Bank tapt kontoinformasjonen din? Her er hva du skal gjøre

Illustrasjon av Jashar AwanUnder begynnelsen av juni hadde AT & T et online verktøy som hjalp iPad 3G-eiere til å registrere seg for sin mobile Wi-Fi-tjeneste: Brukere skrev inn det 19-sifrede serienummeret for deres iPads mikro-SIM-kort, også kjent som ICC-ID (integrert kort-kortidentifikator), og nettstedet returnerte e-postadressen som eieren hadde brukt til å bekrefte registreringen. AT & T brukte denne e-postadressen til å fylle ut et påloggingsfelt på Web-registreringsskjemaet.

En gruppe forskere kalt Goatse Security oppdaget en feil i dette verktøyet, og opprettet et skript som tilfeldig genererte og sendte inn ICC-ID-numre til nettstedet. De kom tilbake over 114 000 e-postadresser, blant annet de av Hvite Husets stabschef Rahm Emanuel, New York Mayor Michael Bloomberg, og andre høyprofilerte iPad-eiere. Goats Security har ikke kontaktet AT & T først, men de ventet til selskapet endret nettstedet før de ga e-postadressene og serienumrene til en Gawker.com-editor, som deretter avslørte feilen.

Skulle slike tilsynelatende trivielle lekkasjer være underlagt gjeldende lov om brudd på lovbrudd? Og hvis de burde, hvor alvorlig er trusselen om identitetstyveri når en angriper får en e-postadresse og et serienummer?

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Brudd? Hvilke brudd?

I henhold til gjeldende lov måtte AT & T ikke avsløre eksponeringen av e-postadressene eller serienumrene. Dorothy Attwood, AT & Ts sjefsansvarlige, hevdet i en unnskyldning til iPad 3G-kunder at Goatse "bevisst gikk til stor innsats med et tilfeldig program for å trekke ut mulige ICC-ID og fange kundens e-postadresser." Attwood understreket også at AT & T-nettstedet ikke førte direkte til økonomisk eller personlig informasjon.

Mens en eksponert e-postadresse kan tiltrekke seg mer spam, burde ICC-IDen være ubrukelig. Imidlertid viste Nick DePetrillo og Don A. Bailey i SOURCE Boston i april hvordan ICC-IDer som de som ansettes av AT & T, kan brukes til å gjette det viktigste IMSI-nummeret (International Mobile Subscriber Identity) for hver kontoinnehaver. Selv om det var spesifikt å angripe GSM-mobilnettverket, viste DePetrillo og Bailey's snakk (se PDF-en av presentasjonen) hvordan IMSIer kunne bidra til å avsløre identiteten til kontoinnehaveren og annen informasjon.

Varsellover

Som i april har 46 stater og tre amerikanske territorier lover for varsling av forbrukere hvis informasjon kan ha blitt kompromittert i brudd på data, i henhold til den nasjonale konferansen av statlige lovgivere. (Ingen spesifikt dekker lekkasjer av SIM-kortdata.) Alabama, Kentucky, New Mexico og South Dakota har ennå ikke slike lovbrudd om lovbrudd. Ingen føderal varslingslov eksisterer, men man kan være i verkene. En føderal lov som er spesifikk for brudd på helsevesenet (se PDF-filen) ble en realitet som en del av American Recovery and Reinvestment Act av 2009.

De fleste statlige lover speiler California 2003-loven SB1386, der "personlig informasjon" er definert som for- og etternavn, pluss en kombinasjon av et personnummer, førerkort, kontonummer eller kreditt- eller debetkortnummer med passord eller sikkerhetskode. Lekkasje av ukrypterte personopplysninger må oppgis, med mindre det er utstedt rettshåndhevelse (i så fall kan avsløringen bli forsinket). Krypterte data er unntatt.

En uavhengig 2010-revisjon av California-loven, SB1166, inneholder forbedringer som andre stater har gjort, for eksempel en beskrivelse av dataførbruddshendelsen i meldingsbrevet, hvor en kopi må gå til advokatkontor.

Arm Thyself

Selv om loven for tiden spiller innhente, kan forbrukerne handle for seg selv. Federal Trade Commission har et informativt nettsted som forteller hvordan man skal beskytte mot identitetstyveri, samt hvilke skritt du skal ta hvis du blir offer.

I tillegg tillater rettferdig og nøyaktig kredittransaksjonsloven fra 2003 at forbrukerne får en gratis kredittrapport fra hvert av de tre kredittbyråene årlig. Eksperter anbefaler å skrive til et annet kredittbureau hver fjerde måned, slik at du i løpet av året får alle tre rapportene. Noen ganger har de tre rapportene avvik; FACTA gjør det lettere for forbrukerne å løse feil.

FACTA introduserte også en rekke forbruksredskapsverktøy. En er et svindelvarsel som krever at noen foretar en forespørsel eller endrer seg til kredittrapporten din for å kontakte deg først. Forespørselen om varselet må oppdateres hver 90 dag; Hvis du har vært offer for identitetstyveri, kan du sende inn en politirapport og få et utvidet svindelvarsel som er bra i syv år.

En kredittfrysning, et mer drastisk tiltak, forhindrer at noen får tilgang til kredittrapporteringen uten din unfreezing det. Det er et gebyr for å fryse og frigjøre din kredittrapport; Noen stater frafalder kostnaden for frysing hvis du har vært offer for identitetstyveri og kan dokumentere hendelsen. FTC-nettstedet har informasjon om hvordan du får varsler og fryser.

Verken verktøy hindrer deg i å få en gratis kopi av kredittrapporten din. Lånefirmaer og andre som for tiden driver forretning med deg, beholder tilgang til kreditthistorikken din; Bare nye henvendelser blir stoppet kaldt. Disse tiltakene vil ikke stoppe pågående identitetstyveri, og de vil heller ikke forhindre ny kontoopprettelse, siden noen nye kontoer ikke krever en kredittsjekk.

Selv om disse verktøyene og lovene ble utformet for å adressere kredittrelaterte databrudd, er personopplysninger nå lekker ut i nye og forskjellige former. Hvis kriminelle kan gjette hvordan mobiloperatører knytter brukerens kontooplysninger med serienumre, er det kanskje nødvendig med nye og bedre definisjoner av hva som kvalifiserer som dataskyldighet. Leksjonen her er at ingen lekkasje er for liten til å forårsake store hodepine senere.