Banka ztrácela údaje o vašem účtu? Zde je to, co dělat

ilustrace od Jashar AwanUntil počátkem června, AT & T měla online nástroj, který pomohl majitelé iPad 3G zaregistrovat své mobilní Wi-Fi služby: Uživatelé zadané v 19-ti místné číslo pro jejich Mikro SIM karta iPad, známá také jako ICC-ID (identifikátor integrovaného obvodu karty), a web vrátil e-mailovou adresu, kterou majitel ověřil při registraci. AT & T používal tuto e-mailovou adresu k naplnění přihlašovacího pole v registračním formuláři na webu.

Skupina výzkumníků nazvaná Goatse Security zaznamenala chybu v tomto nástroji a vytvořila skript, který náhodně generoval a odeslal ICC-ID čísla k webu. Obdrželi zpět více než 114 000 e-mailových adres, včetně náčelníka generálního štábu Rahma Emanuela, primátora New Yorku Michaela Bloomberga a dalších významných majitelů iPadů. Goatse Security nekontaktoval AT & T jako první, ale oni počkat, až se společnost změnila místo před poskytnutím e-mailové adresy a sériová čísla do editoru Gawker.com, který pak odhalil chybu.

by měla být taková zdánlivě triviální úniky podléhají současným zákonům o oznamování porušení údajů? A pokud ano, jak vážná je hrozba krádeže identity, když útočník získá e-mailovou adresu a sériové číslo?

[Další informace: Jak odstranit malware z počítače se systémem Windows]

Porušení? Jaké porušení?

Podle platných zákonů společnost AT & T nemusela zveřejňovat vystavení e-mailových adres nebo sériových čísel. Dorothy Attwood, šéf ochrany osobních údajů společnosti AT & T, prohlásil v ospravedlnění iPad 3G zákazníkům, že Goatse "záměrně šel s velkým úsilím s náhodným programem pro získání možných ICC-ID a zachycení e-mailových adres zákazníků". Attwood rovněž zdůraznil, že internetová stránka AT & T nevedla přímo k finančním nebo osobním informacím.

Zatímco exponovaná e-mailová adresa by mohla přilákat více spamů, ID ICC by samo o sobě mělo být zbytečné. Nicméně, mluvení u zdroje Bostonu v dubnu Nick DePetrillo a Don A. Bailey ukázal, jak ICC-ID, jako jsou zaměstnány AT & T lze odhadnout mnohem důležitější IMSI (International Mobile Subscriber Identity) číslo pro každého majitele účtu. Ačkoli to bylo specifické pro útočí na mobilní telefonní síť GSM, DePetrillo a Baileyho talk (viz PDF a jejich prezentace) ukázal, jak IMSI může pomoci odhalit totožnost majitele účtu a další informace.

Oznamovací Zákony

As z dubna 46 států a tři americké teritoria mají zákony pro oznamování spotřebitelů, jejichž informace mohly být ohroženy při porušování údajů, podle Národní konference státních legislativ. (Žádná konkrétní informace o úniku údajů z karty SIM.) Alabama, Kentucky, Nové Mexiko a Jižní Dakota ještě nemají takové zákony o oznamování porušení údajů. Neexistuje federální oznamovací zákon, ale jeden může být v pracích. Federální zákon konkrétní narušení dat ve zdravotnictví (viz PDF) se stal realitou v rámci zákona o americký zotavení a Reinvestování roku 2009.

Většina státní zákony zrcadlit Kalifornie 2003 zákon SB1386, ve kterém je „osobní údaje“ definovaný jako jméno a příjmení plus jakoukoli kombinaci čísla sociálního zabezpečení, řidičského průkazu, čísla účtu nebo čísla kreditní nebo debetní karty s heslem nebo bezpečnostním kódem. Úniky nezašifrovaných osobních údajů musí být zveřejněny, ledaže by to bylo v rámci vyšetřování vymáhání práva (v takovém případě může být zveřejnění zpožděno). Šifrované údaje jsou vyňaty.

Revize Kalifornie z roku 2010, SB1166, obsahuje vylepšení, které učinily jiné státy, jako například popis události narušení dat v oznámení, jehož kopie musí jít na adresu generální advokátní kancelář

Arm Thyself

Ačkoli zákon v současné době hraje dohromady, mohou spotřebitelé podniknout kroky pro sebe. Federální obchodní komise má informativní stránky, které vám řeknou, jak chránit před krádežím totožnosti, stejně jako kroky, které je třeba podniknout, pokud se stanete obětí.

Zákon o spravedlivém a přesném zápočtu z roku 2003 navíc umožňuje spotřebitelům získat každoročně jednu kreditní zprávu od všech tří úvěrových kanceláří. Odborníci doporučují každou čtyři měsíce písemně na jinou úvěrovou kancelář, aby v průběhu roku získali všechny tři zprávy. Někdy mají tři zprávy nesrovnalosti; FACTA usnadňuje spotřebitelům vyřešit chyby.

FACTA také zavedla řadu nástrojů pro spotřebitelské úvěry. Jedním z nich je podvod upozornění, které vyžaduje, aby někdo, kdo dotaz nebo změnu ve vaší kreditní zprávy vás kontaktovat jako první. Žádost o upozornění je třeba aktualizovat každých 90 dní; pokud jste byli oběťmi krádeže totožnosti, můžete podat policejní zprávu a získat prodlouženou výstrahu proti podvodům, která je vhodná po dobu sedmi let.

Zmrazení úvěrů, drastická opatření, brání komukoli, aby přistupoval k vaší kreditní zprávě bez vaše rozmrazení. Poplatek za zmrazení a rozmrazení vaší kreditní zprávy některé státy se zříkají nákladů na zmrazení, pokud jste byli oběťmi krádeže totožnosti a můžete dokumentovat událost. Stránka FTC obsahuje informace o tom, jak získat upozornění a zamrznout.

Ani jeden z nástrojů vám neumožňuje získat bezplatnou kopii kreditní zprávy. Hypotéční společnosti a další, kteří s vámi v současné době obchodují, si uchovávají přístup k vaší kreditní historii. pouze nové dotazy jsou zastaveny. Tato opatření nezastaví probíhající krádeže totožnosti ani nebrání vytváření nových účtů, neboť některé nové účty nevyžadují kontrolu kreditu.

Ačkoliv byly tyto nástroje a zákony navrženy tak, aby řešily narušení údajů související s úvěry, jsou osobní údaje nyní protéká v nových a různých formách. Pokud mohou zločinci odhadnout, jak mobilní operátoři sdružují informace o účtech uživatelů se sériovými čísly, možná jsou zapotřebí nové a lepší definice toho, co je kvalifikováno jako narušení dat. Lekce je, že žádná únik není příliš malá, aby způsobila pozdější bolest hlavy.