Pankki menetti tilitietosi? Tässä on mitä tehdä

Jashar Awanin kuvaus Kesäkuun alussa AT & T: llä oli verkkotyökalu, joka auttoi iPad 3G -omistajia rekisteröitymään langattomaan Wi-Fi-palveluunsa: Käyttäjät, jotka ovat kirjoittaneet 19-numeroisen sarjanumeron iPadin mikro-SIM-kortti, joka tunnetaan myös nimellä ICC-ID (integroidun piirikorttitunniste), ja sivusto palautti sähköpostiosoitteen, jonka omistaja oli käyttänyt rekisteröinnin varmistamiseksi. AT & T käytti tätä sähköpostiosoitetta täyttämään kirjautumiskentän verkkoilmoittautumislomakkeessa.

Goatse Security -nimisen tutkijaryhmän havaitsi virheen tällä työkalulla ja loi komentosarjan, joka loi satunnaisesti ICC-ID-numerot sivustolle. He saivat takaisin yli 114 000 sähköpostiosoitetta, mukaan lukien Valkoisen talon päällikkö Rahm Emanuel, New Yorkin kaupunginjohtaja Michael Bloomberg ja muut korkean profiilin iPad-omistajat. Goatse Security ei ole ensin ilmoittanut AT & T: lle, mutta ne odottivat, että yritys muutti sivustoa ennen kuin se toimitti sähköpostiosoitteet ja sarjanumerot Gawker.comin toimittajalle, joka ilmoitti virheestä.

Jos tällaiset näennäisesti vähäiset vuodot ovat jollei nykyisten tietojen rikkomisen ilmoittamista koskevasta lainsäädännöstä muuta johdu? Ja mikäli heidän pitäisi, kuinka vakava uhka on henkilöllisyyden varastaminen, kun hyökkääjä saa sähköpostiosoitteen ja sarjanumeron?

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Rikkominen? Mikä rikkomus?

Nykyisen lain mukaan AT & T: n ei tarvinnut paljastaa sähköpostiosoitteiden tai sarjanumeroiden altistumista. Dorothy Attwood, AT & T: n tietosuojavastaava, pyysi apuaan iPad 3G -asiakkaille, että Goatse "tahallisesti menestyi suuresti satunnaisen ohjelman avulla poistaakseen mahdolliset ICC-tunnukset ja kaapata asiakkaiden sähköpostiosoitteet". Attwood korosti myös, että AT & T: n verkkosivusto ei johtanut suoraan taloudellisiin tai henkilökohtaisiin tietoihin.

Vaikka altistunut sähköpostiosoite saattaa houkutella lisää roskapostia, ICC-ID: n pitäisi olla hyödytön. Huhtikuussa huhtikuussa julkaistussa SOURCE Bostonissa Nick DePetrillo ja Don A. Bailey osoittivat, kuinka AT & T: n käyttämiä ICC-tunnuksia voidaan käyttää arvokkaampaan IMSI-numeroon (International Mobile Subscriber Identity) jokaiselle tilin omistajalle. Vaikka GSM-matkapuhelinverkoston hyökkäys oli erityinen, DePetrillo ja Bailey-puhelu (katso esittelyn PDF) osoittivat, kuinka IMSI-järjestelmät voisivat auttaa kertomaan tilin omistajan identiteetin ja muut tiedot.

Ilmoituslainsäädäntö

As huhtikuussa 46 valtiota ja kolme Yhdysvaltain aluetta ovat lakeja ilmoittamaan kuluttajista, joiden tiedot ovat saattaneet vaarantua tietojen rikkomisessa valtion kansallisten lainsäädäntöelinten konferenssin mukaan. (Yksikään ei koske pelkästään SIM-korttitietojen vuotoa.) Alabama, Kentucky, New Mexico ja Etelä-Dakota eivät vielä ole rikkoneet ilmoitusvelvollisuutta. Mikään liittovaltion ilmoituslainus ei ole olemassa, mutta yksi voi olla töissä. Terveydenhuollon tietojen rikkomuksiin (ks. PDF) liittyvä liittovaltion laki tuli osaksi vuoden 2009 American Recovery and Reinvestment Act-lakia.

Useimmat valtion lait peittävät Kalifornian vuoden 2003 lain SB1386, jossa määritellään "henkilökohtaiset tiedot" etu- ja sukunimi sekä mahdolliset sosiaaliturvatunnuksen, kuljettajan lisenssin, tilinumeron tai luotto- tai maksukortin numeron yhdistäminen salasanalla tai turvakoodilla. Salaamattomien henkilötietojen vuotot on julkistettava, ellei lainvalvontaviranomaisten tutkinnassa (jolloin ilmoittaminen voi viivästyä). Salattu tieto on vapautettu.

Kalifornian lakia, SB1166, odottaa vuoden 2010 tarkistusta, sisältää parannuksia, jotka muut valtiot ovat tehneet, kuten kuvaus tietosuojaa koskevasta tapahtumasta ilmoituskirjeessä, jonka jäljennös on toimitettava

Arm Thyself

Vaikka laki toistaisi parhaillaan kiinni, kuluttajat voivat ryhtyä toimiin itselleen. Liittovaltion kauppakomissiossa on informatiivinen sivusto, joka kertoo, miten varjella identiteettivarkauksia ja mitä toimia, jos ryhdytään uhreiksi.

Lisäksi vuoden 2003 Fair and Accurate Credit Transaction Act -säädöksessä kuluttajat voivat saada jokaisesta kolmesta luottoluokituslaitoksesta vuosittain yhden ilmaisen luottoraportin. Asiantuntijat neuvovat kirjoittamaan eri luottolaitoksille joka neljäs kuukausi niin, että vuoden aikana saat kaikki kolme raporttia. Joskus kolmessa raportissa on eroja; FACTA: n avulla kuluttajat voivat helpommin ratkaista virheitä.

FACTA toi myös lukuisia kulutusluottotyökaluja. Yksi on petosilmoitus, joka edellyttää, että jokainen voi tehdä kyselyn tai muuttaa luottoraporttisi yhteydenottoon ensin. Varoituspyyntöä on päivitettävä 90 päivän välein; jos olet ollut identiteettivarkauden uhri, voit tehdä poliisin raportin ja saada laajennetun petosilmoituksen, joka on hyvä seitsemäksi vuodeksi.

Luottorajoittaminen, jyrkäempi toimenpide, estää kenenkään pääsemästä luottotietojasi ilman teidän irrottautumisen. Luottoraportin jäädyttäminen ja purkaminen on maksullinen. jotkut valtiot luopuvat jäädytyksen kustannuksista, jos olet ollut identiteettivarkauden uhri ja voit dokumentoida tapahtuman. FTC-sivustolla on tietoja hälytysten ja jäädytysten saamisesta.

Kummassakaan työkalu estää sinua saamasta maksuttoman kopion luottoraportista. Kiinnitysyritykset ja muut, jotka toimivat tällä hetkellä liiketoiminnan kanssa, säilyttävät luottotietojesi saatavuuden. vain uudet tiedustelut pysähtyvät kylmässä. Nämä toimenpiteet eivät pysäytä meneillään olevaa identiteettivarkautta, eivätkä estä uuden tilin luomista, koska jotkut uudet tilit eivät edellytä luottotarkistusta.

Vaikka nämä välineet ja lait on suunniteltu käsittelemään luottotietojen rikkomuksia, henkilötietoja nyt vuotaa uusia ja erilaisia ​​muotoja. Jos rikolliset voivat arvata, kuinka mobiilioperaattorit yhdistävät käyttäjätilitietonsa sarjanumerolla, kenties uusia ja parempia määritelmiä siitä, mikä luokitellaan tietojen rikkomukseksi, on välttämätöntä. Oppiaihe tässä on se, ettei vuoto ole liian pieni aiheuttamaan suuria päänsärkyjä myöhemmin.