L’Administration des services généraux a récemment envoyé une alerte par courrier électronique aux utilisateurs de son système SAM (System for Award Management), signalant qu’une vulnérabilité en matière de sécurité exposait les noms des utilisateurs, les numéros d’identification du contribuable (TIN), les numéros d’information du partenaire marketing et le compte bancaire. informations à "utilisateurs enregistrés avec des droits d'administrateur d'entité et des droits d'enregistrement d'entité déléguée".

L'avis avertissait que "les candidats utilisant leur numéro de sécurité sociale au lieu d'un numéro d'identification fiscale pour faire des affaires avec le gouvernement fédéral pourraient courir un risque accru de vol d'identité". Un lien vers une page du site de l'agence où des utilisateurs de SAM pouvaient également trouver des informations permettant de se protéger contre le vol d'identité et les pertes financières était également fourni.

Le message, envoyé par la commissaire adjointe par intérim pour la GSA Integrated Award Environment, comportait la suggestion suivante: "Nous vous recommandons de surveiller vos comptes bancaires et d'informer immédiatement votre institution financière en cas de divergence."

La vulnérabilité de la GSA, que l’agence affirme avoir corrigée, met en évidence les risques liés à l’utilisation de votre SSN à des fins d’identification plutôt qu’à des fins fiscales et d’avantages gouvernementaux.

Qui a le droit d'exiger votre SSN?

Selon la fiche de renseignements sur les numéros de sécurité sociale du Privacy Rights Clearinghouse, la loi sur la protection de la vie privée de 1974 exige que toutes les agences locales, nationales et fédérales sollicitant votre numéro de sécurité sociale fournissent une déclaration sur le formulaire qui "explique si vous devez fournir votre numéro de sécurité sociale ou s'il est facultatif, comment le SSN sera utilisé et sous quelle autorité statutaire ou autre le numéro est demandé (5 USC 552a, note). "

Comme l'indique la fiche de renseignements, vous pouvez déposer une plainte auprès de l'agence ou de votre représentant élu au Congrès si aucune déclaration n'est fournie, mais aucune pénalité n'est spécifiée pour l'omission de fournir une telle déclaration. Le Privacy Rights Clearinghouse propose également une FAQ sur l'utilisation appropriée et inappropriée des numéros de sécurité sociale par des organisations publiques et privées.

Cameron Huddleston de Kiplinger.com énumère les 10 endroits les plus risqués pour donner votre numéro de sécurité sociale. En tête de liste se trouvent les universités et les collèges, les banques et les institutions financières et les hôpitaux. Cameron met en garde contre la communication d'informations personnelles à une personne qui vous contacte par téléphone, par courrier électronique ou en personne.

Elle note également que l'Internal Revenue Service ne demande jamais d'informations aux contribuables par courrier électronique.

Vérifiez les lois de votre état pour protéger les SSN

À la fin de 2010, le Congrès a promulgué la loi sur la protection du numéro de sécurité sociale, qui interdit aux agences gouvernementales locales, nationales et fédérales d'afficher le numéro de sécurité sociale ou tout "dérivé" du numéro sur un chèque du gouvernement. La loi restreint également l'accès des détenus aux SSN.

Votre état offre probablement un niveau de protection plus élevé pour votre SSN. Selon la campagne sur la qualité des données, 34 États ont adopté des lois limitant l'utilisation et la divulgation des numéros de sécurité sociale. Le site fournit un tableau d'état par état résumant les lois de protection SSN (PDF).

En 2005, le Government Accountability Office des États-Unis avait publié un rapport (PDF) résumant son témoignage devant le Comité des consommateurs et de la protection et le Comité des opérations gouvernementales de l’Assemblée de l’État de New York, qui traitait des lois fédérales et des États protégeant les SSN.

Le rapport concluait que les protections fédérales étaient spécifiques à l’industrie et concernaient principalement les services financiers, et qu’aucun organisme n’était responsable de la protection de nos informations personnelles. Il a également constaté que les lois nationales sur la protection des SSN étaient inégales et incohérentes.

La Division de la protection du consommateur de l'État de New York fournit des informations à connaître sur votre numéro de sécurité sociale, qui expliquent comment il est interdit aux entreprises et aux employeurs d'utiliser le SSN. De même, la page Votre numéro de sécurité sociale: Contrôler la clé du vol d’identité sur le site du procureur général de la Californie décrit les restrictions imposées par l’État concernant l’affichage des numéros de sécurité sociale et offre des conseils sur la confidentialité du numéro.

Le site de la Conférence nationale sur les assemblées législatives des États résume les lois des États relatives à la confidentialité sur Internet et inclut des liens vers les politiques de confidentialité de 16 sites Web. Vous pouvez également rechercher sur le site la législation relative à la confidentialité en attente dans votre état.

L'union des consommateurs résume les lois des États limitant l'utilisation du numéro de sécurité sociale. L'organisation a également élaboré un modèle de loi sur la protection des SSN par les États.

Ressources pour la protection des SSN

La publication n ° 05-10064 de la Social Security Administration explique comment les voleurs d'identité acquièrent et utilisent des numéros de sécurité sociale; la page propose également des conseils pour protéger votre numéro. La publication SSA n ° 05-10002 sert de FAQ sur des sujets généraux liés au SSN.

Histoires connexes

• Le FBI enquête sur la vulnérabilité des données de célébrités sur le Web
• La fraude d'identité aux États-Unis est à la hausse, rapporter
• De WarGames à Aaron Swartz: Comment la loi anti-piratage américaine s'est-elle égarée
• Ce que 420 000 périphériques non sécurisés révèlent à propos de la sécurité Web
• Moyens gratuits de protection contre le vol d'identité

Le service Ma sécurité sociale de l'agence vous permet de créer un compte en ligne pour gérer vos avantages de la sécurité sociale. Le service de vérification du numéro de sécurité sociale permet aux organisations enregistrées d'entrer des SSN afin de s'assurer que les noms de leurs employés et leurs SSN correspondent aux enregistrements de l'agence.

Le site SSA contient également une description des exigences légales pour fournir votre numéro de sécurité sociale et répertorie une chronologie des numéros de sécurité sociale couvrant la période allant de 1935 à 2005.

Le site Protect My ID d'Experian explique les étapes à suivre pour demander un nouveau SSN. Scambusters.org décrit comment les SSN sont volés et offre des conseils pour protéger le vôtre.

La page SSN du Electronic Privacy Information Center résume les développements récents concernant la sécurité des numéros de sécurité sociale. Enfin, le service de sécurité IdentityHawk explique qui peut légalement demander votre SSN.

Correction le 25 mars à 13h36. PT: À l'origine, ce billet appelait à tort la vulnérabilité de la GSA comme une "violation". L'agence a déclaré que la vulnérabilité ne résultait pas d'un piratage ou d'une violation. Voici la déclaration de la GSA à ce sujet:

"Des responsables américains de la GSA ont récemment identifié une faille de sécurité dans le System for Award Management (SAM), qui pourrait permettre à certains utilisateurs du système d'accéder à certaines informations d'enregistrement d'autres entités. Immédiatement après l'identification de la vulnérabilité, la GSA a implémenté un correctif logiciel La GSA entreprend un examen complet du système afin d’enquêter sur tout impact supplémentaire sur les personnes inscrites dans SAM.La sécurité de ces informations est une priorité absolue pour cette agence et nous continuerons à nous assurer que le système reste sécurisé. "