Bank mistede dine kontooplysninger? Her er hvad du skal gøre

Illustration af Jashar AwanUndtil begyndelsen af ​​juni havde AT & T et online værktøj, der hjalp iPad 3G-ejere til at tilmelde sig sin mobile Wi-Fi-tjeneste: Brugere indtastede det 19-cifrede serienummer for deres iPads mikro-SIM-kort, også kendt som ICC-ID (integreret kredsløbskortidentifikator), og webstedet returnerede den e-mail-adresse, som ejeren havde brugt til at bekræfte registrering. AT & T brugte den e-mail-adresse til at udfylde et log-in-felt på web-registreringsformularen.

En gruppe forskere, der hedder Goatse Security, fandt en fejl i dette værktøj og skabte et script, der tilfældigt genererede og indsendte ICC-ID-numre til webstedet. De kom tilbage over 114.000 e-mail-adresser, heriblandt de hvide huschef Rahm Emanuel, borgmesteren i New York Michael Bloomberg og andre højtstående iPad-ejere. Goatse Security kontaktede ikke AT & T først, men de ventede, indtil virksomheden ændrede stedet, før de leverede e-mailadresser og serienumre til en Gawker.com-editor, som derefter afslørede fejlen.

Skulle sådanne tilsyneladende trivielle lækager være underlagt gældende lov om ophavsret til databeskyttelse? Og hvis de burde, hvor alvorlig er truslen om identitetstyveri, når en angriber får en e-mail-adresse og et serienummer?

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Brud? Hvad krænker?

I henhold til gældende lovgivning måtte AT & T ikke oplyse eksponeringen af ​​e-mailadresser eller serienumre. Dorothy Attwood, AT & Ts chefspersonale, hævdede i undskyldning over for iPad 3G-kunder, at Goatse "bevidst gik til store bestræbelser med et tilfældigt program til at udpakke mulige ICC-id'er og indfange kundens e-mail-adresser." Attwood understregede også, at AT & T Website ikke førte direkte til økonomiske eller personlige oplysninger.

Mens en udsat e-mail-adresse muligvis tiltrækker mere spam, burde ICC-IDet i sig selv være nytteløst. Imidlertid viste Nick DePetrillo og Don A. Bailey i SOURCE Boston i april, hvordan ICC-ID'er som dem, der ansættes ved AT & T, kan bruges til at gætte det vigtige IMSI-nummer (International Mobile Subscriber Identity) for hver kontoindehaver. Selvom det var specifikt at angribe GSM-mobilnetværket, viste DePetrillo og Bailey's tale (se PDF-filen i deres præsentation), hvordan IMSI'er kunne bidrage til at afsløre identiteten af ​​kontoejeren og andre oplysninger.

Notifikationslove

As i april, 46 stater og tre amerikanske territorier har love for anmeldelse af forbrugere, hvis oplysninger kan have været kompromitteret i forbindelse med overtrædelser af data, ifølge den nationale lovgivende statskonference. (Ingen specifikt dækker lækager af SIM-kortdata.) Alabama, Kentucky, New Mexico og South Dakota har endnu ikke sådanne lovovertrædelser. Der findes ingen lov om forbrugerbeskyttelse, men man kan være i værkerne. En føderal lov, der er specifik for sundhedsdatabrænkelser (se PDF), blev en realitet som led i den amerikanske genopretnings- og geninvesteringslov fra 2009.

De fleste statslige love afspejler Californiens lov 2003, SB1386, hvori "personlige oplysninger" er defineret som for- og efternavne samt enhver kombination af et socialt sikkerhedsnummer, kørekort, kontonummer eller kredit- eller betalingskortnummer med et kodeord eller en sikkerhedskode. Lækage af ukrypterede personoplysninger skal offentliggøres, medmindre det er under lovhåndhævelsesundersøgelse (i hvilket tilfælde offentliggørelsen kan forsinkes). Krypterede data er fritaget.

En afventer 2010 revision til California loven, SB1166, indeholder forbedringer, som andre stater har lavet, såsom en beskrivelse af datahændelseshændelsen i meddelelsesbrevet, hvoraf en kopi skal gå til advokat generals kontor.

Arm Thyself

Selv om loven i øjeblikket spiller indfangning, kan forbrugerne handle for sig selv. Federal Trade Commission har et informativt websted, der fortæller hvordan man skal beskytte identitetstyveri, samt hvilke skridt der skal tages, hvis du bliver offer.

Derudover giver loven om retfærdig og nøjagtig kredittransaktion fra 2003 forbrugerne mulighed for at få en gratis kreditrapport fra hvert af de tre kreditbureauer årligt. Eksperter anbefaler, at du skriver til et andet kreditbureau hver fjerde måned, så du i løbet af året får alle tre rapporter. Nogle gange har de tre rapporter afvigelser; FACTA gør det lettere for forbrugerne at løse fejl.

FACTA indførte også en række forbrugerkreditværktøjer. Den ene er en svindeladvarsel, der kræver, at enhver, der foretager en forespørgsel eller ændrer til din kreditrapport, kontakter dig først. Anmodningen om indberetning skal opdateres hver 90 dage; hvis du har været offer for identitetstyveri, kan du indgive en politirapport og få en udvidet svindelvarsel, der er god i syv år.

En kreditfrysning, en mere drastisk foranstaltning, forhindrer nogen i at få adgang til din kreditrapport uden din unfreezing det. Der er et gebyr for at fryse og frigøre din kredit rapport; nogle stater frafalder omkostningerne ved frysning, hvis du har været offer for identitetstyveri og kan dokumentere begivenheden. FTC-webstedet har oplysninger om, hvordan man modtager advarsler og fryser.

Hverken værktøj forhindrer dig i at få en gratis kopi af din kreditrapport. Realkreditinstitutter og andre, der i øjeblikket driver forretning med dig, har adgang til din kredithistorie; Kun nye henvendelser stoppes koldt. Disse foranstaltninger stopper ikke igangværende identitetstyveri, og de forhindrer heller ikke oprettelse af nye konti, da nogle nye konti ikke kræver en kreditkontrol.

Selv om disse værktøjer og love er designet til at løse kreditrelaterede databrud, er personoplysninger nu lækker ud i nye og forskellige former. Hvis kriminelle kan gætte, hvordan mobiloperatører knytter brugerens kontooplysninger sammen med serienumre, er det måske nødvendigt at definere nye og bedre definitioner af, hvad der er kvalificeret som et brud på data. Læringen her er, at ingen lækage er for lille til at forårsage store hovedpine senere.