Jusqu'au début juin, AT&T disposait d'un outil en ligne qui aidait les propriétaires d'iPad 3G à s'inscrire à leur service Wi-Fi mobile: les utilisateurs saisissaient le numéro de série à 19 chiffres de la carte micro-SIM de leur iPad, également connu sous le nom ICC-ID (Integrated Circuit Card Identifier) et le site a renvoyé l'adresse e-mail que le propriétaire devait utiliser pour vérifier l'inscription. AT&T a utilisé cette adresse pour remplir un champ sur le formulaire de saisie Web.
Un groupe de chercheurs appelé Goatse Security a reconnu une faille et a créé un script qui a généré de manière aléatoire des numéros ICC-ID et les a envoyés sur le site. Ils ont reçu quelque 114.000 XNUMX adresses e-mail, dont celles de Rahm Emanuel, le chef de cabinet de la Maison Blanche, et celles du maire de New York Michael Bloomberg. Goatse Security n'a pas d'abord appelé AT&T, mais a attendu que le site change avant de fournir les numéros de série et les adresses e-mail à l'éditeur de Gawker.com, qui a ensuite révélé la faille.
En vertu de la loi actuelle, AT&T n'avait pas à divulguer les adresses ou les numéros de série. Dorothy Attwood, responsable de la confidentialité d'AT & T, allègue dans ses excuses aux clients iPad 3G que Goatse "a délibérément fait de grands efforts avec un programme aléatoire pour extraire les identifiants ICC potentiels et capturer les adresses e-mail des clients."
Attwood a également averti que le site AT&T ne conduisait pas directement à des informations financières ou personnelles. Bien que la divulgation de l'adresse e-mail puisse conduire à une augmentation du spam, l'ICC-ID lui-même devrait être inutile. Cependant, lors de la réunion SOURCE à Boston en avril, Nick DePetrillo et Don A. Bailey ont montré comment les ICC-ID utilisés par AT&T peuvent être utilisés pour deviner le numéro IMSI (International Mobile Subscriber Identity) le plus important de chaque titulaire de compte. Bien que spécifiques aux attaques contre le réseau de téléphonie mobile GSM, le discours de DePetrillo et Bailey a montré comment les IMSI pouvaient aider à révéler l'identité du propriétaire et d'autres informations.
CONTINUER APRÈS LE SAUT
En avril, 46 États et trois territoires avaient des lois pour informer les consommateurs dont les informations pourraient être compromises par le vol de données, selon la Conférence nationale des législateurs d'État. (Ni l'un ni l'autre ne couvre spécifiquement les fuites de données de la carte SIM.) L'Alabama, le Kentucky, le Nouveau-Mexique et le Dakota du Sud n'ont pas encore ces lois. Il n'y a pas de loi fédérale sur la notification, mais ils travaillent peut-être sur une. Une loi fédérale spécifique au vol de données liées aux soins de santé a vu le jour dans le cadre de l'American Recovery and Reinvestment Act de 2009.
Bien que la loi tente actuellement de rattraper son retard, les consommateurs peuvent agir seuls. Le site de la Federal Trade Commission vous explique comment vous protéger contre le vol d'identité et que faire si vous devenez une victime.
En outre, la loi de 2003 sur les transactions de crédit équitables et correctes permet aux consommateurs de recevoir un rapport de crédit gratuit chaque année de chacun des trois bureaux de crédit. Parfois, les trois rapports présentent des divergences; avec FACTA, il est plus facile pour les consommateurs de corriger ces erreurs.
Bien que ces outils et lois aient été conçus pour lutter contre le vol de données liées au crédit, les données personnelles fuient désormais de manière nouvelle et différente. Si les criminels peuvent deviner comment les compagnies de téléphone associent les informations de compte d'utilisateur aux numéros de série, alors de nouvelles et meilleures définitions de ce qui constitue un vol de données peuvent être nécessaires. La leçon ici est qu'il n'y a pas de vol trop petit pour causer des maux de tête majeurs plus tard.
Source: Pcwla.com
Êtes-vous un utilisateur de Facebook et vous n'avez toujours pas rejoint notre page? Vous pouvez vous inscrire ici si vous le souhaitez, appuyez simplement sur 