Hasta principios de junio, AT&T tenía una herramienta en línea que ayudaba a los propietarios de la iPad 3G a inscribirse en su servicio móvil de Wi-Fi: Los usuarios escribían el número de serie de 19 dígitos de la tarjeta micro-SIM de su iPad, también conocido como el ICC-ID (identificador de tarjeta de circuito integrada) y el sitio devolvía la dirección de correo electrónico que el propietario tenía que usar para verificar la inscripción. AT&T usaba esa dirección para llenar un campo en el formulario de inscripción de la Web.
Un grupo de investigadores llamados Goatse Security reconoció un defecto, y creó una secuencia de comando que generaba aleatoriamente números de ICC-ID y los enviaba al sitio. Ellos recibieron unas 114.000 direcciones de correo electrónico, incluyendo las de Rahm Emanuel, el jefe de personal de la Casa Blanca, y las del alcalde de Nueva York, Michael Bloomberg. Goatse Security no llamó primero a AT&T, sino que esperó a que el sitio cambiara antes de proveer los números de serie y direcciones de correo al editor de Gawker.com, quien entonces reveló el defecto.
Bajo la ley actual, AT&T no tenía que revelar la exposición de las direcciones ni de los números de serie. Dorothy Attwood, funcionaria principal de privacidad de AT&T alega en una disculpa a los clientes de la iPad 3G que Goatse “deliberadamente hizo grandes esfuerzos con un programa aleatorio para extraer posibles ICC-IDs y capturar las direcciones de correo electrónico de los clientes”.
Attwood también advirtió que el sitio de AT&T no condujo directamente a información financiera ni de tipo personal. Aunque la revelación de la dirección de correo electrónico pudiera llevar a un aumento de correo indeseado, el ICC-ID en sí debería ser inútil. Sin embargo, hablando en la reunión SOURCE celebrada en Boston en el mes de abril, Nick DePetrillo y Don A. Bailey mostraron cómo los ICC-IDs empleados por AT&T pueden usarse para adivinar el número IMSI más importante (Identidad internacional de suscriptor móvil) de cada propietario de cuenta. Aunque es específico a los ataques en la red de teléfonos móviles GSM, la charla ofrecida por DePetrillo y Bailey demostró cómo los IMSI podrían contribuir a revelar la identidad del propietario y otros datos.
SIGUE DESPUES DEL SALTO
A partir de abril, 46 estados y tres territorios tenían leyes para notificar a los consumidores cuya información pudiera estar comprometida en robos de datos, según la Conferencia Nacional de Legisladores de Estados. (Ninguna cubre específicamente las fugas de datos de tarjetas de SIM). Alabama, Kentucky, Nuevo México y Dakota del Sur todavía no tienen estas leyes. No existe una ley federal de notificación, pero puede que estén trabajando en una. Una ley federal específica a los robos de datos relacionados con el cuidado de la salud se hizo realidad como parte de la Ley de Reinversión y Recuperación Estadounidense de 2009.
Aunque la ley actualmente está tratando de ponerse al día, los consumidores pueden actuar por su cuenta. El sitio de la Comisión de Comercio Federal indica cómo protegerse del robo de identidad y qué hacer si se convierte en una víctima.
Además, la ley de Transacciones de Crédito Justas y Correctas del 2003 permite a los consumidores recibir un reporte de crédito gratuito todos los años de cada una de las tres agencias de crédito. A veces los tres informes tienen discrepancias; con FACTA es más fácil para los consumidores corregir esos errores.
Aunque estas herramientas y leyes fueron diseñadas para lidiar con los robos de datos relacionados con el crédito, los datos personales ahora se escapan de formas nuevas y diferentes. Si los criminales pueden adivinar cómo las compañías de teléfono asocian la información de cuenta de los usuarios con los números de serie, entonces quizás se necesiten nuevas y mejores definiciones de lo que constituye un robo de datos. La lección aquí es que no hay un robo demasiado pequeño para causar dolores de cabeza importantes más tarde.
Fuente: Pcwla.com
¿Eres user de Facebook y aun no te has unido a nuestra pagina? Puedes unirte aqui si lo deseas, solo pulsa 