dados do meu KYC e vai fazer o que? Vender BTC por BRL e depositar na minha conta? Ir até uma agência bancária e criar uma conta no meu nome para então usá-la? Logo ali, onde é cheio de câmeras? Acho difícil..

Cara, nessas altcoins que sao SCAMS abertos e pegam até passaporte dos outros pra dar airdrop...
Eles podem até fazer um passaporte falso com seu nome e dar pra um terrorista usar.

Eles podem abrir contas no seu nome e usar para lavar dinheiro, coisas assim.
É improvavel? Bastante. É possível? Sim.

Quote from: TryNinja on November 30, 2020, 01:21:22 PM

Quote from: bitmover on November 30, 2020, 10:33:38 AM

Infelizmente nao usei esse servico quadno registrei meu dominio.

É só transferir o domínio para eles.

Mas isso nao adianta absolutamente nada.
O domínio já está linkado ao meu nome. Nao da pra deslinkar.

Certamente existem pessoas com bancos de dados com todos os nomes registrados nesses Whois Guard e meu nome já está lá.

TryNinja

legendary

Activity: 2758

Merit: 6830

Quote from: sabotag3x on November 30, 2020, 02:45:41 PM

Por conta desses KYC de exchanges?

Geralmente, as exchanges pedem: foto do RG, comprovante de residencia, selfie segurando o RG e dados completos. Do que você precisa para abrir uma conta no Banco Inter, Next ou afins? Literalmente a mesma coisa... o que impede que isso aconteça caso role um vazamento? Só por que até agora não teve, não vai acontecer? Tá faltando a exchange vazar tudo, o que é uma questão de tempo.

Raramente um banco vai te pedir uma selfie atualizada com jornal, algo escrito no papel, etc... geralmente é só foto e pronto. Coisa que está bem salva nos bancos de dados das exchanges.

O Brasil é um dos paises "reis" da clonagem de cartão e fraude bancaria. Tem um mercado gigante por trás disso. Já tentei comprar muita coisa (via cartão) que não aceitava usuários Brasileiros por causa desse preconceito.

sabotag3x

legendary

Activity: 2688

Merit: 2297

Quote from: TryNinja on November 30, 2020, 02:34:22 PM

Vários e vários. Nunca ouviu falar em roubo de identidade? Já conheci muita gente que descobriu meses depois que estava devendo milhares em um suposto cartão que apareceu do nada. Tongue

Por conta desses KYC de exchanges?

Outro ponto é que uma "Binance" deve ter dados de milhares de pessoas, tem que ser um pouco azarado também em ser o escolhido..

Quote from: Paredao on November 30, 2020, 02:35:30 PM

Em países como o Brasil que é cheio de burocracia realmente não afeta muito, mas imagine países onde você pode fazer praticamente tudo a distância ? Tem país que você consegue abrir uma empresa pelo aplicativo ou por telefone. Imagina a confusão que isso possa dar.

Poderiam requisitar que o usuário tirasse a foto do seu documento próximo a um jornal do dia por exemplo.. Assim, essas fotos de documentos se tornariam inúteis logo no dia seguinte..

Fora essas fotos ai, o resto é bem fácil conseguir (RG, CNH, CPF, etc) pois o governo não cuida muito bem de nossos dados..

Manda essa pro KYC:

Topic: KYC e o paradoxo do seu incentivo à fraude das identidades (Read 439 times)