Ngân hàng mất dữ liệu tài khoản của bạn? Đây là việc cần làm

Minh họa bởi Jashar AwanUntil đầu tháng 6, AT & T đã có một công cụ trực tuyến giúp chủ sở hữu iPad 3G đăng ký dịch vụ Wi-Fi di động của mình: Người dùng đã nhập số sê-ri gồm 19 chữ số cho Thẻ micro-SIM của iPad, còn được gọi là ICC-ID (bộ nhận dạng thẻ tích hợp) và trang web đã trả về địa chỉ email mà chủ sở hữu đã sử dụng để xác minh đăng ký. AT & T đã sử dụng địa chỉ email đó để điền vào trường đăng nhập trên biểu mẫu đăng ký Web.

Một nhóm các nhà nghiên cứu gọi là Goatse Security phát hiện lỗ hổng trong công cụ này và tạo ra một kịch bản được tạo ngẫu nhiên và gửi số ICC-ID vào trang web. Họ đã lấy lại hơn 114.000 địa chỉ email, bao gồm cả những người đứng đầu Nhà Trắng của Nhân viên Rahm Emanuel, Thị trưởng New York Michael Bloomberg và các chủ sở hữu iPad cao cấp khác. Goatse Security không liên lạc với AT & T trước, nhưng họ đã đợi cho đến khi công ty thay đổi trang web trước khi cung cấp địa chỉ e-mail và số sê-ri cho một biên tập viên của Gawker.com, người sau đó đã tiết lộ lỗ hổng.

tuân theo luật thông báo vi phạm dữ liệu hiện tại? Và nếu họ nên, mức độ nghiêm trọng là mối đe dọa của hành vi trộm cắp danh tính khi kẻ tấn công có được địa chỉ e-mail và số sê-ri?

[Đọc thêm: Cách xóa phần mềm độc hại khỏi PC Windows]

Vi phạm? Vi phạm gì?

Theo luật hiện hành, AT & T không phải tiết lộ sự tiếp xúc của địa chỉ e-mail hoặc số sê-ri. Dorothy Attwood, giám đốc bảo mật của AT & T, tuyên bố xin lỗi khách hàng iPad 3G rằng Goatse "cố tình đi đến những nỗ lực tuyệt vời với một chương trình ngẫu nhiên để trích xuất ICC-ID có thể và nắm bắt địa chỉ email của khách hàng." Attwood cũng nhấn mạnh rằng trang web của AT & T không dẫn trực tiếp đến thông tin tài chính hoặc cá nhân.

Trong khi địa chỉ e-mail tiếp xúc có thể thu hút nhiều spam hơn, bản thân ID của ICC sẽ vô dụng. Tuy nhiên, phát biểu tại SOURCE Boston vào tháng 4, Nick DePetrillo và Don A. Bailey đã chỉ ra cách thức ICC-ID như AT & T có thể được sử dụng để đoán số IMSI (Số nhận dạng thuê bao di động quốc tế) quan trọng hơn cho mỗi chủ tài khoản. Mặc dù nó đã được cụ thể để tấn công các mạng điện thoại di động GSM, DePetrillo và Bailey của nói chuyện (xem PDF của bài thuyết trình của họ) cho thấy cách IMSIs có thể giúp tiết lộ danh tính của chủ sở hữu tài khoản và các thông tin khác.

Thông báo Pháp luật

Như của tháng tư, 46 tiểu bang và ba lãnh thổ của Hoa Kỳ có luật thông báo cho người tiêu dùng có thông tin có thể đã bị xâm phạm trong vi phạm dữ liệu, theo Hội nghị quốc gia về lập pháp bang. (Không cụ thể bao gồm rò rỉ dữ liệu thẻ SIM.) Alabama, Kentucky, New Mexico và Nam Dakota chưa có các luật thông báo vi phạm dữ liệu như vậy. Không có luật thông báo liên bang nào tồn tại, nhưng có thể có trong tác phẩm. Một luật liên bang cụ thể cho các vi phạm về dữ liệu chăm sóc sức khỏe (xem PDF) đã trở thành hiện thực như một phần của Đạo luật Phục hồi và Tái đầu tư Hoa Kỳ năm 2009.

Hầu hết các luật tiểu bang đều phản ánh luật năm 2003 của SB1386, trong đó "thông tin cá nhân" được định nghĩa là họ và tên, cộng với bất kỳ sự kết hợp nào của số An sinh Xã hội, giấy phép lái xe, số tài khoản hoặc số thẻ tín dụng hoặc thẻ ghi nợ có mật khẩu hoặc mã bảo mật. Rò rỉ dữ liệu cá nhân không được mã hóa phải được tiết lộ trừ khi được điều tra thực thi pháp luật (trong trường hợp đó việc tiết lộ có thể bị trì hoãn). Dữ liệu được mã hóa được miễn.

Bản sửa đổi 2010 đang chờ xử lý theo luật California, SB1166, bao gồm các cải tiến mà các tiểu bang khác đã đưa ra, chẳng hạn như mô tả sự kiện vi phạm dữ liệu trong thư thông báo, một bản sao phải đi đến văn phòng luật sư

Bản thân mình

Mặc dù luật pháp hiện đang chơi bắt kịp, người tiêu dùng có thể tự hành động. Ủy ban Thương mại Liên bang có một trang thông tin cho biết cách bảo vệ chống lại hành vi trộm cắp danh tính, cũng như các bước cần thực hiện nếu bạn trở thành nạn nhân.

Ngoài ra, Đạo luật Giao dịch Tín dụng Công bằng và Chính xác năm 2003 cho phép người tiêu dùng nhận được một báo cáo tín dụng miễn phí từ mỗi phòng trong số ba văn phòng tín dụng hàng năm. Các chuyên gia tư vấn bằng văn bản cho một văn phòng tín dụng khác nhau cứ bốn tháng một lần để trong suốt cả năm bạn có được tất cả ba báo cáo. Đôi khi ba báo cáo có sự khác biệt; FACTA giúp người tiêu dùng dễ dàng giải quyết lỗi hơn.

FACTA cũng giới thiệu một số công cụ tín dụng tiêu dùng. Một là một cảnh báo lừa đảo yêu cầu bất kỳ ai thực hiện yêu cầu hoặc thay đổi báo cáo tín dụng của bạn để liên hệ với bạn trước tiên. Yêu cầu cảnh báo cần được cập nhật sau 90 ngày; nếu bạn là nạn nhân của hành vi trộm cắp danh tính, bạn có thể gửi báo cáo của cảnh sát và nhận cảnh báo gian lận mở rộng tốt trong 7 năm.

Đóng băng tín dụng, biện pháp quyết liệt hơn, ngăn mọi người truy cập vào báo cáo tín dụng của bạn bạn không thể giải thích nó. Có một khoản phí để đóng băng và hủy cố định báo cáo tín dụng của bạn; một số tiểu bang từ bỏ chi phí đóng băng nếu bạn là nạn nhân của hành vi trộm cắp danh tính và có thể ghi lại sự kiện. Trang FTC có thông tin về cách nhận thông báo và đóng băng.

Cả hai công cụ đều không cho phép bạn nhận được một bản báo cáo tín dụng miễn phí. Các công ty thế chấp và những công ty khác hiện đang kinh doanh với bạn giữ quyền truy cập vào lịch sử tín dụng của bạn; chỉ có những câu hỏi mới được ngừng lạnh. Các biện pháp này sẽ không ngăn chặn việc đánh cắp nhận dạng liên tục, cũng như không ngăn chặn việc tạo tài khoản mới, vì một số tài khoản mới không yêu cầu kiểm tra tín dụng.

Mặc dù các công cụ và luật này được thiết kế để giải quyết các vi phạm dữ liệu liên quan đến tín dụng. bây giờ bị rò rỉ ra ở các hình thức mới và khác nhau. Nếu bọn tội phạm có thể đoán cách các nhà cung cấp dịch vụ di động kết hợp thông tin tài khoản của người dùng với số sê-ri thì có lẽ các định nghĩa mới và tốt hơn về những gì đủ điều kiện là vi phạm dữ liệu là cần thiết. Bài học ở đây là không có rò rỉ quá nhỏ để gây đau đầu lớn sau này.