Do početka juna, AT&T je imao mrežni alat koji je vlasnicima iPad 3G-a pomagao da se prijave za svoju mobilnu Wi-Fi uslugu: korisnici su upisali 19-znamenkasti serijski broj svoje iPad-ove mikro-SIM kartice, poznate i kao ICC-ID (integrirani Identifikator kartice kruga) i web mjesto vratilo je adresu e-pošte koju je vlasnik morao koristiti za provjeru upisa. AT&T je upotrijebio tu adresu za popunjavanje polja na web obrascu za prijavu.
Grupa istraživača pod nazivom Goatse Security prepoznala je propust i stvorila skriptu koja je nasumično generirala ICC-ID brojeve i poslala ih na web lokaciju. Dobili su oko 114.000 adresa e-pošte, uključujući adrese Rahma Emanuela, šefa ureda Bijele kuće, i adrese gradonačelnika New Yorka Michaela Bloomberga. Goatse Security nije prvo nazvao AT&T, već je sačekao da se stranica promijeni prije nego što je pružio serijske brojeve i adrese e-pošte izdavaču Gawker.com, koji je potom otkrio nedostatak.
Prema važećem zakonu, AT&T nije morao otkriti adrese ili serijske brojeve. Dorothy Attwood, glavna službenica za zaštitu privatnosti AT & T-a, navodi u izvinjenju kupcima iPad 3G-a da je Goatse "namjerno učinio sve što je mogao slučajnim programom za izdvajanje potencijalnih ICC-ID-ova i zauzimanje adresa e-pošte kupaca".
Attwood je također upozorio da web lokacija AT&T nije direktno vodila do financijskih ili ličnih podataka. Iako bi otkrivanje adrese e-pošte moglo dovesti do povećanja neželjene pošte, sam ICC-ID trebao bi biti beskoristan. Međutim, govoreći na sastanku SOURCE u Bostonu u aprilu, Nick DePetrillo i Don A. Bailey pokazali su kako se ICC-ID-ovi koje koristi AT&T mogu koristiti za pogađanje najvažnijeg IMSI broja (Međunarodnog identiteta pretplatnika) svakog vlasnika računa. Iako specifični za napade na GSM mrežu mobilnih telefona, govor DePetrilla i Baileyja pokazao je kako IMSI mogu pomoći u otkrivanju identiteta vlasnika i drugih informacija.
NASTAVITE POSLE SKOKA
Od aprila 46 država i tri teritorije imale su zakone kojima se obavještavaju potrošači čije bi informacije mogle biti ugrožene krađom podataka, prema Nacionalnoj konferenciji državnih zakonodavaca. (Nijedno posebno ne pokriva curenje podataka sa SIM kartice.) Alabama, Kentucky, Novi Meksiko i Južna Dakota još nemaju ove zakone. Ne postoji savezni zakon o obavještavanju, ali oni možda rade na jednom. Federalni zakon specifičan za krađu podataka u vezi sa zdravstvom nastao je kao dio američkog Zakona o oporavku i ponovnom ulaganju iz 2009. godine.
Iako se zakon trenutno pokušava sustići, potrošači mogu djelovati samostalno. Web mjesto Federalne komisije za trgovinu govori vam kako se zaštititi od krađe identiteta i što učiniti ako postanete žrtva.
Pored toga, Zakon o poštenim i korektnim kreditnim transakcijama iz 2003. omogućava potrošačima da svake godine dobiju besplatno kreditno izvješće iz svakog od tri kreditna biroa. Ponekad tri izvještaja imaju odstupanja; s FACTA-om je potrošačima lakše ispraviti ove pogreške.
Iako su ovi alati i zakoni osmišljeni kako bi se bavili krađom podataka povezanih s kreditnim podacima, lični podaci sada propuštaju na nove i drugačije načine. Ako kriminalci mogu pogoditi kako telefonske kompanije povezuju podatke o korisničkom računu sa serijskim brojevima, tada su možda potrebne nove i bolje definicije onoga što predstavlja krađu podataka. Pouka je ovdje da nema krađe koja je premala da bi kasnije izazvala velike glavobolje.
Izvor: Pcwla.com
Da li ste korisnik Facebook i još uvijek se niste pridružili našoj stranici? Ovdje se možete pridružiti ako želite, samo pritisnite