1 poin oleh GN⁺ 2023-11-12 | 1 komentar | Bagikan ke WhatsApp
  • Akun Experian dapat diambil alih dengan mendaftar ulang menggunakan informasi pribadi yang sama dan alamat email berbeda; masalah autentikasi yang terungkap pada 2022 masih ada 16 bulan kemudian
  • Pendaftaran ulang dilakukan dengan Social Security number, tanggal lahir, nama, alamat, email, kata sandi, dan pertanyaan keamanan berbasis pengetahuan; verifikasi ponsel dapat dilewati dengan “Continue another way”
  • Setelah akun baru dibuat, pengguna dapat melihat seluruh file kredit serta mengaktifkan atau menonaktifkan pembekuan kredit; email lama hanya menerima pemberitahuan perubahan, bukan permintaan persetujuan
  • Equifax dan TransUnion meminta verifikasi kode melalui email atau nomor telepon terdaftar saat akun lama diubah, tetapi Experian tidak menyediakan persetujuan perubahan atau sarana pemulihan bagi pengguna lama
  • Jika penyerang dapat membuat ulang akun dengan nomor telepon dan email baru, autentikasi multifaktor saat login saja sulit mencegah pengambilalihan akun

Akun Experian yang dapat dibuat ulang dengan email berbeda

  • Pada musim panas 2022, ditemukan kasus akun Experian diambil alih setelah didaftarkan ulang dengan alamat email berbeda
  • Enam belas bulan kemudian, masalah yang sama masih ada, dan akun Experian milik Krebs sendiri baru-baru ini juga telah diambil alih
  • Ia meminta salinan file kredit Experian melalui annualcreditreport.com, tetapi Experian menolak memberikannya dengan alasan tidak dapat memverifikasi identitasnya
  • Login langsung ke Experian.com juga gagal, dan situs menampilkan bahwa nama pengguna atau kata sandi tidak dikenali
  • Dalam proses permintaan nama pengguna, diperlukan Social Security number lengkap dan tanggal lahir; setelah itu ditampilkan sebagian alamat email yang tidak disetujui atau tidak diketahui Krebs

Kelemahan autentikasi yang terlihat dalam proses pendaftaran ulang

  • Beranda Experian meminta Social Security number dan nomor ponsel, serta menyatakan bahwa tautan verifikasi identitas akan dikirim
  • Situs web tampaknya tidak memblokir meski diisi dengan nomor telepon sembarang di Amerika Serikat, dan langkah ini dapat dilewati dengan memilih “Continue another way”
  • Setelah itu, pembuatan ulang akun meminta informasi berikut
    • Nama lengkap
    • Alamat
    • Tanggal lahir
    • Social Security number
    • Alamat email
    • Kata sandi pilihan
  • Pada langkah berikutnya, pengguna harus menjawab 3–5 pertanyaan keamanan pilihan ganda, yang jawabannya sering kali berbasis catatan publik
  • Saat Krebs membuat ulang akunnya, dari 5 pertanyaan hanya 2 yang berkaitan dengan informasi sebenarnya, dan keduanya menanyakan alamat tempat tinggal sebelumnya
  • Setelah lolos pertanyaan pilihan ganda, pengguna diminta menetapkan PIN 4 digit dan jawaban baru untuk salah satu pertanyaan yang telah ditentukan
  • Setelah akun baru dibuat, pengguna dapat masuk ke dasbor Experian, tempat seluruh file kredit dapat dilihat dan pembekuan kredit dapat diaktifkan atau dinonaktifkan

Yang tersisa bagi pengguna lama hanyalah pemberitahuan perubahan

  • Ketika data akun berubah, Experian mengirim pesan ke alamat email lama bahwa sebagian profil pengguna telah diubah
  • Pesan ini bukan permintaan konfirmasi, melainkan sekadar pemberitahuan perubahan, dan tindakan yang diberikan kepada pengguna lama hanya mengeklik tautan login Experian.com
  • Pengguna lama yang menerima pemberitahuan tidak lagi dapat login dengan kredensial akun Experian lama mereka
  • PIN dan pertanyaan pemulihan akun juga sudah diubah, sehingga untuk mengambil kembali akun, pengguna lama harus membuat akun lagi di Experian
  • Equifax dan TransUnion hanya mengizinkan perubahan pada akun lama setelah pengguna memasukkan kode yang dikirim ke alamat email atau nomor telepon terdaftar

Tanggapan Experian dan kasus verifikasi dari pembaca

  • Experian menolak membagikan alamat email lengkap yang ditambahkan tanpa izin ke file kredit Krebs
  • Juru bicara Experian Scott Anderson mengatakan perusahaan telah menerapkan dan terus mengembangkan pendekatan keamanan berlapis, termasuk langkah manual dan aktif, untuk melindungi identitas dan informasi konsumen
  • Menurut Anderson, langkah tersebut mencakup pertanyaan dan jawaban berbasis pengetahuan serta prosedur verifikasi kepemilikan dan penguasaan perangkat
  • Semua konsumen dapat mengaktifkan autentikasi multifaktor yang diminta setiap kali login ke akun, tetapi efektivitasnya terbatas jika akun dapat dibuat ulang dengan nomor telepon dan email baru
  • Pembaca yang melihat posting terkait Experian di Mastodon juga mengonfirmasi masalah yang sama
    • @Jackerbee mengatakan ia memasukkan nomor telepon kedua dan alamat email baru; email lama hanya menerima satu email bahwa informasi telah diperbarui, tanpa verifikasi email lama
    • Tidak ada notifikasi SMS ke nomor telepon lama, dan setelah itu 2FA saat login berjalan melalui nomor telepon baru
    • PeteMayo membuat ulang akun Experian dua kali pada minggu yang sama, dan pada percobaan kedua memasukkan nomor telepon rumah acak
    • Dalam kasus PeteMayo, setelah muncul 5 pertanyaan tentang riwayat pribadi, akses penuh diberikan bersama pesan “Welcome back, Pete!”

Insiden keamanan Experian yang berulang

  • Pengambil alih akun Krebs tidak mencabut pembekuan kredit, atau jika sempat mencabutnya, ia telah membekukannya kembali
  • Jika Experian tidak mengubah prosedur autentikasinya, akun Experian milik Krebs dapat diambil alih lagi
  • Di Experian, insiden terkait kelemahan autentikasi dasar juga pernah berulang sebelumnya
    • Pada Desember 2022, ditemukan metode bypass yang memungkinkan akses ke laporan kredit lengkap konsumen hanya dengan nama, alamat, tanggal lahir, dan Social Security number; Experian mengakui celah tersebut berlangsung hampir 7 minggu, dari 9 November hingga 26 Desember 2022
    • Pada April 2021, autentikasi halaman pencarian PIN Experian yang lemah memungkinkan pencuri identitas mencabut pembekuan file kredit konsumen
    • Pada bulan yang sama, terungkap kasus API Experian yang mengekspos skor kredit sebagian besar warga Amerika Serikat
  • Kasus-kasus sebelumnya yang terkait mencakup gugatan kelompok keamanan akun pada 2022, kebocoran PIN pembekuan kredit pada 2017, pelanggaran terhadap 15 juta pelanggan pada 2015, pemberian akses ke 200 juta catatan konsumen pada 2014, serta penjualan data konsumen ke layanan pencurian identitas pada 2013

1 komentar

 
GN⁺ 2023-11-12
Komentar Hacker News
  • Masalah mendasarnya di sini adalah biaya menjaga keamanan itu besar, dan kadang lebih murah menangani akibatnya setelah diretas
    Satu-satunya solusi adalah membuat perusahaan yang diretas membayar biaya yang sangat besar lewat denda dan gugatan dari korban pencurian identitas

    • Biayanya tidak sebesar itu
      Dengan beberapa sen per permintaan laporan kredit, bisa digunakan autentikasi berbasis pengetahuan, misalnya “pernah tinggal di mana”, “apakah merchant ini milik Anda”, dan semacamnya
      Verifikasi identitas berbasis kredensial pemerintah seperti ID.me atau Stripe Identity juga sekitar 1,50–2,00 dolar per percobaan
      Masalahnya, karena beban kerugian akibat penipuan dialihkan ke konsumen, tidak ada insentif untuk sedikit menambah biaya demi mengurangi penipuan, dan biro kredit juga tidak ingin parit pertahanan bisnis serta sumber pendapatannya tergerus
      Singkatnya, kalau ada sistem identitas digital nasional yang lebih baik, masalah ini akan hilang
      Saya menangani IAM pelanggan termasuk verifikasi identitas di fintech, dan sebagai aktivis warga juga ikut mengerjakan sebagian hal terkait Login.gov
    • Pernyataan “menjaga keamanan itu mahal” mungkin ada benarnya sampai batas tertentu, tetapi jika seluruh bisnis Anda adalah memberikan jaminan berdasarkan identitas orang, seharusnya Anda berusaha jauh lebih keras untuk membuat layanan itu lebih aman
      Jika terlalu mahal untuk dioperasikan dengan aman, maka yang perlu dipertanyakan lebih dulu adalah apakah layanan seperti itu memang layak ada, dan apakah mereka pantas menyimpan begitu banyak informasi pribadi dan privat
    • Menarik bahwa masalah verifikasi identitas dengan SSN ini tidak termasuk dalam yurisdiksi GDPR
      GDPR dapat mengenakan denda hingga 4% dari pendapatan global
  • Tentu saja kita bukan pelanggan perusahaan pengawasan seperti ini
    Namun tetap mengejutkan bahwa tingkat keamanannya nyaris tidak ada sama sekali, tetapi bagi pelanggan sebenarnya hal itu bukan alasan untuk menghentikan transaksi
    Jika layanan ini pada dasarnya memungkinkan siapa pun menyamar sebagai siapa pun, saya tidak mengerti apa alasan untuk menggunakannya

    • Akun-akun ini bukan untuk orang-orang yang membayar Experian
      Perusahaan membayar Experian untuk mengakses informasi tentang individu, dan satu-satunya alasan Experian mengizinkan akun individu adalah karena secara hukum mereka wajib menyediakan hal-hal seperti pembekuan kredit atau laporan kredit tahunan
      Jika tidak diwajibkan, mereka sama sekali tidak akan melakukannya, dan tidak ada insentif apa pun untuk meningkatkan pengalaman maupun keamanan
    • Tujuannya adalah memperoleh plausible deniability, agar risiko besar berupa pencurian identitas sebisa mungkin dialihkan kepada konsumen, bukan perusahaan
    • Jika pencurian identitas menjadi begitu umum hingga datanya secara statistik tidak lagi dapat dipercaya, pada saat itu bahkan Kongres pun sudah lama melewati titik ketika mereka seharusnya merasa perlu melakukan sesuatu
    • Apakah memang ada pilihan? Di tempat saya tinggal, saya tidak bisa keluar dari Experian atau layanan penilaian kredit lainnya
    • Data pribadi juga membutuhkan undang-undang seperti HIPAA
  • Jika mundur selangkah dan melihat keseluruhan situasinya, masalah sebenarnya adalah ketiadaan undang-undang privasi
    Bank, perusahaan, dan pemberi kerja seharusnya dilarang membagikan informasi pribadi kepada pihak ketiga
    Di Swiss, tempat saya tinggal, memang demikian, dan bahkan pemerintah pun tidak mendapatkan informasi ini
    Jika pemerintah mencurigai penggelapan pajak, mereka harus mendapatkan surat perintah dan mengikuti prosedur yang sama seperti kejahatan lain
    Catatan keuangan yang dapat diakses hanyalah catatan prosedur penagihan utang yang sah, yaitu “Betreibungen”
    Sebelum memberikan kredit kepada seseorang, Anda bisa memeriksa apakah orang lain sampai harus menggugat untuk menagih uang darinya
    Namun tanpa biro kredit pun, semuanya berjalan baik hanya dengan informasi yang sangat sedikit seperti ini
    Hanya saja, karena tekanan internasional seperti FATCA, hukum Swiss berubah sehingga bank harus melaporkan pelanggan internasional

    • Pernyataan “semuanya berjalan baik” jelas pasti bagus bagi orang-orang seperti diktator dan pengemplang pajak
      Swiss adalah contoh bagus mengapa privasi finansial total tidak adil bagi pembayar pajak biasa
      Karena itu memungkinkan orang-orang superkaya menyembunyikan pajak yang seharusnya mereka bayar
    • Masalah ini tampaknya akan terselesaikan jika nomor jaminan sosial tidak diperlakukan seolah-olah merupakan pengganti serius bagi kartu identitas nasional yang aman
    • Saya penasaran bagaimana privasi finansial dan hukum pelaporan kredit di Swiss berbeda dari negara-negara UE
      Ada keterangan bahwa “sekitar 36% warga Swiss memiliki rumah atau apartemen, salah satu yang terendah di dunia Barat dan jauh lebih rendah dibanding rata-rata Uni Eropa 70% serta AS 67%”
      Tentu ada banyak faktor, tetapi jika informasi tentang kelayakan kredit lebih sedikit, rasanya orang akan kurang agresif dalam membiayai pembelian besar seseorang
      [1] https://www.nytimes.com/2023/11/06/realestate/zurich-switzer...
    • Benar sekali
      Perusahaan tempat saya bekerja, yang tidak akan saya sebut namanya, adalah FAANG, dan ketika perusahaan ini membeli data lalu menerima cookie Experian, data itu digunakan untuk pelacakan dan pembuatan graph yang lebih baik
      AS terus mengatakan peduli pada privasi warganya, tetapi kenyataannya tidak
      Jika undang-undang privasi ditegakkan dengan kuat, tampaknya dampaknya juga akan terasa di hal-hal seperti rekening bank, karena big tech berada di jajaran atas 500 saham terbesar
  • Ada petisi Resistbot yang dibuat agar para pembuat undang-undang melihat masalah ini
    https://resist.bot/petitions/PONADR

    • Saya bukan orang Amerika dan baru melihat ini, tetapi jangkauannya tampak terbatas
      https://resist.bot/petitions
      Di Jerman, misalnya, ada Campact, dan biasanya satu petisi mendapatkan lebih dari 200 ribu tanda tangan
      Jika hal seperti ini tidak ada di AS, menurut saya seseorang yang punya uang perlu membuatnya, atau mempromosikan solusi yang sudah ada seperti OpenPetition kepada cukup banyak penanda tangan rutin
      https://en.wikipedia.org/wiki/Campact
  • Jika ada tiga lembaga pemeringkat kredit, adakah cara agar kita bisa menghindari memiliki skor kredit di salah satunya?
    Menurut saya, sebagai konsumen, itu bisa menjadi cara untuk meningkatkan persaingan di bidang ini
    Saya sudah mencari, tetapi tampaknya tidak ada opsi yang mudah

    • Tidak ada cara untuk keluar dari pelaporan kredit
      Karena pemberi pinjaman biasanya melaporkan informasi ke ketiga lembaga pemeringkat kredit besar, agar tidak ada informasi yang dilaporkan sama sekali, kamu harus menutup semua kartu kredit dan pinjaman, lalu membekukan laporan kreditmu
      Sepertinya “peningkatan persaingan” tidak akan berhasil di sini
      Kita bukan pelanggan lembaga pemeringkat kredit, melainkan produknya; pelanggannya adalah pemberi pinjaman dan pihak lain yang membutuhkan informasi kita
      Dari sudut pandang pemberi pinjaman, struktur ini berjalan baik, karena tanggung jawab untuk memverifikasi identitas pemohon secara akurat sebelum memberikan kredit tidak berada pada pemberi pinjaman, melainkan dialihkan sebagai beban “pencurian identitas” kepada masyarakat perorangan
      Istilah “pencurian identitas” itu sendiri nyaris merupakan penamaan keliru yang dibuat untuk melemparkan tanggung jawab kepada individu
      Idealnya, tanggung jawab untuk mencegah penjahat menyalahgunakan informasi saya, dan untuk memperbaiki keadaan ketika penjahat mencoba menggunakan informasi saya secara curang, harus berada pada pemberi pinjaman
      Solusi yang lebih baik adalah menaikkan standar verifikasi identitas pemberi pinjaman
      Dengan begitu, beban untuk benar-benar memastikan identitas sebelum memberikan kredit berpindah ke pemberi pinjaman
      Sebagian pemberi pinjaman memang memeriksa dengan cukup baik, tetapi yang lain tampaknya menerima informasi yang diberikan tanpa sikap kritis
      Standar tinggi di seluruh industri, baik sukarela maupun diwajibkan oleh hukum, akan membantu menyelesaikan masalah ini
    • Perubahan seperti ini sepertinya memang harus terjadi
      Lembaga pemeringkat kredit beroperasi seperti perusahaan utilitas publik swasta dengan sangat sedikit pilihan
      Kalau ini seperti aplikasi pengelola kata sandi, kita bisa menilai beberapa perusahaan, memilih yang kita mau, lalu pindah kapan saja jika muncul masalah
    • Masalahnya adalah kita bukan konsumennya
      Mereka menerima data kita dari semua perusahaan tempat kita bertransaksi
      Kita harus mengidentifikasi satu per satu semua mata rantai yang terkait dengan lembaga pemeringkat kredit
      Mungkin kalau tidak pernah membuat kartu kredit dan tidak pernah mengambil pinjaman, kita bisa agak terlindungi dari “penyelidikan” mereka
    • Perusahaan-perusahaan melaporkan data kepada mereka
      Jadi kamu harus menghindari perusahaan yang melapor ke salah satu lembaga, tetapi biasanya mereka melapor ke beberapa lembaga sekaligus
    • Sebagai konsumen, itu tidak mungkin
      Kalau sebagai perusahaan, kamu bisa melapor ke lembaga yang kamu inginkan
  • Beberapa hari lalu saya membuat profil dan mencoba login untuk melihat apa yang terjadi di akun saya, tetapi situsnya begitu rusak sampai saya bahkan tidak bisa login
    Kalau saya saja tidak bisa menjadi diri saya sendiri, saya tidak paham bagaimana orang lain bisa menyamar sebagai saya

    • Untuk menyamar sebagai dirimu, cukup melewati kanal yang dipakai pelanggan Experian
      Yang kamu pakai bukan kanal untuk pelanggan Experian, melainkan kanal yang dipakai orang-orang yang menjadi beban bagi Experian
  • Dalam beberapa minggu terakhir, saya menerima tak terhitung email konfirmasi pembelian dari peritel besar seperti Casas Bahia, Americanas, dan Magazine Luiza
    Nama dan CPF saya tercantum pada tagihan beberapa smartphone dan laptop
    Saya sudah menghubungi semua peritel, tetapi hanya Magazine Luiza yang tampaknya mengakui penipuan dan menerbitkan peringatan, namun saya masih terus menerima tagihan
    Saya menghubungi polisi setempat dan mendapatkan boletim de ocorrência; saya tidak tahu bagaimana menerjemahkannya, tetapi itu adalah dokumen yang menjelaskan masalah dan situasi bahwa saya tidak dapat mengambil langkah penanganan
    Saya sangat cemas akan dampak susulan dari hal ini, dan merasa benar-benar tidak berdaya dalam melindungi identitas saya

    • Saya pernah mengalami situasi serupa, dan menurut saya kamu sekarang berada di jalur yang benar
      Coba hubungi ombudsman masing-masing perusahaan, yaitu ouvidoria, dan jelaskan situasinya
      Sekalipun mereka tidak benar-benar menyelesaikan masalah, akan ada catatan bahwa kamu berupaya menyelesaikannya secara baik-baik
      Dalam skenario terburuk, peritel bisa menyerahkan tagihan penipuan itu ke agen penagihan dan melaporkannya ke lembaga pemeringkat kredit
      Jangan pernah membayar satu sen pun untuk utang penipuan ini, dan jangan bernegosiasi
      Karena ini penipuan, satu-satunya opsi adalah utangnya hilang
      Uang yang dipertaruhkan adalah uang mereka, dan jika kamu membayar, tanggung jawabnya berpindah kepadamu
      Karena kamu sudah punya Boletim de Ocorrência dan bukti kontak dengan perusahaan, seperti nomor laporan dan tanggal, jika itu masuk ke lembaga pemeringkat kredit, kamu bisa menggugat dan menuntut ganti rugi
      Ini gugatan sederhana dan umum yang baik lembaga pemeringkat kredit maupun peritel akan ingin selesaikan lewat kesepakatan
      Mereka sudah membuang waktumu, jadi buat mereka membayar akibatnya
      Mereka tidak punya bukti bahwa kamulah yang melakukan transaksi itu
      Dan jika peritel, bank, serta perusahaan kartu kredit benar-benar ingin menghindari penipuan, semua pembelian dan pendaftaran akan membutuhkan perlindungan setingkat transaksi properti
      Akan dibutuhkan tanda tangan, pertemuan tatap muka, uang muka, bank, pengacara, notaris, hingga tanda tangan kriptografis; e-CPF juga ada, tetapi tidak ada yang memakainya
      Namun pencegahan penipuan 100% berarti friksi, dan peritel normal tidak menyukai friksi
      Pada akhirnya itu adalah keputusan bisnis mereka, dan mereka menerima risikonya agar lebih mudah menerima uang
    • Bagaimana penipuan ini bekerja? Apakah caranya membeli barang lalu memberikan identitas orang acak—yaitu informasi identitas kamu—kepada penjual?
  • Dalam sebagian besar konteks, memberikan informasi palsu dengan cara yang merugikan seseorang adalah fitnah atau pencemaran nama baik
    Kita perlu meninjau kembali apakah pelaporan kredit layak mendapat pengecualian dari tanggung jawab semacam itu, dan dalam kondisi apa pengecualian itu seharusnya berlaku

    • Benar
      Jika lembaga pemeringkat kredit menyampaikan informasi palsu tentang kita kepada pemberi pinjaman sehingga kita tidak mendapatkan pinjaman atau harus membayar bunga lebih tinggi dari yang semestinya, kita seharusnya bisa menang dalam gugatan ganti rugi finansial
      Tidak semestinya penting apakah mereka tahu itu palsu atau tidak
      Karena entah itu kelalaian atau niat jahat, kerugian tetap terjadi
    • Secara praktik, cara kerja mereka lebih seperti “perusahaan X memberi tahu saya bahwa orang bernama Y punya akun”
      Untuk orang yang bukan figur publik, pencemaran nama baik mensyaratkan setidaknya ada kelalaian dalam pengecekan fakta
      Artinya, kelalaian baru terjadi jika ada pengetahuan yang wajar untuk meyakini bahwa informasi itu palsu
      Jika kamu melaporkan kepada lembaga pemeringkat kredit bahwa akun itu penipuan, itu sama saja memberi tahu mereka bahwa akun tersebut sebenarnya bukan milikmu; dan jika mereka menghapus akun itu dari laporan, mereka terbebas dari tanggung jawab menyebarkan informasi yang mencemarkan nama baik seperti itu di masa depan
  • Minggu lalu saya menerima pemberitahuan kebocoran data dua kali
    Salah satunya dari penyedia layanan kesehatan saya, satu lagi dari bank yang memegang KPR saya
    Keduanya menyuruh saya mengunci kredit dan menawarkan pemantauan kredit gratis selama 1 tahun
    Ini sangat tidak memadai, jadi menurut saya perlu ada lebih banyak regulasi di bidang ini
    Seharusnya disediakan pemantauan kredit seumur hidup, asuransi penuh atas semua penipuan finansial yang terjadi atas nama saya, serta ganti rugi taksiran secara langsung
    Akar masalahnya adalah sistem identitas di AS berantakan
    Tidak ada pembedaan antara pengenal unik, yaitu SSN, dan nilai rahasia, yang juga SSN
    Semua pertanyaan keamanan lainnya pada akhirnya hanyalah variasi dari faktor autentikasi yang sama, yaitu “sesuatu yang diketahui”, yang mudah didapat oleh penipu
    Secara harfiah tidak ada cara yang disepakati untuk membuktikan bahwa kamu benar-benar kamu
    DMV harus mulai menerbitkan kartu identitas yang fisik sekaligus memiliki fungsi digital, seperti kartu kredit
    Kita membutuhkan sesuatu seperti Apple Pay atau Android Pay untuk verifikasi identitas online, dan bank harus diwajibkan mendukung identitas digital
    Selain itu, harus ada penegakan yang keras terhadap orang yang menyalahgunakan identitas digital
    Menurut saya, akibat mengabaikan masalah ini, setidaknya puluhan miliar dolar PDB hilang setiap tahun karena penipuan
    Yang lebih penting, status kita sebagai negara hukum perlahan-lahan terkikis

    • Masalah dengan gagasan bahwa DMV harus menerbitkan identitas fisik dengan fungsi digital adalah adanya kelompok yang sangat vokal yang memandang hal semacam itu mulai dari campur tangan pemerintah yang berlebihan hingga secara harfiah sebagai tanda iblis
      Penerbitannya sendiri juga sulit, dan negara bagian yang biasanya menutup TPS di wilayah kelas pekerja serta memangkas anggaran DMV akan melawan habis-habisan cara penerapan yang harus gratis untuk semua orang
    • Bagaimana semua ini bisa bekerja secara ajaib secara online?
      Jawabannya adalah harus ada semacam nilai rahasia digital yang diberikan untuk memberi akses, seperti saat ini kita memberikan SSN
      Maka nilai rahasia digital itu akan berada di tempat-tempat online yang sama seperti SSN sekarang, dan rentan terhadap jenis peretasan yang sama
      Saya tidak mengerti apa yang diperbaiki oleh ini
  • Saya mengikuti saran artikel dan membuat akun agar orang lain tidak bisa mendaftarkannya, lalu tampaknya saya otomatis terdaftar ke rekening giro digital
    Saya sama sekali tidak menginginkan hal seperti ini