Банк потерял ваши данные учетной записи? Вот что делать

Иллюстрация Jashar AwanUntil в начале июня AT & T выпустила онлайн-инструмент, который помог владельцам iPad 3G зарегистрироваться для своего мобильного Wi-Fi-сервиса: пользователи набрали 19-значный серийный номер для своих Микро-SIM-карта iPad, также известная как ICC-ID (идентификатор карты), и сайт вернул адрес электронной почты, который владелец использовал для проверки регистрации. AT & T использовала этот адрес электронной почты для заполнения поля входа в регистрационную форму.

Группа исследователей, названная Goatse Security, обнаружила недостаток этого инструмента и создала сценарий, который произвольно создавал и отправлял номера ICC-ID на сайт. Они вернули более 114 000 адресов электронной почты, в том числе сотрудников Белого дома, Рама Эмануэля, мэра Нью-Йорка Майкла Блумберга и других громких владельцев iPad. Goatse Security сначала не связалась с AT & T, но они подождали, пока компания изменит сайт, прежде чем предоставлять адреса электронной почты и серийные номера редактору Gawker.com, который затем раскрыл недостаток.

Если такие, казалось бы, тривиальные утечки с учетом действующих законов о нарушении данных? И если им нужно, насколько серьезной является угроза кражи идентификационной информации, когда злоумышленник получает адрес электронной почты и серийный номер?

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Нарушение? Какое нарушение?

В соответствии с действующим законодательством AT & T не должно раскрывать информацию об адресах электронной почты или серийных номерах. Дороти Этвуд (Dorothy Attwood), главный сотрудник отдела конфиденциальности AT & T, заявила, что извинилась перед iPad 3G, что Goatse «намеренно прилагает огромные усилия со случайной программой для извлечения возможных идентификаторов ICC и захвата адресов электронной почты клиентов». Attwood также подчеркнул, что веб-сайт AT & T не привел непосредственно к финансовой или личной информации.

Хотя открытый адрес электронной почты может привлечь больше спама, ICC-ID сам по себе должен быть бесполезным. Однако, выступая в SOURCE Boston в апреле, Ник ДеПетрильо и Дон А. Бейли показали, как ICC-ID, например, используемые AT & T, могут использоваться для определения более важного номера IMSI (International Mobile Subscriber Identity) для каждого владельца учетной записи. Хотя это было специфично для атаки на сеть мобильных телефонов GSM, разговоры ДеПетрильо и Бэйли (см. PDF-презентацию) показали, как IMSI могут помочь выявить личность владельца учетной записи и другую информацию.

Законы уведомления

Как в апреле 46 штатов и три территории США имеют законы для уведомления потребителей, чья информация могла быть скомпрометирована при нарушениях данных, согласно Национальной конференции законодательных органов штата. (Ни один из них не касается утечек данных SIM-карты.) В Алабаме, Кентукки, Нью-Мексико и Южной Дакоте еще нет таких законов о нарушении данных. Закон о федеральном уведомлении не существует, но он может быть в работе. Федеральный закон, характерный для нарушений данных о медицинских услугах (см. PDF), стал реальностью в рамках Американского закона о восстановлении и реинвестировании 2009 года.

Большинство законов штата отражают закон Калифорнии SB1386, в котором определяется «личная информация» в качестве имени и фамилии, плюс любая комбинация номера социального страхования, водительского удостоверения, номера счета или номера кредитной или дебетовой карты с паролем или кодом безопасности. Утечки незашифрованных персональных данных должны быть раскрыты, если только в правоохранительных органах (в этом случае раскрытие информации может быть отложено). Зашифрованные данные освобождаются.

В ожидании пересмотра в 2010 году закона Калифорнии, SB1166, содержатся улучшения, внесенные другими государствами, такие как описание события нарушения данных в письме-уведомлении, копия которого должна перейти к генеральная прокуратура.

Arm Thyself

Хотя закон в настоящее время играет в догонялки, потребители могут принять меры для себя. У Федеральной торговой комиссии есть информативный сайт, в котором рассказывается, как защищать от кражи личных данных, а также о том, какие шаги следует предпринять, если вы станете жертвой.

Кроме того, Закон о справедливой и точной кредитной операции от 2003 года позволяет потребителям ежегодно получать один бесплатный кредитный отчет от каждого из трех кредитных бюро. Эксперты советуют писать в другое кредитное бюро каждые четыре месяца, чтобы в течение года вы получали все три отчета. Иногда в трех отчетах есть расхождения; FACTA облегчает для потребителей устранение ошибок.

FACTA также внедрила ряд инструментов потребительского кредитования. Один из них - предупреждение о мошенничестве, которое требует, чтобы кто-либо из вас делал запрос или менял свой кредитный отчет, чтобы сначала связаться с вами. Запрос на предупреждение необходимо обновлять каждые 90 дней; если вы стали жертвой кражи идентификационной информации, вы можете подать полицейский отчет и получить расширенное предупреждение о мошенничестве, которое будет работать в течение семи лет.

Замораживание кредита, более решительная мера, не позволяет никому получить доступ к вашему отчету о кредите без размораживая его. Существует плата за замораживание и размораживание вашего кредитного отчета; некоторые государства отказываются от стоимости замораживания, если вы стали жертвой кражи личных данных и можете документировать событие. На сайте FTC есть информация о том, как получать предупреждения и зависания.

Ни один из инструментов не позволяет вам получить бесплатную копию вашего кредитного отчета. Ипотечные компании и другие, которые в настоящее время ведут бизнес с вами, сохраняют доступ к вашей кредитной истории; только новые запросы прекращаются. Эти меры не остановят текущую кражу идентификационных данных и не предотвратят создание новых учетных записей, поскольку некоторые новые учетные записи не требуют проверки кредита.

Хотя эти инструменты и законы были разработаны для устранения нарушений данных, связанных с кредитами, персональные данные теперь протекает в новых и разных формах. Если преступники могут угадать, как мобильные операторы связывают учетную информацию пользователей с серийными номерами, то, возможно, необходимы новые и лучшие определения того, что квалифицируется как нарушение данных. Урок здесь заключается в том, что утечка не слишком мала, чтобы вызвать серьезные головные боли позже.