Bank Lost Your Account Data? Oto, co robić

Ilustracja autorstwa Jashara Awana Do początku czerwca AT & T posiadało narzędzie online, które pomagało właścicielom iPadów 3G zarejestrować się w swojej mobilnej sieci Wi-Fi: Użytkownicy wpisali 19-cyfrowy numer seryjny Karta micro-SIM iPada, znana również jako ICC-ID (identyfikator karty z układem scalonym), a strona zwróciła adres e-mail, którego użyto do weryfikacji rejestracji. AT & T użył tego adresu e-mail do wypełnienia pola logowania w formularzu rejestracyjnym sieci Web.

Grupa badaczy o nazwie Goatse Security wykryła lukę w tym narzędziu i stworzyła skrypt, który losowo generował i przekazywał numery ICC-ID do strony. Otrzymali ponad 114 000 adresów e-mail, w tym szefa sztabu Białego Domu Rahma Emanuela, burmistrza Nowego Jorku Michaela Bloomberga i innych znanych posiadaczy iPadów. Goatse Security nie kontaktował się najpierw z AT & T, ale czekali, aż firma zmieni stronę, zanim podadzą adresy e-mail i numery seryjne redaktorowi Gawker.com, który następnie ujawnił wadę.

Czy takie pozornie banalne wycieki powinny być? z zastrzeżeniem aktualnych przepisów dotyczących powiadamiania o naruszeniach danych? A jeśli tak, to jak poważne jest zagrożenie kradzieżą tożsamości, gdy atakujący uzyska adres e-mail i numer seryjny?

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Naruszenie? Co to jest naruszenie?

Zgodnie z obowiązującym prawem AT & T nie musiało ujawniać adresów e-mail ani numerów seryjnych. Dorothy Attwood, dyrektor ds. Prywatności w AT & T, w przeprosinach dla klientów iPada 3G twierdziła, że ​​Goatse "celowo dołożył wielkich starań, aby uzyskać losowy program do wyodrębnienia możliwych identyfikatorów ICC i przechwytywania adresów e-mail klientów". Attwood podkreślił również, że strona internetowa AT & T nie prowadzi bezpośrednio do informacji finansowych lub osobistych.

Chociaż odsłonięty adres e-mail może przyciągnąć więcej spamu, identyfikator ICC sam w sobie powinien być bezużyteczny. Jednak w kwietniu w SOURCE Boston, Nick DePetrillo i Don A. Bailey pokazali, jak ICC-ID, takie jak te używane przez AT & T, można wykorzystać do odgadnięcia ważniejszego numeru IMSI (International Mobile Subscriber Identity) dla każdego właściciela konta. Chociaż dotyczyło to ataku na sieć telefonii komórkowej GSM, DePetrillo i rozmowa Baileya (zobacz plik PDF z ich prezentacją) pokazały, w jaki sposób IMSI mogą pomóc ujawnić tożsamość właściciela konta i inne informacje.

Ustawy dotyczące powiadamiania

kwietnia, 46 stanów i trzech terytoriów USA mają przepisy dotyczące powiadamiania konsumentów, których informacje mogły zostać naruszone w przypadku naruszenia danych, zgodnie z krajową konferencją organów ustawodawczych. (Żadna z nich nie obejmuje w szczególności wycieków danych z karty SIM). Alabama, Kentucky, New Mexico i South Dakota nie mają jeszcze takich przepisów dotyczących powiadamiania o naruszeniach danych. Nie istnieje żadne prawo federalne w zakresie notyfikacji, ale można w nim pracować. Ustawa federalna dotycząca naruszeń danych dotyczących opieki zdrowotnej (patrz dokument PDF) stała się faktem w ramach amerykańskiej ustawy o naprawie i ponownym inwestowaniu z 2009 r.

Większość państwowych przepisów odzwierciedla ustawę SB1386 z 1995 r., W której zdefiniowano "dane osobowe". jako imię i nazwisko oraz dowolne połączenie numeru ubezpieczenia społecznego, prawa jazdy, numeru konta lub numeru karty kredytowej lub debetowej z hasłem lub kodem bezpieczeństwa. Wycieki niezakodowanych danych osobowych należy ujawnić, chyba że w ramach dochodzenia organów ścigania (w takim przypadku ujawnienie może zostać opóźnione). Zaszyfrowane dane są wyłączone.

Oczekująca wersja z 2010 r. Do kalifornijskiej ustawy, SB1166, zawiera poprawki wprowadzone przez inne państwa, takie jak opis zdarzenia naruszenia danych w liście powiadamiającym, którego kopia musi zostać przesłana do biuro prokuratora generalnego.

Uzbrój się w siebie

Chociaż prawo jest w trakcie nadrabiania zaległości, konsumenci mogą podejmować działania dla siebie. Federalna Komisja ds. Handlu posiada informacyjną witrynę, która mówi, jak chronić się przed kradzieżą tożsamości, a także, jakie kroki należy podjąć, jeśli staniesz się ofiarą.

Ponadto Ustawa o uczciwych i precyzyjnych transakcjach kredytowych z 2003 r. Umożliwia konsumentom otrzymanie jednego bezpłatnego raportu kredytowego z każdego z trzech biur kredytowych rocznie. Eksperci doradzają pisanie do innego biura informacji kredytowej co cztery miesiące, aby w ciągu roku uzyskać wszystkie trzy raporty. Czasami te trzy raporty mają rozbieżności; FACTA ułatwia konsumentom rozwiązywanie błędów.

FACTA wprowadziła także szereg narzędzi do kredytów konsumenckich. Jednym z nich jest ostrzeżenie o oszustwie, które wymaga od każdego, kto zadaje zapytanie lub zmienia raport kredytowy, aby skontaktował się z Tobą w pierwszej kolejności. Wniosek o wpis musi być aktualizowany co 90 dni; jeśli padłeś ofiarą kradzieży tożsamości, możesz złożyć raport policyjny i uzyskać przedłużony alert oszustwa, który jest dobry przez siedem lat.

Zamrożenie kredytu, bardziej drastyczny środek, uniemożliwia dostęp do twojego raportu kredytowego twoje odmrażanie. Opłata za zamrożenie i odblokowanie raportu kredytowego; niektóre stany zrzekają się kosztów zamrożenia, jeśli padłeś ofiarą kradzieży tożsamości i możesz udokumentować wydarzenie. Strona FTC zawiera informacje na temat uzyskiwania ostrzeżeń i zawieszania.

Żadne z tych narzędzi nie pozwala uzyskać bezpłatną kopię raportu kredytowego. Firmy hipoteczne i inne, które obecnie prowadzą interesy z Tobą, zachowują dostęp do historii kredytowej; tylko nowe zapytania są zatrzymywane na zimno. Środki te nie powstrzymają kradzieży tożsamości ani nie zapobiegną utworzeniu nowego konta, ponieważ niektóre nowe konta nie wymagają sprawdzenia zdolności kredytowej.

Mimo że te narzędzia i przepisy zostały opracowane w celu przeciwdziałania naruszeniom danych kredytowych, dane osobowe są teraz wycieka w nowych i różnych formach. Jeśli przestępcy mogą zgadnąć, w jaki sposób operatorzy sieci komórkowych wiążą informacje o kontach użytkowników z numerami seryjnymi, być może potrzebne są nowe i lepsze definicje tego, co kwalifikuje się jako naruszenie danych. Lekcja jest taka, że ​​żaden przeciek nie jest zbyt mały, aby później wywołać poważne bóle głowy.