Banka je izgubila podatke o računu? Evo što učiniti

Ilustracija Jashar AwanNa početku lipnja, AT & T je imao on-line alat koji je pomagao vlasnicima ipadova 3G da se prijavljuju za mobilnu Wi-Fi uslugu: Korisnici upisali 19-znamenkasti serijski broj za svoje iPadova mikro-SIM kartica, također poznata kao ICC-ID (identifikator integriranog kruga kartice), a web-lokacija je vratila adresu e-pošte koju je vlasnik koristio za potvrdu registracije.

Grupa istraživača nazvana Goatse Security uočila je nedostatak u ovom alatu i stvorila skriptu koja je slučajno generirala i poslala ICC-ID brojeve na stranicu. Vratili su se više od 114.000 adresa e-pošte, uključujući one glavnog načelnika stožera Bijelu kuću Rahm Emanuel, gradonačelnika New Yorka Michaela Bloomberga i druge vlasnike ipadovitih iPada. Goatse Security nije se prvi put obratio tvrtki AT & T, ali su čekali da tvrtka promijeni web mjesto prije nego što pošalje adrese e-pošte i serijske brojeve uredniku Gawker.coma, koji je tada obznanio nedostatak.

Ako bi takva naizgled trivijalna istjecanja podložno zakonskim zakonima o obavijesti o kršenju podataka? A ako bi trebali, koliko je ozbiljna prijetnja krađe identiteta kada napadač dobije e-mail adresu i serijski broj?

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Kršenje? Što prekršaj?

Prema trenutnom zakonu, AT & T nije morao otkriti izloženost adresa e-pošte ili serijskih brojeva. Dorothy Attwood, glavni časnik za privatnost AT & T-a, pretrpjela je ispriku za korisnike ipadova 3G da Goatse "namjerno je otišao na velike napore s slučajnim programom za izdvajanje mogućih ICC-ID-ova i uhvatiti adrese e-pošte klijenta". Tvrtka Attwood također je istaknula da AT & T web stranica nije vodila izravno na financijske ili osobne podatke.

Iako izložena adresa e-pošte može privući više neželjenih poruka, ICC-ID bi trebao biti beskoristan. Međutim, govoreći u SOURCE Bostonu u travnju, Nick DePetrillo i Don A. Bailey pokazali su kako ICC-ID-ovi poput onih zaposlenih u tvrtki AT & T mogu se upotrijebiti za najvažniji IMSI (International Mobile Subscriber Identity) broj za svakog vlasnika računa. Iako je bio specifičan za napad na GSM mobilnu mrežu, razgovori DePetrillo i Bailey (pogledajte PDF o njihovoj prezentaciji) pokazali su kako IMSIs mogu pomoći otkriti identitet vlasnika računa i druge informacije.

Zakoni o obavijesti

Kao od travnja, 46 država i tri američka teritorija imaju zakone o obavješćivanju potrošača čije su informacije možda ugrožene u kršenjima podataka, navodi Nacionalna konferencija državnih zakonodavstava. (Ništa posebno ne pokrivaju propuštanja podataka o SIM kartici.) Alabama, Kentucky, Novi Meksiko i Južna Dakota još nemaju takve zakone o obavijesti o kršenju podataka. Nema federalnog zakona o obavijesti, ali može biti u djelima. Savezni zakon specifičan za kršenje podataka o zdravstvenoj zaštiti (vidi PDF) postao je stvarnost u sklopu američkog zakona o oporavku i ponovnom ulaganju 2009. godine.

Većina državnih zakona u skladu je s zakonom Kalifornije iz 2003. godine SB1386, u kojem su definirani "osobni podaci" kao i ime i prezime, plus bilo koja kombinacija broja socijalnog osiguranja, vozačke dozvole, broja računa ili broja kreditne ili debitne kartice s lozinkom ili sigurnosnim kodom. Pukotine nekodiranih osobnih podataka moraju se otkriti osim u slučaju provedbe zakona (u tom slučaju objavljivanje može biti odgođeno). Šifrirani podaci su izuzeti.

Revizija na čekanju iz zakonodavstva u Kaliforniji, SB1166, uključuje poboljšanja koja su ostala država napravila, kao što je opis događaja prekršaja podataka u pismu s pismom, čija kopija mora prijeći na državni odvjetnik.

Vršite se

Iako zakon trenutačno igra ulogu, potrošači mogu poduzeti radnje za sebe. Savezna trgovačka komisija ima informativnu stranicu koja govori kako se čuvati od krađe identiteta, kao i koje korake treba poduzeti ako postanete žrtva.

Osim toga, Fair and Accurate Credit Transaction Act iz 2003. omogućuje potrošačima da dobiju jedan besplatni kreditni izvještaj iz svake od tri kreditne agencije godišnje. Stručnjaci savjetuju pisanje različitom kreditnom uredu svaka četiri mjeseca, tako da tijekom godine dobijete sva tri izvješća. Ponekad su ta tri izvješća odstupanja; FACTA olakšava potrošačima rješavanje pogrešaka.

FACTA je također uveo niz alata za potrošačke kredite. Jedan je upozorenje o prijevari koji zahtijeva da netko postavlja upit ili promijeni vašu kreditnu izvješću da bi vam se prvo kontaktiralo. Zahtjev za upozorenje treba ažurirati svakih 90 dana; ako ste žrtva krađe identiteta, možete podnijeti policijsko izvješće i dobiti upozorenje o produljenoj prijevari koja je dobra za sedam godina.

Kreditni zamrzavanje, drastičnija mjera, sprječava da netko pristupa vašem kreditnom izvješću bez vaš je otkopčan. Postoji naknada za zamrzavanje i odmrzavanje vašeg izvješća o kreditnoj kartici; neke države odriču se troškova zamrzavanja ako ste bili žrtva krađe identiteta i dokumentirali događaj. Stranica FTC-a sadrži informacije o tome kako dobiti upozorenja i zamrzavanje.

Ni jedan alat ne sprječava dobivanje besplatne kopije vašeg izvješća o kreditnoj kartici. Hipoteka tvrtke i drugi koji trenutno posluju s vama zadržati pristup vašoj kreditnoj povijesti; samo nova upita su zaustavljena hladno. Ove mjere neće zaustaviti trajnu krađu identiteta niti će spriječiti stvaranje novih računa, budući da neki novi računi ne zahtijevaju provjeru kredita.

Iako su ti alati i zakoni dizajnirani za rješavanje kršenja podataka povezanih s kreditnim podacima, osobni podaci su sada curi iz novih i različitih oblika. Ako kriminalci mogu pogađati kako mobilni operateri povezuju podatke korisničkog računa s serijskim brojevima, možda su potrebne nove i bolje definicije onoga što se kvalificira kao kršenje podataka. Ovdje je pouka da nikakva curenja nije premala da bi kasnije uzrokovala velike glavobolje.