Topic: Onlyfake: plataforma de IA vende documentos pra KYC por R$ 75 (Read 158 times)

Mas depois, começa uma "guerra" legal pelos dados dos cidadãos.
Com 2 ou 3 empresas a querem ser as mais usadas para vender esses dados.

Enquanto hoje, as empresas que recebem o KYC apenas recebem os dados de quem quer ter o serviço deles, com essas base de dados comuns, eles passam a ter acesso a dados de todas as pessoas.

Qualquer das formas, concordo que será um pouco mais viável a informação estar concentrada em empresas especializadas, do que espalhado.
Mas, acho que a ser algo bem feito, deveria estar debaixo da esfera do Estado, porque esse é aquela instituição que voce querendo ou não, vai sempre partilhar mais dados e quem emite as documentações. Então, para que partilhar com um terceiro?

Outro dia em minhas andanças pela interweb vi que hackers estavam alugando logins de acesso a Policia Civil e Militar. Eu penso como que isso chegou a ser vazado e a ousadia de alugarem isso e ninguém perceber. Chega a ser desmoralizante pros caras.

Além disso, cadê as grandes multas prometidas pela LGPD? Até o momento só vejo vazamentos e nada pingando

Os públicos não ficam muito atrás... em 10 minutos eu encontro um grupo do Telegram onde você bota o nome, telefone, ou CPF de qualquer cidadão brasileiro e ele puxa na hora todos os dados (telefones conhecidos, endereços, cpf, rg, cnh, nome do pai e mãe... é uma festa). A maior fonte desses dados é do sistema de saúdo do país, onde credenciais são roubadas e vendidas à rodo.

Imagino que deveria ser privada e a sua adoção jamais poderia ser obrigatória.
Mas imagine a seguinte situação:
Cidadão "fulano" quer abrir uma conta bancária digital por um desses apps, então o banco fala: a partir de agora, só aceitamos cliente em que possamos realizar o KYC com base nas informações da empresa X.

Essa empresa X, que é quem faz a coleta de biometria e informações das pessoas, não vai cobrar nada do "fulano", pois o valor mais precioso dela é os dados que ela coleta... com base nesses dados ela irá vender validações para empresas interessadas.

Sobre segurança, eu acredito que é MUITO mais seguro termos elas centralizadas na empresa X, que é especialista nisso, possui trocentos protocolos de segurança (e realmente aplicam eles) do que termos que enviar documentos e selfies para tudo quanto é empresa que nos solicita KYC.
Para isso, alguma "entidade central" que pode ser pública, deve criar protocolos de segurança e realmente fiscalizar essas empresas, de forma que não seja "qualquer uma" que possa coletar nossos dados.

Agora o problema... monopólio de informações, certamente teria que ter mais do que uma ou duas empresas onde possamos fazer essa coleta de biometria, do contrário elas poderiam cobrar caro pelas validações e o custo seria inviável para muitas empresas, que simplesmente connituariam no KYC tradicional.


Concordo contigo que a maioria das informações vazadas são provenientes de órgãos públicos, mas o Serasa não é um órgão público.
De toda forma, reforço o que eu disse.... acho mais perigoso ter meus dados espalhados em várias empresas do que manter eles em uma única.

Também acredito que não seja possível, o IA colocar no documento fake a foto da pessoa real, que depois pode imprimir uma copia do documento (passaporte) e depois fazer a selfie. Em foto, fica difícil de perceber se o documento é realmente verdadeiro, principalmente numa selfie.

Nesse caso, o grande problema é que o Serasa é uma instituição privada. E também multinacional. É um conglomerado financeiro irlandês. Pena que nesse caso em questão, o governo não meteu uma bela multa em cima desse pessoal. Apesar de estar correndo na justiça processos de indenizações. No valor "extraordinario" de 15 mil reais por pessoa que tiveram os dados vazados.

Não sei se vocÊs sabem, mas o Serasa foi responsável pelo que consideram um dos maiores vazamento de dados do Brasil. Dados de 223 milhões de brasileiros, incluindo informações de pessoas já falecidas vazaram. E não foi um simples email e telefone. Foi DADO PRA CARAMBA:

Nome Completo
Nome Social
Data de nascimento
CPF
RG
Endereço
Número de telefone
Filiação
PIS
Matrícula de aluno
Estado Civil
Naturalidade
Sexo
E-mail
Históricos de Geolocalização
Número do cartão de crédito, etc.

Acho que no final as intituições publicas são os maiores provedores de dados pra deepweb de todos

Um tempo atrás vi um site no qual você coloca uma foto (sua, ou de alguma pessoa) e ele retorna outras imagem dessa mesma pessoa.. Achei o resultado incrível, ele consegue puxar umas fotos totalmente diferentes.. não sei que cálculos fazem, provavelmente distâncias/medidas das coisas (olhos, nariz, boca) na sua cara..

Dá uma olhada: https://pimeyes.com/en


Esse negócio da selfie realmente ajuda, mas para quem tem dinheiro não deve ser difícil conseguir uma identidade falsa física.

Aí a exchange pede outros documentos ou foto com selfie por conta dessa suspeita (não deve ser tão complicado identificar os fakes) e você fica com o dinheiro preso pois só o “verdadeiro dono” (que não existe) que pode sacar. Não obrigado.

Aqui no Brasil tem um sistema que já está sendo utilizado por VÁRIOS bancos, apps, serviços online, para verificar biometria facial com uma selfie/video. Você bota a cara e tem que ir aproximando para provar que não é uma imagem. Acredito que eles tenham uma forma de cruzar os dados e verificar se é você mesmo. Super rápido e prático, tudo na hora.

Bem caro. Quase ninguém iria pagar $75 para ter privacidade.

Por um lado, vejo como absurdo venderem documentos falsos e isso é crime.

Por outro, é absurdo você precisar dar seu CPF para pagar o preço certo dum remédio (desconto com cadastro), ou então para pedir um orçamento de alguma coisa, etc... hj em dia querem seus dados pra tudo. E isso é muito invasivo e imoral, além de já existir legislação contra isso. Mas ngm respeita nem fiscaliza.

Novo medo destravado !!

Sempre me questionei sobre esse processo de KYC, na verdade o fato de ter KY e logo após um C já me deixava extremamente desconfiado 

O mais certo será o modelo de KYC atual deixara de ser aceite.

Talvez o surgimento de uma API a base dados dos governos, onde é possível via NFC ou leitor de cartões, validar quem é realmente a pessoa. Ou começar a ser preciso assinar documentos digitalmente.

Isso só mostra o quão deficitário é o KYC de empresas. E escancara mais ainda um processo que era pra ser tão importante mas acaba que a validação dos dados é feito da forma mais superficial possível. Quero ver como vão se comportar as empresas para verificar isso

Todos os países tem esse sistema, porque lá esta a sequencia numérica é conhecida. Pois é a única forma mínima de validação, sem violação dos dados pessoais.

Alias, até existe esses sistema para criar números de cartão de credito equivalentes aos reais e validos, a diferença é que os níveis de segurança utilizados, permite que os mesmos não sejam validados na hora de confirma a compra. Mas, no momento que escreve no campo do CC esse numero, ele vai aceitar, porque a sequencia numérica esta correta.



Isso realmente pode ser uma solução, mas tem sérios problemas no meio disso.

A empresa é privada ou publica?
Se for privada, não podem obrigar todo o mundo a se inscrever neles. E que garantia haveria que eles não iriam usar esses dados sem autorização?
Se for publica, não podem partilhar com terceiros, para evitar violação de privacidade. Deixava de ser eficiente.

O que aconteceria se uma empresas dessas fosse hackada? Seria muito mais informação sensível roubada, do que é roubada atualmente.

Cara, isso acontece porque os processos de verificação de documentos é uma piada.
Exchanges e outros serviços online pedem documentos, selfies e videos mas não cruzam essas informações com outras fontes de dados.

Diferente de um serviço como o gov.br aqui no Brasil, por exemplo, que faz a verificação biométrica de sua foto com a que foi tirada no momento em que você esteve frente à frente com um funcionário público para coletar essa biometria.

Não sei se já existe, mas acho que seria muito interessante se houve empresas renomadas de KYC (assim como existe as big four de complience financeiro) que coletam sua biometria (da face e digitais) e os governos e empresas compram essas validações, do tipo:
Quer implementar KYC na minha empresa... a foto e dados desse cliente são dele mesmo?
O serviço não precisa retornar todas as informações que tem da pessoa, apenas um SIM ou NÃO para a validação.

Mas atualmente, no máximo o que poderemos ter é uma pessoa com dezenas de KYC para fazer diariamente (se é que fazem) e verificar se documento "parece" ser uma foto não editada e se a foto dela é correspondente à selfie do cliente.... certamente que uma IA pode enganar esse funcionário nos dias de hoje.

Esse dias mesmo, eu estava dando uma olhada nessa empresa para fornecer KYC à nossa empresa, parece ser algo bastante confiável apesar de ainda não exatamente oque eu falei: https://www.caf.io/pt

O que eu falei se assemelha à verificação de identidade que é feita, por exemplo, quando as pessoas precisam emitir um certificado digital.

Aqui no Brasil já existe esse sistema há algum tempo para gerar um número de CPF ( Cadastro de Pessoa Física da Receita Federal) aleatório. Para ter um número "real", só invadindo os bancos de dados das entidades governamentais. Daí o crime é bem maior. A malandragem vai querer comprar essas identidades falsas da onlyfakes. Agora, se o malandro for pego, vai passar um tempo na cadeia.

A questão é que os números verdadeiros de particulares raramente estão disponíveis em base de dados, para ninguém. Então, normalmente a única forma de validação é o formato do numero. Ou seja, os números dos documentos seguem determinado tipo de padrões, se esse padrão estiver correto, então alegadamente o sistema assume como verdadeiro, mesmo que esse numero não tenha sido atribuído a ninguém.

Agora, imagina se por acaso o numero bate certo com um numero que está atribuído alguém? A pessoa pode ter grandes complicações. Por roubo de identidade é algo bem complicado.

Que doideira! 

Mas e com a questão dos números dos documentos? eles devem fazer alguma pesquisa num banco de dados do governo ou algo assim para verificar que o nome e números são reais

Uma coisa é fato, agora acabam-se os mendigos e pessoas carentes de laranja e agora eles irão usar IA.

Todo dia uma noticia MALUCA envolvendo IAs.

Essa realmente me surpreendeu. A plataforma Onlyfakes oferece a criação de documentos ''falsos'' de pessoas que não existem por apenas $15/R$75. É bem curioso que as fotos vem até com ''fundo'' pra simular a foto de alguém.
Um jornalista relatou o experimento, disse que passou tranquilo pelo KYC da OKX. E o dono do site disse que passa por todas as maiores exchanges, inclusive empresas não cripto como Revolut e Wise.

Pra quem quiser ver, fiz um short sobre: https://www.youtube.com/shorts/icBodEUiZF8