ข้อมูลบัญชีธนาคารหายไปแล้ว? นี่คือสิ่งที่ต้องทำ

ภาพประกอบโดย Jashar AwanUntil เมื่อต้นเดือนมิถุนายน AT & T มีเครื่องมือออนไลน์ที่ช่วยให้เจ้าของ iPad 3G ลงชื่อสมัครใช้บริการ Wi-Fi ผ่านมือถือ: ผู้ใช้พิมพ์หมายเลขประจำตัว 19 หลักสำหรับ ซิมการ์ดของ iPad หรือที่เรียกว่า ICC-ID (ตัวระบุการ์ดวงจรรวม) และไซต์ส่งคืนที่อยู่อีเมลที่เจ้าของใช้ในการยืนยันการลงทะเบียน AT & T ใช้ที่อยู่อีเมลดังกล่าวในการกรอกข้อมูลลงในฟอร์มการลงทะเบียนเว็บ

กลุ่มนักวิจัยชื่อ Goatse Security พบข้อบกพร่องในเครื่องมือนี้และสร้างสคริปต์ที่สุ่มสร้างและส่งหมายเลข ICC-ID ไปยังไซต์ พวกเขาได้รับที่อยู่อีเมลมากกว่า 114,000 ฉบับรวมทั้งนาย Rahm Emanuel ของ White House นายกเทศมนตรีเมือง New York นาย Michael Bloomberg และเจ้าของ iPad รายอื่น ๆ Goatse Security ไม่ได้ติดต่อ AT & T ก่อน แต่พวกเขารอจนกว่า บริษัท จะเปลี่ยนไซต์ก่อนที่จะให้ที่อยู่อีเมลและหมายเลขซีเรียลให้กับบรรณาธิการของ Gawker.com ซึ่งจะเปิดเผยข้อบกพร่องนี้

การรั่วไหลเล็กน้อยน่าจะเป็นเช่นนั้น ภายใต้กฎหมายการแจ้งข้อมูลการละเมิดข้อมูลในปัจจุบันหรือไม่? และถ้าเป็นเช่นนั้นภัยคุกคามการโจรกรรมข้อมูลจะรุนแรงเพียงใดเมื่อผู้โจมตีได้รับอีเมลแอดเดรสและหมายเลขซีเรียล

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

การละเมิด? สิ่งที่ละเมิด?

ภายใต้กฎหมายปัจจุบัน AT & T ไม่จำเป็นต้องเปิดเผยการเปิดเผยที่อยู่อีเมลหรือหมายเลขประจำสินค้า Dorothy Attwood เจ้าหน้าที่ด้านข้อมูลส่วนบุคคลของ AT & T กล่าวอ้างการขอโทษกับลูกค้า iPad 3G ว่า Goatse ได้พยายามอย่างยิ่งที่จะใช้โปรแกรมสุ่มเพื่อแยก ICC-IDs และรวบรวมที่อยู่อีเมลของลูกค้า Attwood ยังเน้นว่าเว็บไซต์ของ AT & T ไม่นำข้อมูลทางการเงินหรือข้อมูลส่วนบุคคลมาใช้โดยตรง

ขณะที่ที่อยู่อีเมลที่เปิดเผยอาจดึงดูดสแปมได้มากขึ้น ICC-ID จะไม่สามารถใช้งานได้ อย่างไรก็ตามการพูดที่ SOURCE Boston ในเดือนเมษายนนิค DePetrillo และ Don A. Bailey แสดงให้เห็นว่า ICC-ID เช่น AT & T ที่ใช้ในการคาดเดาหมายเลข IMSI (International Mobile Subsitment) ที่สำคัญยิ่งขึ้นสำหรับเจ้าของบัญชีแต่ละราย แม้ว่าจะมีเฉพาะการโจมตีเครือข่ายโทรศัพท์มือถือระบบ GSM การพูดคุยของ DePetrillo และ Bailey ก็แสดงให้เห็นว่า IMSIs สามารถช่วยในการเปิดเผยตัวตนของเจ้าของบัญชีและข้อมูลอื่น ๆ ได้อย่างไร

กฎหมายการออกประกาศ

เป็น ของเดือนเมษายน 46 รัฐและสามอาณาเขตของสหรัฐฯมีกฎหมายสำหรับการแจ้งเตือนของผู้บริโภคที่มีข้อมูลอาจถูกบุกรุกในการละเมิดข้อมูลตามที่สภาแห่งชาติของสภานิติบัญญัติแห่งชาติ (ไม่มีเฉพาะการปกปิดการรั่วไหลของข้อมูลในซิมการ์ด) แอละแบมาเคนตั๊กกี้มลรัฐนิวเม็กซิโกและเซาท์ดาโคตายังไม่มีกฎหมายการแจ้งข้อมูลละเมิดดังกล่าว ไม่มีกฎหมายการแจ้งเตือนของรัฐบาลกลางมีอยู่ แต่อาจมีอยู่ในผลงาน กฎหมายของรัฐบาลกลางที่เกี่ยวข้องกับการละเมิดข้อมูลด้านสุขภาพ (ดู PDF) กลายเป็นความจริงในฐานะส่วนหนึ่งของ American Recovery and Reinvestment Act of 2009.

กฎหมายของรัฐส่วนใหญ่สะท้อนกฎหมาย California 2003 SB1386 ซึ่งมีการกำหนด "ข้อมูลส่วนบุคคล" เป็นชื่อและนามสกุลรวมทั้งหมายเลขประกันสังคมใบอนุญาตขับขี่หมายเลขบัญชีหรือหมายเลขบัตรเครดิตหรือเดบิตที่มีรหัสผ่านหรือรหัสความปลอดภัย การรั่วไหลของข้อมูลส่วนบุคคลที่ไม่ได้รับการเข้ารหัสจะต้องเปิดเผยเว้นเสียแต่ว่าภายใต้การสอบสวนการบังคับใช้กฎหมาย (ในกรณีนี้การเปิดเผยข้อมูลอาจล่าช้า) ข้อมูลที่เข้ารหัสลับได้รับการยกเว้น

การแก้ไขปรับปรุงกฎหมายฉบับแคลิฟอร์เนีย 2010 SB1166 รวมถึงการปรับปรุงที่รัฐอื่น ๆ ทำขึ้นเช่นคำอธิบายเหตุการณ์การละเมิดข้อมูลในหนังสือแจ้งซึ่งสำเนาต้องไปที่ สำนักงานอัยการสูงสุด

แขนของตัวเอง

แม้ว่ากฎหมายกำลังเล่นการจับกุมผู้บริโภคสามารถดำเนินการเองได้ Federal Trade Commission มีเว็บไซต์ข้อมูลที่จะบอกวิธีการป้องกันการโจรกรรมข้อมูลเช่นเดียวกับขั้นตอนการดำเนินการหากคุณตกเป็นเหยื่อ

นอกจากนี้พระราชบัญญัติการทำธุรกรรมเครดิตที่ยุติธรรมและถูกต้องของธุรกรรม 2003 ช่วยให้ผู้บริโภคได้รับรายงานเครดิตฟรีหนึ่งจากแต่ละสามเครดิตบูโรประจำปี ผู้เชี่ยวชาญแนะนำให้เขียนจดหมายไปยังสำนักเครดิตอื่นทุกสี่เดือนเพื่อที่คุณจะได้รายงานทั้งสามฉบับในช่วงปี บางครั้งรายงานทั้งสามมีความคลาดเคลื่อน FACTA ทำให้ผู้บริโภคสามารถแก้ไขข้อผิดพลาดได้ง่ายขึ้น

FACTA ได้แนะนำเครื่องมือเครดิตสำหรับผู้บริโภคจำนวนมากด้วย หนึ่งคือการแจ้งเตือนการฉ้อโกงซึ่งกำหนดให้ทุกคนที่ทำการสอบถามหรือเปลี่ยนแปลงรายงานเครดิตของคุณเพื่อติดต่อคุณก่อน การร้องขอสำหรับการแจ้งเตือนต้องได้รับการปรับปรุงทุกๆ 90 วัน หากคุณตกเป็นเหยื่อของการโจรกรรมข้อมูลคุณสามารถยื่นรายงานของตำรวจและขอรับการแจ้งเตือนการฉ้อโกงอันยาวนานได้ดีเป็นเวลาเจ็ดปี

การตรึงเครดิตให้เป็นมาตรการที่เข้มงวดมากขึ้นจะช่วยป้องกันไม่ให้ใครเข้าถึงรายงานเครดิตของคุณได้โดยไม่ต้องเสียค่าใช้จ่าย การคลี่คลายของคุณ มีค่าธรรมเนียมในการตรึงและยกเลิกการรายงานเครดิตของคุณ บางรัฐยกเว้นค่าใช้จ่ายในการหยุดทำงานหากคุณเป็นเหยื่อของการโจรกรรมข้อมูลและสามารถจัดทำเอกสารเหตุการณ์ได้ ไซต์ FTC มีข้อมูลเกี่ยวกับวิธีรับการแจ้งเตือนและการค้าง

เครื่องมือทั้งสองนี้ป้องกันคุณจากการได้รับรายงานเครดิตฟรี บริษัท สินเชื่อที่อยู่อาศัยและอื่น ๆ ที่ทำธุรกิจกับคุณยังสามารถเข้าถึงประวัติเครดิตของคุณได้ เฉพาะการสอบถามข้อมูลใหม่ ๆ เท่านั้นที่จะหยุดความหนาวเย็น มาตรการเหล่านี้จะไม่ขัดขวางการขโมยข้อมูลประจำตัวและจะป้องกันไม่ให้มีการสร้างบัญชีใหม่เนื่องจากบัญชีใหม่บางบัญชีไม่จำเป็นต้องมีการตรวจสอบเครดิต

แม้ว่าเครื่องมือและกฎหมายเหล่านี้ได้รับการออกแบบมาเพื่อแก้ไขปัญหาการละเมิดข้อมูลเครดิต ตอนนี้รั่วออกมาในรูปแบบใหม่และแตกต่างกัน หากอาชญากรสามารถคาดเดาได้ว่าผู้ให้บริการโทรศัพท์มือถือเชื่อมโยงข้อมูลบัญชีของผู้ใช้กับหมายเลขซีเรียลได้อย่างไรจำเป็นต้องมีคำจำกัดความใหม่และดีกว่าสำหรับสิ่งที่มีคุณสมบัติเป็นข้อมูลที่ละเมิด บทเรียนที่นี่ไม่มีรั่วไหลมีขนาดเล็กเกินไปที่จะทำให้เกิดอาการปวดหัวได้ในเวลาต่อมา