Øjenspion: IRS kræver ansigtsgenkendelse for at se selvangivelser

US Internal Revenue Service (IRS) har indgået partnerskab med et Virginia-baseret privat identifikationsfirma, som kræver en ansigtsgenkendelses-selfie blandt andet for at oprette eller få adgang til onlinekonti hos bureauet.

Ifølge Krebson Sikkerhed, IRS meddelte, at i sommeren 2022, den eneste måde at logge ind på irs.gov er gennem ID.me. Grundlagt af tidligere Army Rangers i 2010, har det McLean-baserede firma udviklet sig til at levere online-id-verifikationstjenester, som flere stater bruger til at hjælpe med at reducere arbejdsløshed og svindel med pandemihjælp. Virksomheden hævder at have 64 millioner brugere.

Nogle 27 stater bruger allerede ID.me til at screene for identitetstyve, der ansøger om ydelser i en andens navn, og nu slutter IRS sig til dem. Tjenesten kræver, at ansøgere leverer meget flere oplysninger, end der typisk efterspørges ved online verifikationsordninger, som f.eks. scanninger af deres kørekort eller andet offentligt udstedt id, kopier af forbrugs- eller forsikringsregninger og detaljer om deres mobiltelefontjeneste.

Når en ansøger ikke har et eller flere af ovenstående - eller hvis noget ved deres ansøgning udløser potentielle svindelmarkeringer - ID.me kan kræve en optaget, live videochat med den person, der ansøger om fordele. -KrebsonSikkerhed

Af hensyn til sin artikel gjorde Krebs sig selv til et forsøgskanin og tilmeldte sig ID.me for at beskrive den langvarige proces, der "kan kræve en betydelig investering af tid og en del tålmodighed."

Efter upload af billeder af ens kørekort, oplys udstedt ID eller pas.

Hvis dine dokumenter bliver accepteret, ID.me vil derefter bede dig om at tage en live selfie med din mobile enhed eller webcam. Det tog flere forsøg. Da min computers kamera gav et acceptabelt resultat, sagde ID.me, at det sammenlignede outputtet med billederne på mine kørekortscanninger. -KrebsonSikkerhed

Når det er accepteret, Id.me vil bede om at bekræfte dit telefonnummer - og accepterer ikke numre knyttet til voice-over-IP-tjenester såsom Skype eller Google Voice.

Krebs' ansøgning satte sig fast på "Bekræftelse af din telefon"-stadiet – hvilket førte til en videochat (og skulle genindsende andre oplysninger), som havde en estimeret ventetid på 3 timer og 27 minutter. Krebs – have interviewede ID.me's grundlægger sidste år - mailede ham og kunne tale med en kundeservicemedarbejder et minut senere "mod mine gentagne protester om, at jeg ville vente på min tur som alle andre."

For så vidt angår sikkerheden, fortalte administrerende direktør Blake Hall til Krebs sidste år, at virksomheden er "certificeret mod NIST 800-63-3 retningslinjerne for digital identitet" og "anvender flere sikkerhedslag og adskiller fuldstændigt statiske forbrugerdata knyttet til en valideret identitet fra et token, der bruges til at repræsentere denne identitet."

"Vi tager en dybtgående forsvarstilgang med opdelte netværk og bruger et meget sofistikeret krypteringsskema, så når og hvis der er et brud, er disse ting firewalled," sagde Hall. "Du bliver nødt til at kompromittere tokens i stor skala og ikke kun databasen. Vi krypterer alt det der ned til filniveau med nøgler, der roterer og udløber hver 24. time. Og når vi har verificeret dig, har vi ikke brug for disse data om dig løbende.”

Krebs mener, at ting såsom ansigtsgenkendelse for at fastslå ens identitet er et "Plant Your Flag"-øjeblik, fordi "Elsk det eller had det, ID.me vil sandsynligvis blive et af de steder, hvor amerikanere skal plante deres flag og markere deres territorium, hvis det ikke er af anden grund, end det sandsynligvis vil være nødvendigt på et tidspunkt for at styre dit forhold til den føderale regering og/eller din stat."

Læs hele historien her ...

Amerikanske regeringsorganer bruger ansigtsgenkendelsesteknologi næsten uden tilsyn

Ken Macon via Reclaim the Net, 7. juli 2021

Der er et par passende anvendelser af ansigtsgenkendelsesteknologi i hænderne på retshåndhævelsen. Disse tilfælde burde være yderst sjældne, som at opspore en bekræftet terrorist eller at lokalisere en bevæbnet og farlig mistænkt midt i en menneskemængde. Ud over ekstreme nødscenarier bør ansigtsgenkendelsesteknologi ikke bruges.

Desværre bliver det brugt af et væld af mennesker på næsten to dusin offentlige myndigheder af en lang række årsager med absolut ingen tilsyn, minimal sporing af brug og faktisk ingen regler, der beskriver, hvornår og hvordan det skal anvendes. Det er klart, at vi har et stort problem, når verdslige agenturer som IRS, FDA og USPS anvender ansigtsgenkendelsesteknologi. Hvornår var sidste gang en agent fra Food and Drug Administration gik på jagt efter terrorister?

I betragtning af IRS ser ud til at blive en del af politistaten, dette er især bekymrende.

Government Accountability Office's (GAO) indberette brugen af ​​ansigtsgenkendelse er både opsigtsvækkende og irriterende. Det viser en kombination af inkompetence og misbrug, der giver en meget farlig opskrift, især i hænderne på regeringen. Der er som udgangspunkt intet tilsyn. De bureauer, der bruger det, kan ikke holde deres historier ved lige om, hvordan de bruger det, eller endda hvilke virksomheder, de ansætter til at servicere udstyret. Det hele er fuldstændig uigennemskueligt, og ingen i Kongressen lader til at bekymre sig.

Det føderale tilsynsagentur Government Accountability Office (GAO) har udgivet en rapport om offentlige myndigheders brug af ansigtsgenkendelse. Hovedafsløringen i rapporten er, at der er ringe internt tilsyn med brugen af ​​teknologien.

Der kan ikke benægtes, at ansigtsgenkendelsesteknologi er nyttig til kriminel efterforskning. Teknologien er dog ikke perfekt, da den har en tendens til falske positiver, og implikationen kan være at sende ordenshåndhævere efter den forkerte person. Det er også generelt invasivt og fremmer en overvågningstilstand.

Private virksomheder, der leverer teknologien, som f.eks Clearview, har kun gjort ansigtsgenkendelsens ry værre.

Det kom ikke som nogen overraskelse at erfare, at efterretnings- og retshåndhævende myndigheder som FBI, DEA, ATF, TSA og Homeland ejer eller bruger ansigtsgenkendelsesteknologi. Ifølge rapporten bruger 20 agenturer teknologien, inklusive nogle, som du ikke ville forvente, såsom IRS, FDA og US Postal Service.

Måske mere bekymrende er bureauernes brug af Clearview, en privat virksomhed, der har vist sig at være uærlig og er blevet undersøgt og sagsøgt i den seneste tid. Halvdelen af ​​bureauerne har kontrakter eller har brugt Clearviews teknologi, hvilket gør det kontroversielle firma til den mest populære tredjeparts udbyder af ansigtsgenkendelse.

Rapporten fastslår, at disse agenturer bruger "statslige, lokale og ikke-statslige systemer til at støtte kriminelle efterforskninger." Agenturerne er dog ikke klar over, hvilke ikke-statslige systemer deres ansatte bruger.

"Tretten føderale agenturer har ikke kendskab til, hvilke ikke-føderale systemer med ansigtsgenkendelsesteknologi, der bruges af medarbejderne. Disse bureauer har derfor ikke fuldt ud vurderet de potentielle risici ved at bruge disse systemer, såsom risici relateret til privatliv og nøjagtighed. De fleste føderale agenturer, der rapporterede at bruge ikke-føderale systemer, ejede ikke systemer. Medarbejderne var således afhængige af systemer ejet af andre enheder, herunder ikke-føderale enheder, for at understøtte deres operationer."

Nogle bureauer var ikke engang klar over, hvor ofte deres ansatte bruger denne teknologi, og de var nødt til at foretage meningsmålinger for at finde ud af det. Afhængig af data, der er afhængig af ærlig selvrapportering, er ikke den bedste idé.

Et af agenturerne fortalte oprindeligt GAO, at det ikke bruger ikke-føderale systemer. Men "efter at have gennemført en meningsmåling, erfarede agenturet, at dets ansatte havde brugt et ikke-føderalt system til at udføre mere end 1,000 ansigtsgenkendelsessøgninger.

Disse bureauers skødesløse brug af en unøjagtig teknologi er også potentielt en overtrædelse af loven og kan resultere i, at offentligheden lærer om igangværende undersøgelser.

"Når bureauer bruger ansigtsgenkendelsesteknologi uden først at vurdere privatlivsimplikationerne og anvendeligheden af ​​privatlivskrav, er der risiko for, at de ikke overholder privatlivsrelaterede love, regler og politikker. Der er også en risiko for, at ikke-føderale systemejere deler følsomme oplysninger (f.eks. foto af en mistænkt) om en igangværende efterforskning med offentligheden eller andre.”

Læs hele historien her ...