CINGAPURA – Os indivíduos cujos números NRIC completos foram expostos na base de dados da Autoridade Reguladora Contábil e Corporativa (Acra) no início de Dezembro enfrentam potenciais riscos de segurança cibernética, uma vez que as organizações dependem frequentemente de números NRIC para recuperar informações pessoais.
Verificações do The Straits Times também descobriram que os números NRIC podem servir como uma chave para coletar informações sobre indivíduos, que podem ser usadas para golpes direcionados ou travessuras.
Especialistas em segurança cibernética alertaram que os números NRIC podem ser usados por pessoas mal-intencionadas atores para induzir as vítimas a acreditarem que são figuras de autoridade ou a cometer crimes. Os números NRIC expostos também podem ser usados para coletar mais informações sobre fraudes.
Os especialistas disseram que os riscos destacam como um número NRIC em mãos erradas pode representar riscos para os indivíduos, que precisam estar vigilantes contra fraudes, mesmo quando estão em andamento mudanças na forma como os números NRIC são usados no setor privado.
As preocupações surgem depois que os números NRIC pertencentes aos principais representantes de empresas registradas no banco de dados da Acra foram revelado por engano em seu novo portal Bizfile em 9 de dezembro. Como resultado, qualquer pessoa poderia pesquisar e visualizar livremente os números completos do NRIC de indivíduos registrados, incluindo representantes públicos de empresas – alguns dos quais também são políticos.
Acra pediu desculpas pelo incidente e desativou o recurso em 13 de dezembro, mas os especialistas disseram que os fraudadores ainda poderiam usar algoritmos simples para coletar em grande escala os números NRIC expostos durante essa janela, aumentando a ameaça de fraudes.
Acra disse que o incidente foi causado por um mal-entendido de uma mensagem interna distribuído pelo Ministério do Desenvolvimento Digital e Informação (MDDI) em algum momento de 2024, que informou as agências sobre os planos para abandonar o uso de números NRIC mascarados para melhor segurança.
Não revelou quantos números NRIC foram expostos durante o incidente.
As autoridades estão a acelerar os esforços de educação pública sobre a utilização de números NRIC e a consultar o sector privado sobre a sua utilização, disse a Ministra do Desenvolvimento Digital e Informação Josephine Teo em uma conferência de imprensa em 19 de dezembro.
Entretanto, ela instou as organizações do sector privado a deixarem de confiar nos números NRIC como prova de que uma pessoa é quem afirma ser, por exemplo para autenticar transferências de fundos.
Números NRIC vazados são uma chave para dados pessoais
As organizações ainda dependem dos números NRIC como chave para recuperar dados pessoais.
Em quiosques eletrônicos em instituições de saúde locais, verificações por ST na semana passada tive descobriu que inserir um número NRIC pode revelar o endereço registrado de seu proprietário, número de contato, registros de consultas recentes e contas médicas.
Os maus atores podem causar danos ao cancelar compromissos ou coletar receitas de forma fraudulenta, disse o especialista em segurança cibernética David Siahvice-presidente executivo do Sudeste Asiático-Austrália no Centro de Ciberespaço Estratégico + Estudos Internacionais, um grupo de reflexão com sede em Londres.
O cofundador da Privacy Ninja, Andy Prakash, disse que essas informações podem tornar os golpes mais convincentes, já que os fraudadores podem incluir mais detalhes exclusivos, como a condição médica de uma pessoa.
É improvável que os golpistas coletem essas informações em grande escala devido à presença de câmeras de segurança e à dificuldade em garantir se um indivíduo é um paciente ali, mas as informações podem ser usadas de forma direcionada e única. ataque contra indivíduos específicos, disse ele.
O Registo de Casamentos, uma base de dados nacional, permite aos utilizadores que iniciaram sessão através da ferramenta de autenticação nacional Singpass consultar quem é casado. Os usuários estão limitados a duas pesquisas gratuitas por ano.
Alguns bancos aceitam números NRIC para identificar rapidamente os clientes que precisam de ajuda para bloquear transações, como medida para impedir fraudes.
Tal característica trouxe à tona um debate sobre o equilíbrio entre segurança e conveniência, à luz de um relatório de 9 de dezembro de que os cartões de crédito de um casal foram bloqueados enquanto estavam de férias depois que um imitador usou seus números NRIC e dados pessoais para congelar suas contas.
Os bancos locais disseram que a capacidade de congelar rapidamente uma conta faz parte do seu protocolo e é uma importante medida antifraude.
Para outras solicitações, os bancos normalmente exigem que os chamadores se identifiquem inserindo seus números NRIC durante a chamada, seguidos por uma senha de uso único enviada ao telefone antes que os serviços ou informações privilegiadas sejam fornecidos.
Chamadas da ST descobriram que as transações por telefone estão limitadas a transferências de fundos entre as próprias contas do cliente no banco e não para qualquer outra pessoa, por motivos de segurança.
As seguradoras são conhecidas por bloquear documentos enviados aos clientes por meio de senhas automatizadas compostas por uma combinação da data de nascimento do cliente e do número NRIC parcial.
Bancos e seguradoras locais estão revendo o uso de números NRIC e podem mudar suas práticas em breve.
A MDDI disse à mídia em 19 de dezembro que os números NRIC completos deveriam ser usados apenas em situações que exigem verificações de autenticidade mais elevadas, como durante o check-in do hotel, consultas médicas e assinatura de uma nova linha telefônica. Eles não devem ser usados para inscrição em associações de varejo ou sorteios, entre outros cenários.
Consultor de segurança cibernética Shane Chiang do Momentum Z disse muito parte da responsabilidade recai sobre as organizações para reforçar as medidas de segurança cibernética e garantir que os NRICs sejam não é mais confiável para autenticação. Os NRIC devem ser utilizados apenas para fins de identificação, disse ele, acrescentando que a vigilância individual é vital durante esta transição.
Os indivíduos devem ativar a autenticação de dois fatores em serviços online e antecipar tentativas de phishing direcionadasque provavelmente serão mais convincentes quando mais dados pessoais forem expostos.
Chiang acrescentou: “Os indivíduos devem verificar a legitimidade das comunicações antes de partilharem mais informações pessoais ou de se envolverem com pessoas desconhecidas”.
Juntar Canal WhatsApp da ST e receba as últimas notícias e leituras obrigatórias.


















