A bank elvesztette a fiókadatait? Itt van, mit kell csinálni

Jashar Awan illusztrációja Június elején az AT & T online eszközzel segített a 3G 3G tulajdonosoknak a mobil Wi-Fi szolgáltatáshoz való csatlakozásra: a felhasználók a 19 jegyű sorozatszámot iPad micro-SIM-kártyája (ICC-ID) (integrált áramköri kártya azonosító), és a webhely visszaküldte az e-mail címet, amelyet a tulajdonos a regisztrálás ellenőrzésére használt. Az AT & T ezt az e-mail címet használta a webes regisztrációs űrlap bejelentkezési mezőjének betöltésére.

A Goatse Security nevű kutatócsoport észrevett egy hibát ebben az eszközben, és létrehozott egy szkriptet, amely véletlenszerűen generált és elküldött ICC-ID számokat az oldalra. Több mint 114 000 e-mail címet kaptak, köztük a Fehér Ház vezetője, Rahm Emanuel, New York polgármestere, Michael Bloomberg és más nagy horderejű iPad tulajdonosok. A Goatse Security nem kapcsolódott először az AT & T-hez, de várta, amíg a cég megváltoztatta a webhelyet, mielőtt megadta volna az e-mail címeket és sorozatszámokat egy Gawker.com szerkesztőnek, aki aztán feltárta a hibát.

Ha ilyen látszólag triviális szivárgást a jelenlegi adatszegési értesítésekre is figyelemmel? És ha igen, milyen súlyos veszélyt jelent a személyazonosság-lopás, amikor egy támadó e-mail címet és sorozatszámot kap?

[További olvasnivalók: Hogyan távolítsanak el kártékony programokat Windows számítógépről]

Breach? Milyen jogsértés?

A hatályos törvények szerint az AT & Tnek nem kellett nyilvánosságra hoznia az e-mail címek vagy sorozatszámok expozícióját. Dorothy Attwood, az AT & T legfőbb adatvédelmi tisztje, bocsánatkérést kért az iPad 3G ügyfelektől, hogy Goatse "szándékosan nagy erőfeszítéseket tett egy véletlen programmal az esetleges ICC-azonosítók kivonására és az ügyfél e-mail címek rögzítésére". Az Attwood azt is hangsúlyozta, hogy az AT & T weboldal nem vezetett közvetlenül pénzügyi vagy személyes adatokhoz.

Bár egy kitett e-mail cím még több spamet vonzana, az ICC-ID önmagában haszontalan. Nickon DePetrillo és Don A. Bailey beszámoltak a SOURCE Bostonban áprilisban arról, hogy az ICC-ID-k, mint például az AT & T által alkalmazott, használhatják a legfontosabb IMSI (International Mobile Subscriber Identity) számot minden egyes számlatulajdonos számára. Bár konkrét volt a GSM mobiltelefon-hálózat megtámadására, a DePetrillo és Bailey beszéde (lásd a prezentáció PDF-jét) azt mutatta, hogy az IMSI-k hogyan segíthetnek a fiók tulajdonosának és egyéb információinak azonosításában.

Notification Laws

As Az április 46-i államok és három amerikai területnek törvényei vannak a fogyasztók bejelentésére, akiknek információi az adatvédelmi jogsértések országos konferenciája szerint sérülhetnek. (A SIM-kártya adatainak szivárgása nem feltétlenül vonatkozik.) Alabama, Kentucky, New Mexico és Dél-Dakota még nem rendelkeznek ilyen adatkezelési törvényekkel. Nincs szövetségi értesítési törvény, de az egyik a munkákban. A 2009. évi amerikai helyreállítási és újrabefektetési törvény részeként valósult meg az egészségügyi adatszegésekre vonatkozó szövetségi törvény (lásd PDF).

A legtöbb állami törvény tükrözi a kaliforniai 2003-as SB1386 törvényt, amelyben a "személyes adatokat" definiálják mint keresztnevek és utónevek, valamint a társadalombiztosítási szám, a vezetői engedély, a számlaszám vagy a hitelkártya vagy bankkártya számának bármely kombinációja jelszóval vagy biztonsági kóddal. A titkosított személyes adatok szivárgását csak akkor kell nyilvánosságra hozni, ha bűnüldözési vizsgálatot végeztek (ebben az esetben a közzététel késhet). A titkosított adatok mentesülnek.

A kaliforniai törvény SB1166-ig tartó 2010-es felülvizsgálata olyan javításokat tartalmaz, amelyeket más államok tettek, például az értesítési levél adatmegsértési eseményének leírását, amelynek egy példányát a ügyvédi iroda.

Arm Thyself

Bár a törvény jelenleg felzárkózik, a fogyasztók maguk is intézkedhetnek. A Szövetségi Kereskedelmi Bizottságnak van egy informatív weboldala, amely megmagyarázza, hogyan védekezzen a személyazonossággal való visszaélés ellen, valamint milyen lépéseket kell tennie, ha áldozatsá válik.

Ezen túlmenően a 2003. évi Fair and Accurate Credit Transaction Act lehetővé teszi a fogyasztók számára, hogy évente egy ingyenes hiteljelentést szerezzenek mindhárom hitelintézőtől. A szakértők javasolják, hogy minden negyedik hónapban írjanak egy másik hitelfelnökséget, hogy az év folyamán mindhárom jelentést megkaphassa. Néha a három jelentésnek vannak eltérései; A FACTA megkönnyíti a fogyasztók számára a hibák megoldását.

A FACTA számos fogyasztói hiteleszközt is bevezetett. Az egyik olyan csalási figyelmeztető jelzés, amely megköveteli, hogy bárki megkérdezze vagy módosítsa a hiteljelentését, hogy először kapcsolatba lépjen veled. A figyelmeztető jelzést 90 napig frissíteni kell; Ha személyazonosság-lopás áldozata lettél, akkor rendőrségi jelentést tehetsz, és hét évig jó hírű figyelmeztető jelzést lehet szerezni.

A hitel-befagyasztás, egy drasztikusabb intézkedés, megakadályozza, hogy bárki hozzáférjen a hiteljelentéséhez anélkül, hogy feloldod. A hiteljelentés befagyasztása és feloldása díjat fizet; egyes államok lemondanak a befagyasztás költségeiről, ha személyazonosság-lopás áldozata lett és dokumentálhatja az eseményt. Az FTC webhelyen tájékoztatást kap a riasztások és a befagyások beszerzéséről.

Sem egyik eszköz sem akadályozza meg a hiteljelentés ingyenes másolatát. A jelzáloghitel-vállalatok és mások, amelyek jelenleg üzleti kapcsolatban állnak Önnel, továbbra is hozzáférhetnek a hiteltörténetéhez; csak új kérdéseket állít le hideg. Ezek az intézkedések nem akadályozzák a folyamatos személyazonosság-lopást, és nem akadályozzák meg az új fiókok létrehozását, mivel néhány új számlán nincs szükség hitel-ellenőrzésre.

Bár ezeket az eszközöket és törvényeket a hitelhez kapcsolódó adatszegések kezelésére tervezték, a személyes adatok most új és különböző formákban szivárog ki. Ha a bűnözők kitalálhatják, hogy a mobilszolgáltatók miként társítják a felhasználói fiókadatokat sorszámmal, akkor talán új és jobb meghatározásokra van szükség az adatszegés minősítéséhez. Itt az a lecke, hogy a szivárgás túl kicsi ahhoz, hogy később nagyobb fejfájást okozzon.