Τράπεζα έχασε τα δεδομένα του λογαριασμού σας; Εδώ είναι τι να κάνετε

Μια ομάδα ερευνητών που ονομάζεται Goatse Security επισήμανε ένα ελάττωμα σε αυτό το εργαλείο και δημιούργησε ένα σενάριο που παράγει τυχαία και υποβάλλει αριθμούς ICC-ID στην τοποθεσία. Επιστρέφουν πάνω από 114.000 διευθύνσεις ηλεκτρονικού ταχυδρομείου, συμπεριλαμβανομένων των διευθυντών του Λευκού Οίκου Rahm Emanuel, του Δημάρχου της Νέας Υόρκης Michael Bloomberg και άλλων ιδιοκτητών iPad υψηλού προφίλ. Η Goatse Security δεν έρχεται πρώτα σε επαφή με την AT & T, αλλά περιμένουν έως ότου η εταιρεία αλλάξει τον ιστότοπο προτού παράσχει τις διευθύνσεις ηλεκτρονικού ταχυδρομείου και τους σειριακούς αριθμούς σε έναν επεξεργαστή της Gawker.com, ο οποίος αποκάλυψε το ελάττωμα.

Σε τέτοιες φαινομενικά ασήμαντες διαρροές σύμφωνα με τους ισχύοντες νόμους κοινοποίησης παραβιάσεων δεδομένων; Και αν θα έπρεπε, πόσο σοβαρή είναι η απειλή κλοπής ταυτότητας όταν ένας εισβολέας αποκτά μια διεύθυνση ηλεκτρονικού ταχυδρομείου και έναν αριθμό σειράς;

[Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε κακόβουλο λογισμικό από τον υπολογιστή σας Windows]

Παραβίαση; Ποια παραβίαση;

Σύμφωνα με τον ισχύοντα νόμο, η AT & T δεν έπρεπε να αποκαλύψει την έκθεση των διευθύνσεων ηλεκτρονικού ταχυδρομείου ή των σειριακών αριθμών. Η Dorothy Attwood, επικεφαλής της AT & T αξιωματούχου για την προστασία της ιδιωτικής ζωής, ισχυρίστηκε σε μια συγγνώμη για τους πελάτες iPad 3G ότι Goatse "σκόπιμα πήγε σε μεγάλες προσπάθειες με ένα τυχαίο πρόγραμμα για να εξαγάγετε τα πιθανά ICC-IDs και να καταγράψετε διευθύνσεις ηλεκτρονικού ταχυδρομείου πελατών". Ο κ. Attwood τόνισε επίσης ότι ο ιστότοπος της AT & T δεν οδηγεί άμεσα σε οικονομικές ή προσωπικές πληροφορίες.

Παρόλο που μια εκτεθειμένη διεύθυνση ηλεκτρονικού ταχυδρομείου ενδέχεται να προσελκύσει περισσότερα ανεπιθύμητα μηνύματα, το ICC-ID από μόνο του πρέπει να είναι άχρηστο. Ωστόσο, μιλώντας στο SOURCE της Βοστώνης τον Απρίλιο, οι Nick DePetrillo και Don A. Bailey έδειξαν πώς τα ICC-ID, όπως αυτά που χρησιμοποιεί η AT & T, μπορούν να χρησιμοποιηθούν για να μαντέψουν τον σημαντικότερο αριθμό IMSI (International Mobile Subscriber Identity) για κάθε ιδιοκτήτη λογαριασμού. Παρόλο που ήταν συγκεκριμένη η επίθεση στο δίκτυο κινητής τηλεφωνίας GSM, οι συζητήσεις του DePetrillo και του Bailey (βλέπε το PDF της παρουσίασής τους) έδειξαν πως τα IMSIs θα μπορούσαν να βοηθήσουν στην αποκάλυψη της ταυτότητας του κατόχου του λογαριασμού και άλλων πληροφοριών

Νόμοι κοινοποίησης

τον Απρίλιο, 46 κράτη και τρία αμερικανικά εδάφη έχουν νόμους για την ενημέρωση των καταναλωτών, οι πληροφορίες των οποίων ενδέχεται να διακυβεύονταν σε περιπτώσεις παραβίασης των δεδομένων, σύμφωνα με την Εθνική Διάσκεψη των Νομοθετικών Κρατών. (Κανένα δεν καλύπτει ειδικά διαρροές δεδομένων κάρτας SIM.) Η Αλαμπάμα, το Κεντάκι, το Νέο Μεξικό και η Νότια Ντακότα δεν έχουν ακόμη τέτοιους νόμους για την κοινοποίηση των παραβιάσεων δεδομένων. Δεν υπάρχει κανένας ομοσπονδιακός νόμος κοινοποίησης, αλλά κάποιος μπορεί να βρίσκεται στα έργα. Ένας ομοσπονδιακός νόμος ειδικά για τις παραβιάσεις των δεδομένων περί υγειονομικής περίθαλψης (βλ. PDF) έγινε πραγματικότητα ως μέρος του αμερικανικού νόμου περί ανάκτησης και επανεπένδυσης του 2009.

Οι περισσότεροι νόμοι της πολιτείας αντικατοπτρίζουν τον νόμο SB1386 της Καλιφόρνιας του 2003, στον οποίο ορίζονται οι "προσωπικές πληροφορίες" ως ονοματεπώνυμο, καθώς και κάθε συνδυασμό αριθμού κοινωνικής ασφάλισης, άδειας οδήγησης, αριθμού λογαριασμού ή αριθμού πιστωτικής ή χρεωστικής κάρτας με κωδικό πρόσβασης ή κωδικό ασφαλείας. Οι διαρροές μη κρυπτογραφημένων προσωπικών δεδομένων πρέπει να γνωστοποιούνται εκτός εάν διεξάγονται έρευνες επιβολής του νόμου (οπότε η γνωστοποίηση μπορεί να καθυστερήσει).

Μια εκκρεμούσα αναθεώρηση του νόμου της Καλιφόρνια, SB1166, για το 2010, περιλαμβάνει βελτιώσεις που έχουν πραγματοποιήσει άλλα κράτη, όπως μια περιγραφή του συμβάντος παραβίασης των δεδομένων στην επιστολή κοινοποίησης, αντίγραφο του οποίου πρέπει να μεταβεί στο το γραφείο του γενικού εισαγγελέα.

< Η Ομοσπονδιακή Επιτροπή Εμπορίου έχει μια ενημερωτική ιστοσελίδα που περιγράφει τον τρόπο προστασίας από την κλοπή ταυτότητας, καθώς και τα μέτρα που πρέπει να ακολουθήσετε εάν γίνετε θύμα.

Επιπρόσθετα, ο νόμος περί δίκαιων και ακριβών πιστωτικών συναλλαγών του 2003 επιτρέπει στους καταναλωτές να λαμβάνουν μία δωρεάν αναφορά πίστωσης από καθένα από τα τρία πιστωτικά γραφεία ετησίως. Οι ειδικοί συμβουλεύουν να γράφουν σε ένα διαφορετικό γραφείο πιστοληπτικής ικανότητας κάθε τέσσερις μήνες, έτσι ώστε κατά τη διάρκεια του έτους να αποκτήσετε και τις τρεις εκθέσεις. Μερικές φορές οι τρεις αναφορές έχουν αποκλίσεις. Το FACTA διευκολύνει τους καταναλωτές να επιλύουν τα λάθη.

Η FACTA εισήγαγε επίσης πολλά εργαλεία καταναλωτικής πίστης. Το ένα είναι μια ειδοποίηση απάτης που απαιτεί από κάποιον που κάνει μια έρευνα ή αλλαγή στην πιστωτική έκθεσή σας να επικοινωνήσει μαζί σας πρώτα. Το αίτημα για την προειδοποίηση πρέπει να ενημερώνεται κάθε 90 ημέρες. εάν έχετε πέσει θύμα κλοπής ταυτότητας, μπορείτε να καταθέσετε μια έκθεση της αστυνομίας και να λάβετε μια εκτεταμένη προειδοποίηση για απάτη που είναι καλή για επτά χρόνια.

Μια δέσμευση πιστωτικού κινδύνου, ένα πιο δραστικό μέτρο, εμποδίζει οποιονδήποτε να έχει πρόσβαση στην πιστωτική έκθεσή σας χωρίς το ξεπαγώσετε. Υπάρχει μια χρέωση για να παγώσετε και να ξεπαγώσετε την πιστωτική σας έκθεση. ορισμένες πολιτείες παραιτούνται από το κόστος παγώματος εάν έχετε πέσει θύμα κλοπής ταυτότητας και μπορείτε να τεκμηριώσετε το συμβάν. Ο ιστότοπος της FTC έχει πληροφορίες σχετικά με τον τρόπο λήψης ειδοποιήσεων και παγώματος.

Κανένα από τα εργαλεία δεν σας εμποδίζει να λάβετε ένα δωρεάν αντίγραφο της έκθεσής σας. Οι εταιρείες υποθηκών και άλλοι που πραγματοποιούν σήμερα επιχειρηματικές συναλλαγές μαζί σας διατηρούν την πρόσβαση στο πιστωτικό ιστορικό σας. μόνο νέες έρευνες σταματήσουν να κρυώνουν. Αυτά τα μέτρα δεν θα σταματήσουν τη συνεχή κλοπή ταυτότητας ούτε θα εμποδίσουν τη δημιουργία νέων λογαριασμών, καθώς ορισμένοι νέοι λογαριασμοί δεν απαιτούν πιστοληπτική επιταγή.

Παρόλο που τα εργαλεία αυτά και οι νόμοι σχεδιάστηκαν για την αντιμετώπιση παραβιάσεων δεδομένων που συνδέονται με την πίστωση, τα προσωπικά δεδομένα τώρα διαρρέει σε νέες και διαφορετικές μορφές. Εάν οι εγκληματίες μπορούν να μαντέψουν πώς οι φορείς κινητής τηλεφωνίας συνδέουν τις πληροφορίες λογαριασμού χρηστών με τους σειριακούς αριθμούς, τότε ίσως είναι καινούργιοι και καλύτεροι ορισμοί του τι χαρακτηρίζεται ως παραβίαση δεδομένων. Το μάθημα εδώ είναι ότι καμία διαρροή δεν είναι πολύ μικρή για να προκαλέσει μεγάλους πονοκεφάλους αργότερα.