Augenspion: IRS verlangt Gesichtserkennung, um Steuererklärungen einzusehen

Der US Internal Revenue Service (IRS) hat sich mit einer in Virginia ansässigen privaten Identifikationsfirma zusammengetan, die verlangt ein Gesichtserkennungs-Selfie unter anderem, um Online-Konten bei der Agentur anzulegen oder darauf zuzugreifen.

Laut KrebsonSecurity, gab der IRS bekannt, dass bis zum Sommer 2022 Die einzige Möglichkeit, sich bei irs.gov anzumelden, ist über ID.me. Das in McLean ansässige Unternehmen wurde 2010 von ehemaligen Army Rangers gegründet und hat sich zu einem Anbieter von Online-ID-Überprüfungsdiensten entwickelt, die mehrere Staaten nutzen, um Arbeitslosigkeit und Betrug bei der Pandemiehilfe zu reduzieren. Das Unternehmen behauptet, 64 Millionen Nutzer zu haben.

Etwa 27 Bundesstaaten verwenden ID.me bereits, um nach Identitätsdieben zu suchen, die Leistungen im Namen einer anderen Person beantragen, und jetzt schließt sich ihnen der IRS an. Der Service verlangt von den Antragstellern, dass sie viel mehr Informationen bereitstellen, als normalerweise für Online-Verifizierungssysteme erforderlich sind, wie z Scans ihres Führerscheins oder eines anderen von der Regierung ausgestellten Ausweises, Kopien von Strom- oder Versicherungsrechnungen und Details zu ihrem Mobiltelefondienst.

Wenn ein Bewerber eines oder mehrere der oben genannten Kriterien nicht erfüllt – oder wenn etwas an seiner Bewerbung potenzielle Betrugshinweise auslöst – ID.me kann einen aufgezeichneten Live-Video-Chat mit der Person verlangen, die Leistungen beantragt. -KrebsonSicherheit

Für seinen Artikel hat Krebs sich selbst zum Versuchskaninchen gemacht und sich bei ID.me angemeldet, um den langwierigen Prozess zu beschreiben, der „viel Zeit und viel Geduld erfordern kann“.

Nach dem Hochladen von Bildern des eigenen Führerscheins, staatlich ausgestellten Personalausweises oder Reisepasses.

Wenn Ihre Unterlagen akzeptiert werden, ID.me fordert Sie dann auf, ein Live-Selfie mit Ihrem Mobilgerät oder Ihrer Webcam aufzunehmen. Das hat mehrere Anläufe gebraucht. Als die Kamera meines Computers ein akzeptables Ergebnis lieferte, sagte ID.me, dass es die Ausgabe mit den Bildern auf meinen Führerschein-Scans verglich. -KrebsonSicherheit

Sobald das akzeptiert ist, Id.me wird Sie bitten, Ihre Telefonnummer zu verifizieren - und akzeptiert keine Nummern, die an Voice-over-IP-Dienste gebunden sind wie Skype oder Google Voice.

Die Bewerbung von Krebs blieb in der Phase „Bestätigung Ihres Telefons“ hängen – was zu einem Video-Chat führte (und andere Informationen erneut übermitteln musste), der eine geschätzte Wartezeit von hatte 3 Stunden und 27 Minuten. Krebs – haben interviewte den Gründer von ID.me letztes Jahr – schickte ihm eine E-Mail und konnte eine Minute später mit einem Kundendienstmitarbeiter sprechen, „gegen meine wiederholten Proteste, dass ich wie alle anderen warten wollte, bis ich an der Reihe bin.“

Soweit die Sicherheit geht, sagte CEO Blake Hall letztes Jahr zu Krebs, dass das Unternehmen „nach den NIST 800-63-3-Richtlinien für digitale Identitäten zertifiziert“ ist und „mehrere Sicherheitsebenen einsetzt und statische Verbraucherdaten, die an eine validierte Identität gebunden sind, vollständig von einem verwendeten Token trennt repräsentieren diese Identität.“

„Wir verfolgen einen Defense-in-Depth-Ansatz mit partitionierten Netzwerken und verwenden ein sehr ausgeklügeltes Verschlüsselungsschema, sodass dieses Zeug bei einer Verletzung durch eine Firewall geschützt wird“, sagte Hall. „Sie müssten die Token in großem Umfang kompromittieren und nicht nur die Datenbank. Wir verschlüsseln all diese Dinge bis auf Dateiebene mit Schlüsseln, die rotieren und alle 24 Stunden ablaufen. Und sobald wir Sie verifiziert haben, brauchen wir diese Daten über Sie nicht mehr fortlaufend.“

Krebs glaubt, dass Dinge wie die Gesichtserkennung zur Feststellung der eigenen Identität ein „Pflanzen Sie Ihre Flagge“-Moment sind, denn „Love it or hate it, ID.me wird wahrscheinlich einer der Orte werden, an denen Amerikaner ihre Flagge hissen und markieren müssen Hoheitsgebiet, und sei es aus keinem anderen Grund, als dass es wahrscheinlich irgendwann erforderlich sein wird, um Ihr Verhältnis zum Bund und/oder Ihrem Land zu verwalten.“

Lesen Sie die ganze Geschichte hier…

US-Regierungsbehörden verwenden Gesichtserkennungstechnologie fast ohne Aufsicht

Ken Macon über Reclaim the Net, 7. Juli 2021

Es gibt einige geeignete Anwendungen für die Gesichtserkennungstechnologie in den Händen der Strafverfolgungsbehörden. Diese Fälle sollten äußerst selten sein, wie das Aufspüren eines bestätigten Terroristen oder das Auffinden eines bewaffneten und gefährlichen Verdächtigen inmitten einer Menschenmenge. Über extreme Notfallszenarien hinaus sollte die Gesichtserkennungstechnologie nicht verwendet werden.

Leider wird es von einer Unmenge von Menschen in fast zwei Dutzend Regierungsbehörden aus einer Vielzahl von Gründen mit absolut keiner Aufsicht, minimaler Nachverfolgung der Verwendung und praktisch keinen Regeln verwendet, die genau festlegen, wann und wie es angewendet werden soll. Es ist klar, dass wir ein riesiges Problem haben, wenn weltliche Behörden wie IRS, FDA und USPS Gesichtserkennungstechnologie einsetzen. Wann war das letzte Mal, dass ein Agent der Food and Drug Administration nach Terroristen gesucht hat?

Unter Berücksichtigung der IRS scheint bereit zu sein, Teil des Polizeistaates zu werden, das ist besonders beunruhigend.

Das Government Accountability Office (GAO) berichten über die Nutzung der Gesichtserkennung ist sowohl erschreckend als auch ärgerlich. Es zeigt eine Kombination aus Inkompetenz und Missbrauch, die ein sehr gefährliches Rezept ergeben, insbesondere in den Händen der Regierung. Es gibt grundsätzlich keine Aufsicht. Die Agenturen, die es verwenden, können ihre Geschichten nicht offen darüber halten, wie sie es verwenden oder welche Unternehmen sie mit der Wartung der Geräte beauftragen. Es ist alles völlig undurchsichtig und niemand im Kongress scheint sich darum zu kümmern.

Die Bundesaufsichtsbehörde Government Accountability Office (GAO) hat veröffentlichte einen Bericht zum Einsatz von Gesichtserkennung durch Behörden. Die wichtigste Enthüllung in dem Bericht ist, dass es wenig interne Aufsicht über die Verwendung der Technologie gibt.

Es lässt sich nicht leugnen, dass die Gesichtserkennungstechnologie für strafrechtliche Ermittlungen nützlich ist. Die Technologie ist jedoch nicht perfekt, da sie zu Fehlalarmen neigt und dies implizieren kann Strafverfolgungsbeamte nach der falschen Person schicken. Es ist auch allgemein invasiv und fördert einen Überwachungsstaat.

Private Unternehmen, die die Technologie bereitstellen, wie z Clearview, haben den Ruf der Gesichtserkennung nur noch verschlimmert.

Es war keine Überraschung zu erfahren, dass Geheimdienste und Strafverfolgungsbehörden wie das FBI, DEA, ATF, TSA und Homeland Gesichtserkennungstechnologie besitzen oder verwenden. Dem Bericht zufolge nutzen 20 Behörden die Technologie, darunter einige, die Sie nicht erwarten würden, wie der IRS, die FDA und der US Postal Service.

Besorgniserregender ist vielleicht die Nutzung von Clearview durch die Behörden, einem privaten Unternehmen, das sich als unehrlich erwiesen hat und in der jüngeren Vergangenheit untersucht und verklagt wurde. Die Hälfte der Agenturen hat Verträge oder hat die Technologie von Clearview verwendet, was das umstrittene Unternehmen zum beliebtesten Drittanbieter von Gesichtserkennung macht.

In dem Bericht heißt es, dass diese Behörden „staatliche, lokale und nichtstaatliche Systeme zur Unterstützung strafrechtlicher Ermittlungen“ nutzen. Die Behörden wissen jedoch nicht, welche nichtstaatlichen Systeme ihre Mitarbeiter verwenden.

„Dreizehn Bundesbehörden wissen nicht, welche nicht föderalen Systeme mit Gesichtserkennungstechnologie von Mitarbeitern verwendet werden. Diese Behörden haben daher die potenziellen Risiken der Verwendung dieser Systeme, wie z. B. Risiken in Bezug auf Datenschutz und Genauigkeit, nicht vollständig bewertet. Die meisten Bundesbehörden, die angaben, nichtstaatliche Systeme zu verwenden, besaßen keine eigenen Systeme. Daher verließen sich die Mitarbeiter zur Unterstützung ihres Betriebs auf Systeme, die anderen Einrichtungen gehörten, einschließlich nichtstaatlicher Einrichtungen.“

Einige Agenturen wussten nicht einmal, wie oft ihre Mitarbeiter diese Technologie nutzen, und mussten Umfragen durchführen, um dies herauszufinden. Die Abhängigkeit von Daten, die auf ehrlichen Selbstauskünften beruhen, ist nicht die beste Idee.

Eine der Behörden teilte dem GAO ​​zunächst mit, dass sie keine nicht föderalen Systeme verwende. „Nach Durchführung einer Umfrage erfuhr die Behörde jedoch, dass ihre Mitarbeiter ein nichtstaatliches System verwendet hatten, um mehr als 1,000 Gesichtserkennungssuchen durchzuführen.

Die fahrlässige Verwendung einer ungenauen Technologie durch diese Behörden stellt ebenfalls einen potenziellen Gesetzesverstoß dar und könnte dazu führen, dass die Öffentlichkeit von laufenden Ermittlungen erfährt.

„Wenn Behörden Gesichtserkennungstechnologie verwenden, ohne zuvor die Auswirkungen auf den Datenschutz und die Anwendbarkeit von Datenschutzanforderungen zu bewerten, besteht das Risiko, dass sie sich nicht an datenschutzbezogene Gesetze, Vorschriften und Richtlinien halten. Es besteht auch das Risiko, dass nicht föderale Systembesitzer sensible Informationen (z. B. ein Foto eines Verdächtigen) über eine laufende Untersuchung mit der Öffentlichkeit oder anderen teilen.“

Lesen Sie die ganze Geschichte hier…