هل فقد البنك بيانات حسابك؟ إليك ما يجب فعله

التوضيح من قبل Jashar AwanUntil في أوائل شهر يونيو ، كانت AT & T أداة عبر الإنترنت ساعدت مالكي iPad 3G على الاشتراك في خدمة Wi-Fi للجوال: المستخدمون الذين تمت كتابتهم في الرقم التسلسلي المكون من 19 رقمًا بطاقة micro-SIM من iPad ، والمعروفة أيضًا باسم ICC-ID (معرف بطاقة الدائرة المتكاملة) ، وأعاد الموقع عنوان البريد الإلكتروني الذي استخدمه المالك للتحقق من التسجيل. استخدمت AT & T عنوان البريد الإلكتروني هذا لملء حقل تسجيل الدخول في نموذج التسجيل على الويب.

رصدت مجموعة من الباحثين تسمى Goatse Security خللاً في هذه الأداة ، وأنشأت برنامجًا نصيًا تم إنشاؤه عشوائيًا وقدم أرقام ICC-ID إلى الموقع. لقد استعادوا أكثر من 114000 عنوان بريد إلكتروني ، بما في ذلك رئيس موظفي البيت الأبيض رام إيمانويل ، وعمدة نيويورك مايكل بلومبرغ ، وأصحاب شركات آيباد آخرين رفيعي المستوى. لم يتصل Goatse Security بشركة AT & T في البداية ، لكنهم انتظروا حتى غيّرت الشركة الموقع قبل تقديم عناوين البريد الإلكتروني والأرقام التسلسلية إلى محرر Gawker.com ، الذي كشف النقاب عن هذا الخلل.

إذا كانت هذه التسريبات تبدو بسيطة تخضع لقوانين الإخطار الحالية للبيانات الخرق؟ وإذا كان الأمر كذلك ، فما مدى خطورة خطر سرقة الهوية عند حصول المهاجم على عنوان بريد إلكتروني ورقم تسلسلي؟

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows لديك

خرق؟ ما الخرق؟

بموجب القانون الحالي ، لم يكن AT & T للكشف عن تعرض عناوين البريد الإلكتروني أو الأرقام التسلسلية. وطالبت دورثي أتوود ، المسؤولة الرئيسية عن الخصوصية في شركة AT & T ، في اعتذار لعملاء الجيل الثالث من أجهزة iPad ، بأن Goatse "تعمد بذل جهود كبيرة باستخدام برنامج عشوائي لاستخراج بطاقات ICC-ID والتقاط عناوين البريد الإلكتروني للعملاء". وشدد Attwood أيضًا على أن موقع AT & T الإلكتروني لا يؤدي مباشرة إلى معلومات مالية أو شخصية.

في حين أن عنوان البريد الإلكتروني المكشوف قد يجذب المزيد من الرسائل غير المرغوب فيها ، فإن بطاقة ICC-ID وحدها لا فائدة منها. ومع ذلك ، تحدث في برنامج SOURCE Boston في أبريل ، أظهر Nick DePetrillo و Don A. Bailey كيف يمكن استخدام أرقام ICC-ID مثل تلك التي تستخدمها AT & T لتخمين رقم IMSI (رقم هوية المشتركون الدولي) الأكثر أهمية لكل مالك حساب. على الرغم من أنه كان مخصصًا للهجوم على شبكة الهاتف المحمول GSM ، فقد أظهر كل من DePetrillo و Bailey (راجع PDF لعرضها) كيف يمكن أن تساعد IMSIs في الكشف عن هوية مالك الحساب وغيرها من المعلومات.

Notification Laws

As من أبريل ، 46 دولة وثلاثة أقاليم الولايات المتحدة لديها قوانين لإخطار المستهلكين الذين قد يكون قد تم اختراق معلوماتهم في خروقات البيانات ، وفقا للمؤتمر الوطني للهيئات التشريعية للدولة. (لا يوجد تغطية خاصة لتغطية بيانات بطاقة SIM.) لا يوجد في ألاباما ، كنتاكي ، نيومكسيكو ، وساوث داكوتا حتى الآن قوانين الإخطار هذه المتعلقة بانتهاك البيانات. لا يوجد قانون إخطار اتحادي ، ولكن قد يكون هناك واحد في الأشغال. أصبح القانون الاتحادي الخاص بانتهاكات بيانات الرعاية الصحية (انظر PDF) حقيقة واقعة كجزء من قانون الانتعاش الأمريكي وإعادة الاستثمار لعام 2009.

تعكس معظم قوانين الولاية قانون ولاية كاليفورنيا 2003 SB1386 ، والذي يتم فيه تعريف "المعلومات الشخصية". كأسماء أول وأخيرة ، بالإضافة إلى أي مجموعة من رقم الضمان الاجتماعي ، أو رخصة القيادة ، أو رقم الحساب ، أو رقم بطاقة الائتمان أو الخصم باستخدام كلمة مرور أو رمز أمان. يجب الإفصاح عن أي تسرب للبيانات الشخصية غير المشفرة ما لم يتم إجراء تحقيق بموجب القانون (في هذه الحالة يمكن تأجيل الكشف). المعطيات المشفرة معفاة.

مراجعة معلقة لعام 2010 لقانون كاليفورنيا ، SB1166 ، تتضمن التحسينات التي أجرتها الدول الأخرى ، مثل وصف حدث خرق البيانات في خطاب الإخطار ، يجب أن تنتقل نسخة منه إلى مكتب المدعي العام.

تسليح نفسك

على الرغم من أن القانون يلعب حاليًا دور اللحاق بالركب ، يمكن للمستهلكين اتخاذ إجراء لأنفسهم. لدى لجنة التجارة الفيدرالية موقع إعلامي يخبرنا كيف نحمي من سرقة الهوية ، بالإضافة إلى الخطوات التي يجب اتخاذها إذا أصبحت ضحية.

بالإضافة إلى ذلك ، يسمح قانون المعاملات العادلة والدقيقة لعام 2003 للمستهلكين بالحصول على تقرير ائتمان واحد مجاني من كل من مكاتب الائتمان الثلاثة سنويًا. ينصح الخبراء بالكتابة إلى مكتب ائتمان مختلف كل أربعة أشهر حتى تحصل على التقارير الثلاثة على مدار العام. في بعض الأحيان تحتوي التقارير الثلاثة على تناقضات. تسهل FACTA على المستهلكين حل الأخطاء.

قدم FACTA عددًا من أدوات الائتمان الاستهلاكي أيضًا. واحد هو تنبيه الاحتيال الذي يتطلب أي شخص إجراء استعلام أو تغيير في تقرير الائتمان الخاص بك للاتصال بك أولا. يجب تحديث طلب التنبيه كل 90 يومًا ؛ إذا كنت ضحية لسرقة الهوية ، يمكنك تقديم تقرير للشرطة والحصول على تنبيه طويل بالاحتيال يكون جيدًا لمدة سبع سنوات.

تجميد الائتمان ، وهو مقياس أكثر صرامة ، يمنع أي شخص من الوصول إلى تقرير الائتمان الخاص بك دون افريزها. هناك رسوم لتجميد وتجميد تقرير الائتمان الخاصة بك ؛ تتنازل بعض الدول عن تكلفة التجميد إذا كنت ضحية لسرقة الهوية ويمكنها توثيق الحدث. يحتوي موقع FTC على معلومات حول كيفية الحصول على التنبيهات والتجمدات.

لا تمنعك أي أداة من الحصول على نسخة مجانية من تقرير الائتمان الخاص بك. تحتفظ شركات الرهن العقاري وغيرها من الشركات التي تتعامل معك حاليًا بإمكانية الوصول إلى تاريخك الائتماني ؛ فقط يتم إيقاف الاستفسارات الجديدة الباردة. لن توقف هذه التدابير سرقة الهوية المستمرة ، ولن تمنع إنشاء حساب جديد ، لأن بعض الحسابات الجديدة لا تتطلب التحقق من الائتمان.

على الرغم من أن هذه الأدوات والقوانين قد تم تصميمها لمعالجة انتهاكات البيانات المتعلقة بالائتمان ، فإن البيانات الشخصية تتسرب الآن في أشكال جديدة ومختلفة. إذا تمكن المجرمون من تخمين كيفية ربط شركات الجوال لمعلومات حساب المستخدمين بأرقام تسلسلية ، فربما تكون هناك حاجة لتعريفات جديدة وأفضل لما يؤهل للانتهاك. والدرس المستفاد هنا هو أنه لا يوجد تسرب صغير للغاية بحيث لا يسبب صداعًا كبيرًا في وقت لاحق.