Banka Hesap Verilerinizi Kaybetti? Yapılması Gerekenler

Jashar AwanUntil tarafından Haziran ayı başlarında, AT & T'nin iPad 3G sahiplerinin mobil Wi-Fi hizmeti için kaydolmasına yardımcı olan bir çevrimiçi araç vardı: Kullanıcılar 19 haneli seri numarasını yazdı. iPad'in ICC-ID (entegre devre kartı tanımlayıcısı) olarak da bilinen mikro-SIM kartı ve site, sahibin kayıt işlemini doğrulamak için kullandığı e-posta adresini döndürdü. AT & T, bu e-posta adresini Web kayıt formunda bir giriş alanına yerleştirmek için kullanmıştır.

Goatse Security adı verilen bir grup araştırmacı bu araçta bir kusur tespit etmiş ve rastgele oluşturulan ve ICC-ID numaralarını gönderen bir komut dosyası hazırlamıştır. Siteye. Beyaz Saray Genelkurmay Başkanı Rahm Emanuel, New York Belediye Başkanı Michael Bloomberg ve diğer yüksek profilli iPad sahipleri de dahil olmak üzere 114.000 e-posta adresini geri aldılar. Goatse Security, önce AT & T ile bağlantı kurmadı, ancak şirketin, e-posta adreslerini ve seri numaralarını vermeden önce, bir kusurun açıklandığı bir Gawker.com editörüne ulaşmadan önce siteyi değiştirmesini beklediler.

Bu gibi önemsiz sızıntılar olmalı Mevcut veri ihlali bildirim yasalarına tabi? Ve eğer yapmalılarsa, bir saldırganın bir e-posta adresi ve bir seri numarası aldığında kimlik hırsızlığı tehdidi ne kadar ciddi?

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Breach? Ne Breach?

Mevcut yasa uyarınca, AT & T, e-posta adreslerinin veya seri numaralarının açığa çıkmasını açıklamak zorunda değildi. AT & T'nin gizlilik sorumlusu Dorothy Attwood, Goatse'nin iPad 3G müşterilerinin özür dilemesini “olası ICC kimliklerini ayıklamak ve müşteri e-posta adreslerini yakalamak için rastgele bir programla büyük çaba sarf ettiklerini” iddia etti. Attwood ayrıca, AT & T Web Sitesinin doğrudan finansal veya kişisel bilgilere yol açmadığını da vurguladı.

Açık bir e-posta adresi daha fazla spam çekebilse de, ICC-ID'nin kendi başına faydası olmamalıdır. Ancak, Nisan ayında Boston'daki SOURCE Boston'da konuşan Nick DePetrillo ve Don A. Bailey, AT & T tarafından istihdam edilenler gibi ICC-ID'lerinin her hesap sahibi için daha önemli IMSI (Uluslararası Mobil Abone Kimliği) sayısını tahmin etmek için nasıl kullanılabileceğini gösterdi. Her ne kadar GSM cep telefonu şebekesine saldırma konusunda spesifik olsa da, DePetrillo ve Bailey'nin konuşması (sunumlarının PDF'sine bakınız), IMSI'lerin hesap sahibinin kimliğini ve diğer bilgileri açığa çıkarmada nasıl yardımcı olabileceğini gösterdi.

Bildirim Yasaları

Ulusal Kanunlar Konferansı'na göre, Nisan ayı, 46 eyalet ve üç ABD topraklarında, bilgilerinin veri ihlallerinden taviz verilebileceğini bildiren yasalar vardır. (Hiçbiri özellikle SIM kart verilerinin sızıntılarını kapsamaz.) Alabama, Kentucky, New Mexico ve Güney Dakota'da henüz veri ihlali bildirim yasaları yoktur. Federal bildirim yasası yoktur, ancak işlerde olabilir. Sağlık bakımı veri ihlallerine özel bir federal yasa (PDF'ye bakınız) 2009 tarihli Amerikan Kurtarma ve Yeniden Yatırım Yasası'nın bir parçası haline geldi.

Çoğu eyalet kanunu, Kaliforniya'nın "kişisel bilgileri" nin tanımlandığı 2003 yasası SB1386'yı yansıtır. ad ve soyad olarak, bir şifre veya güvenlik kodu ile birlikte bir Sosyal Güvenlik numarası, ehliyet, hesap numarası veya kredi veya banka kartı numarasının herhangi bir kombinasyonu. Şifrelenmemiş kişisel verilerin kaçakları, kanun uygulayıcı soruşturma kapsamında olmadığı sürece açıklanmalıdır (bu durumda açıklama gecikebilir). Şifrelenmiş veriler muaftır.

Kaliforniya kanunu SB1166'ya yönelik 2010 tarihli bir gözden geçirme, diğerlerinin, bildirim mektubunda yer alan veri ihlali olayının bir açıklaması gibi yaptığı iyileştirmeleri içerir. Avukatlık bürosu

Kendini Kolla

Yasalar şu an avukatlık yapıyor olsa da, tüketiciler kendileri için harekete geçebilir. Federal Ticaret Komisyonu, kimlik hırsızlığına karşı nasıl koruyacağınızı ve mağdur olmanız durumunda atılması gereken adımları açıklayan bilgilendirici bir siteye sahiptir.

Ayrıca, 2003 Yılı Adil ve Doğru Kredi İşlem Yasası, tüketicilere her üç kredi bürosunun her birinden bir ücretsiz kredi raporu almalarını sağlar. Uzmanlar her dört ayda bir farklı bir kredi bürosuna yazmayı tavsiye ederler, böylece yıl boyunca her üç raporu da alırsınız. Bazen üç raporda tutarsızlıklar vardır; FACTA, tüketicilerin hataları çözmesini kolaylaştırıyor.

FACTA, bir dizi tüketici kredisi aracını da tanıttı. Bunlardan biri, önce sizinle bağlantı kurmak için kredi raporunuza bir sorgulama veya değişiklik yapmasını gerektiren bir sahtekarlık uyarısıdır. Uyarının talebi her 90 günde bir güncellenmelidir; kimlik hırsızlığı kurbanı olsaydınız, bir polis raporu gönderebilir ve yedi yıl boyunca iyi bir dolandırıcılık uyarısı alabilirsiniz.

Kredi dondurma, daha sert bir önlem, kredi raporunuza hiç kimsenin erişememesi Çözülüyorsun. Kredi raporunuzu dondurma ve çözme ücreti vardır; Bazı devletler kimlik hırsızlığı kurbanı olmanız ve olayı belgeleyebilmeniz durumunda donma maliyetinden vazgeçerler. FTC sitesinde, uyarı ve donmaların nasıl elde edileceği hakkında bilgi var.

Hiçbir araç, kredi raporunuzun ücretsiz bir kopyasını almanızı engeller. Mortgage şirketleri ve şu anda sizinle iş yapan diğer şirketler kredi geçmişinize erişiminizi korur; Sadece yeni sorular soğuyor. Bu önlemler devam eden kimlik hırsızlığını durdurmayacak ve yeni hesap oluşturulmasını önlemeyecekler, çünkü bazı yeni hesaplar kredi kontrolü gerektirmiyor.

Bu araçlar ve yasalar, krediyle ilgili veri ihlallerini ele alacak şekilde tasarlandıysa da, kişisel veriler şimdi yeni ve farklı formlarda sızıyor. Suçlular, mobil operatörlerin kullanıcı hesap bilgilerini seri numaraları ile nasıl ilişkilendirdiğini tahmin ederse, belki de veri ihlali olarak nitelendirilenlerin yeni ve daha iyi tanımları gereklidir. Buradaki ders, daha sonra baş ağrısına sebep olacak kadar küçük bir sızıntı olmamasıdır.