Bank heeft uw accountgegevens verloren? Wat u moet doen

Illustratie door Jashar Awan Begin juni had AT & T een online tool waarmee iPad 3G-bezitters zich konden aanmelden voor hun mobiele Wi-Fi-service: gebruikers typten het 19-cijferige serienummer voor hun De micro-simkaart van de iPad, ook bekend als de ICC-ID (kaartidentificatie van de geïntegreerde schakeling), en de site retourneerde het e-mailadres dat de eigenaar had gebruikt om de registratie te verifiëren. AT & T gebruikte dat e-mailadres om een ​​inlogveld in te vullen op het webregistratieformulier.

Een groep onderzoekers genaamd Goatse Security zag een fout in deze tool en creëerde een script dat willekeurig gegenereerde en verzonden ICC-ID-nummers bevatte naar de site. Ze kregen meer dan 114.000 e-mailadressen terug, waaronder die van stafchef Rahm Emanuel van White House, burgemeester van New York, Michael Bloomberg en andere spraakmakende iPad-bezitters. Goatse Security nam eerst geen contact op met AT & T, maar ze hebben wel gewacht tot het bedrijf de site had gewijzigd voordat de e-mailadressen en serienummers werden verstrekt aan een Gawker.com-redacteur, die de fout vervolgens openbaarde.

Mochten dergelijke schijnbaar triviale lekken worden veroorzaakt onderhevig aan de huidige wetgeving inzake kennisgeving van inbreuk op gegevens? En zo ja, hoe ernstig is de dreiging van identiteitsdiefstal wanneer een aanvaller een e-mailadres en een serienummer verkrijgt?

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Schending? What Breuk?

Volgens de huidige wetgeving hoefde AT & T de blootstelling van de e-mailadressen of serienummers niet bekend te maken. Dorothy Attwood, AT & T's hoofdprivacyfunctionaris, beweerde in een verontschuldiging aan iPad 3G-klanten dat Goatse "opzettelijk veel moeite heeft gedaan met een willekeurig programma om mogelijke ICC-ID's te extraheren en e-mailadressen van klanten te achterhalen." Attwood benadrukte ook dat de AT & T-website niet direct leidde tot financiële of persoonlijke informatie.

Hoewel een zichtbaar e-mailadres meer spam zou kunnen aantrekken, zou de ICC-ID op zichzelf nutteloos moeten zijn. BRANK DePetrillo en Don A. Bailey spraken op SOURCE Boston in april en lieten zien hoe ICC-ID's, zoals die van AT & T, kunnen worden gebruikt om het belangrijkere IMSI-nummer (International Mobile Subscriber Identity) voor elke accounteigenaar te raden. Hoewel het specifiek was om het GSM-netwerk aan te vallen, toonden DePetrillo en Bailey's lezing (zie de PDF van hun presentatie) hoe IMSI's konden helpen de identiteit van de accounteigenaar en andere informatie te onthullen.

Notification Laws

As van april, 46 staten en drie Amerikaanse territoria hebben wetten voor kennisgeving van consumenten wiens informatie mogelijk is aangetast door gegevensinbreuken, volgens de Nationale Conferentie van wetgevingsautoriteiten. (Er is niet specifiek dekking voor lekken van gegevens op de simkaart.) Alabama, Kentucky, New Mexico en South Dakota hebben nog geen dergelijke wetgeving voor het melden van gegevensschendingen. Er bestaat geen federale notificatiewet, maar er kan wel één in de maak zijn. Een federale wet specifiek voor data-inbreuken in de gezondheidszorg (zie de PDF) werd een realiteit als onderdeel van de Amerikaanse Recovery and Reinvestment Act van 2009.

De meeste staatswetten weerspiegelen de Californische wet SB1386 2003, waarin "persoonlijke informatie" is gedefinieerd als voor- en achternaam, plus elke combinatie van een sofinummer, rijbewijs, accountnummer of creditcard- of bankpasnummer met een wachtwoord of beveiligingscode. Lekken van niet-versleutelde persoonlijke gegevens moeten openbaar worden gemaakt, tenzij in het kader van onderzoek naar rechtshandhaving (in welk geval de openbaarmaking kan worden uitgesteld). Versleutelde gegevens zijn vrijgesteld.

Een lopende revisie in 2010 van de wet van Californië, SB1166, bevat verbeteringen die andere staten hebben aangebracht, zoals een beschrijving van de gebeurtenis voor het overtreden van gegevens in de kennisgeving, waarvan een kopie naar de Kantoor van de procureur-generaal.

Arm Thyself

Hoewel de wet momenteel een inhaalslag maakt, kunnen consumenten zelf actie ondernemen. De Federal Trade Commission heeft een informatieve site die vertelt hoe je moet waken tegen identiteitsdiefstal, en welke stappen je moet nemen als je slachtoffer wordt.

Bovendien stelt de Fair and Accurate Credit Transaction Act van 2003 consumenten in staat om jaarlijks een gratis kredietrapport van elk van de drie kredietbureaus te verkrijgen. Deskundigen adviseren om elke vier maanden naar een ander kredietbureau te schrijven, zodat u in de loop van het jaar alle drie de rapporten verkrijgt. Soms hebben de drie rapporten verschillen; FACTA maakt het gemakkelijker voor consumenten om fouten op te lossen.

FACTA heeft ook een aantal tools voor consumentenkrediet geïntroduceerd. Een daarvan is een fraudewaarschuwing die vereist dat iemand die een aanvraag indient of wijzigt in uw kredietrapport, eerst contact met u opneemt. Het verzoek om de waarschuwing moet om de 90 dagen worden bijgewerkt; als u het slachtoffer bent geworden van identiteitsdiefstal, kunt u een politierapport indienen en een uitgebreide fraudewaarschuwing krijgen die goed is voor zeven jaar.

Een kredietbevriezing, een drastischer maatregel, voorkomt dat iemand uw kredietwaardigheidsrapport kan openen zonder je bevrijdt het. Er is een vergoeding om uw kredietrapport te bevriezen en te bevriezen; Sommige staten zien af ​​van de kosten van een bevriezing als u het slachtoffer bent geworden van identiteitsdiefstal en de gebeurtenis kunt documenteren. De FTC-site bevat informatie over het verkrijgen van waarschuwingen en het bevriezen.

Geen van beide hulpprogramma's voorkomt dat u een gratis exemplaar van uw kredietrapport ontvangt. Hypotheekbedrijven en anderen die op dit moment zaken met u doen, behouden toegang tot uw kredietgeschiedenis; alleen nieuwe vragen worden koud gestopt. Deze maatregelen zullen de lopende identiteitsdiefstal niet stoppen, en zullen ook het aanmaken van nieuwe accounts niet beletten, omdat sommige nieuwe accounts geen kredietcontrole vereisen.

Hoewel deze hulpmiddelen en wetten zijn ontworpen om kredietgerelateerde gegevensinbreuken aan te pakken, zijn persoonlijke gegevens nu lekkend in nieuwe en verschillende vormen. Als criminelen kunnen raden hoe mobiele providers accountgegevens van gebruikers aan serienummers koppelen, dan zijn misschien nieuwe en betere definities nodig van wat als een datalek kwalificeert. De les hier is dat geen lek te klein is om later grote hoofdpijn te veroorzaken.