Banken förlorade dina kontouppgifter? Här är vad du ska göra

Illustration av Jashar Awan Fram till början av juni hade AT & T ett onlineverktyg som hjälpte iPad 3G-ägare att registrera sig för sin mobila Wi-Fi-tjänst: Användare skrev i det 19-siffriga serienumret för deras iPads mikro-SIM-kort, även känt som ICC-ID (integrerad kretskortsidentifierare), och webbplatsen returnerade den e-postadress som ägaren hade använt för att verifiera registreringen. AT & T använde den e-postadressen för att fylla i ett inloggningsfält på webbregistreringsformuläret.

En grupp forskare som heter Goatse Security upptäckte ett fel i det här verktyget och skapade ett skript som slumpmässigt genererade och skickade ICC-ID-nummer till webbplatsen. De kom tillbaka över 114 000 e-postadresser, inklusive de anställda av White House Chef Rahm Emanuel, borgmästaren i New York Michael Bloomberg och andra högprofilerade iPad-ägare. Goatsäkerhet kontaktade inte AT & T först, men de väntade tills företaget bytte plats innan de gav e-postadresserna och serienumren till en Gawker.com-redaktör, som sedan avslöjade felet.

Bör sådana till synes triviala läckor vara med förbehåll för gällande lagar om lagring av uppgifter om överträdelser? Och om de borde, hur seriöst är hotet om identitetsstöld när en angripare får en e-postadress och ett serienummer?

[Läs vidare: Så här tar du bort skadlig kod från din Windows-dator]

Brott? Vilken överträdelse?

Enligt gällande lag var AT & T inte skyldig att avslöja exponeringen för e-postadresserna eller serienumren. Dorothy Attwood, huvudansvarig för AT & T, hävdade i en ursäkt till iPad 3G-kunder att Goatse "medvetet gick till stora ansträngningar med ett slumpmässigt program för att extrahera möjliga ICC-ID och fånga kundens e-postadresser." Attwood betonade också att AT & T-webbplatsen inte ledde direkt till ekonomisk eller personlig information.

Medan en exponerad e-postadress kan locka till mer skräppost, bör ICC-idet i sig vara värdelöst. Men när de talade vid SOURCE Boston i april visade Nick DePetrillo och Don A. Bailey hur ICC-ID som de som anställs av AT & T kan användas för att gissa det viktigaste IMSI-nummeret (International Mobile Subscriber Identity) för varje kontoägare. Även om det var specifikt att attackera GSM-mobilnätet, visade DePetrillo och Bailey's tal (se PDF i deras presentation) hur IMSIs skulle kunna bidra till att avslöja kontoägarens identitet och annan information.

Notifieringslagar

As i april, 46 stater och tre amerikanska territorier har lagar för anmälan av konsumenter vars information kan ha äventyras vid överträdelser av uppgifter, enligt den nationella konferensen för statliga lagstiftare. (Ingen specifikt täcker läckor av SIM-kortdata.) Alabama, Kentucky, New Mexico och South Dakota har ännu inte sådana lagar om lagring av dataspridning. Ingen federal anmälningslag finns, men man kan vara i arbetena. En federal lag som är specifik för hälsofrämjande överträdelser (se PDF-filen) blev en verklighet som en del av den amerikanska återvinnings- och återinvesteringslagen från 2009.

De flesta statliga lagar speglar Kaliforniens lag 2003 SB1386, där "personuppgifter" definieras som för- och efternamn samt eventuell kombination av ett personnummer, körkort, kontonummer eller kredit- eller betalkortnummer med lösenord eller säkerhetskod. Läckage av okrypterade personuppgifter måste avslöjas om det inte är lagligt att utreda (i vilket fall upplysningen kan försenas). Krypterad data är undantagen.

En väntande 2010-översyn till Kalifornienlag, SB1166, innehåller förbättringar som andra stater har gjort, till exempel en beskrivning av databrottshändelsen i anmälningsbrevet, en kopia av vilken måste gå till advokatens generalsekreterare.

Arm Thyself

Även om lagen spelar för tillfället, kan konsumenterna vidta åtgärder för sig själva. Federal Trade Commission har en informativ webbplats som beskriver hur man skyddar mot identitetsstöld, samt vilka åtgärder du ska vidta om du blir offer.

Dessutom tillåter konsumenten i Fair och Accurate Credit Transaction 2003 att få en gratis kreditrapport från var och en av de tre kreditbyråerna årligen. Experter rekommenderar att du skriver till en annan kreditbyrå var fjärde månad så att du under året får alla tre rapporterna. Ibland har de tre rapporterna skillnader; FACTA gör det lättare för konsumenterna att lösa fel.

FACTA införde också ett antal konsumentkrediter. En är en bedrägeribekännelse som kräver att någon gör en förfrågan eller byter till din kreditrapport för att kontakta dig först. Begäran om varning behöver uppdateras var 90: e dag Om du har blivit offer för identitetsstöld, kan du lämna in en polisrapport och få en utökad bedrägeribekännelse som är bra i sju år.

En kreditfrysning, en mer drastisk åtgärd, hindrar någon från att komma åt din kreditrapport utan din unfreezing det. Det finns en avgift för att frysa och befria din kredit rapport; vissa stater avstår från kostnaden för frysning om du har blivit offer för identitetsstöld och kan dokumentera händelsen. FTC-webbplatsen har information om hur man får varningar och fryser.

Varken verktyg hindrar dig från att få en gratis kopia av din kreditrapport. Låneföretag och andra som för närvarande gör affärer med dig behåller tillgång till din kredithistoria; Endast nya förfrågningar slutar kalla. Dessa åtgärder kommer inte att stoppa pågående identitetsstöld, och de kommer inte att förhindra att nya konton skapas, eftersom vissa nya konton inte kräver en kreditkontroll.

Även om dessa verktyg och lagar utformades för att hantera kreditrelaterade dataöverträdelser är personuppgifter nu läcker ut i nya och olika former. Om brottslingar kan gissa hur mobila operatörer associerar användares kontouppgifter med serienumrar, kanske det är nödvändigt att nya och bättre definitioner av vad som kvalificeras som en dataöverträdelse är nödvändiga. Läran här är att ingen läcka är för liten för att orsaka stora huvudvärk senare.