Do początku czerwca AT&T dysponowało narzędziem internetowym, które pomagało właścicielom iPadów 3G zarejestrować się w ich mobilnej usłudze Wi-Fi: użytkownicy wpisywali 19-cyfrowy numer seryjny karty micro-SIM swojego iPada, znanej również jako ICC-ID (Integrated Identyfikator karty obwodu), a witryna zwróciła adres e-mail, którego właściciel musiał użyć do zweryfikowania rejestracji. AT&T wykorzystała ten adres do wypełnienia pola w formularzu zgłoszeniowym w sieci Web.
Grupa badaczy zwana Goatse Security wykryła lukę i stworzyła skrypt, który losowo generował numery ICC-ID i wysyłał je na stronę. Otrzymali około 114.000 XNUMX adresów e-mail, w tym Rahma Emanuela, szefa sztabu Białego Domu i burmistrza Nowego Jorku Michaela Bloomberga. Goatse Security nie zadzwonił najpierw do AT&T, ale czekał na zmianę strony przed przekazaniem numerów seryjnych i adresów e-mail wydawcy Gawker.com, który następnie ujawnił usterkę.
Zgodnie z obowiązującym prawem AT&T nie musiało ujawniać adresów ani numerów seryjnych. Dorothy Attwood, dyrektor ds. Prywatności w AT&T, w przeprosinach dla klientów iPada 3G twierdzi, że Goatse „celowo zadał sobie wiele trudu, korzystając z losowego programu, aby wyodrębnić potencjalne identyfikatory ICC i przechwycić adresy e-mail klientów”.
Attwood ostrzegł również, że witryna AT&T nie prowadzi bezpośrednio do danych finansowych lub osobistych. Chociaż ujawnienie adresu e-mail mogłoby doprowadzić do wzrostu ilości spamu, sam identyfikator ICC-ID powinien być bezużyteczny. Jednak podczas kwietniowego spotkania SOURCE w Bostonie Nick DePetrillo i Don A. Bailey pokazali, w jaki sposób można wykorzystać identyfikatory ICC używane przez AT&T do odgadnięcia najważniejszego numeru IMSI (International Mobile Subscriber Identity) każdego właściciela konta. Chociaż wystąpienie DePetrillo i Baileya dotyczyło wyłącznie ataków na sieć telefonii komórkowej GSM, pokazało, w jaki sposób IMSI mogą pomóc w ujawnieniu tożsamości właściciela i innych danych.
KONTYNUUJ PO SKOKU
Według National Conference of State Legislators od kwietnia w 46 stanach i trzech terytoriach obowiązywały przepisy powiadamiające konsumentów, których informacje mogą zostać naruszone w wyniku kradzieży danych. (Żaden konkretnie nie obejmuje wycieków danych z karty SIM). Alabama, Kentucky, Nowy Meksyk i Południowa Dakota nie mają jeszcze tych praw. Nie ma federalnego prawa dotyczącego powiadamiania, ale mogą nad nim pracować. Prawo federalne dotyczące kradzieży danych związanych z opieką zdrowotną weszło w życie w ramach amerykańskiej ustawy o odzyskiwaniu i reinwestycji z 2009 roku.
Chociaż obecnie prawo próbuje nadrobić zaległości, konsumenci mogą działać samodzielnie. Witryna Federalnej Komisji Handlu zawiera informacje o tym, jak chronić się przed kradzieżą tożsamości i co zrobić, jeśli zostaniesz ofiarą.
Ponadto Ustawa o uczciwych i prawidłowych transakcjach kredytowych z 2003 r. Umożliwia konsumentom coroczne otrzymywanie bezpłatnego raportu kredytowego od każdego z trzech biur kredytowych. Czasami te trzy raporty zawierają rozbieżności; dzięki FACTA konsumentom łatwiej jest poprawić te błędy.
Chociaż te narzędzia i przepisy zostały zaprojektowane w celu radzenia sobie z kradzieżą danych związanych z kredytami, dane osobowe wyciekają obecnie na nowe i różne sposoby. Jeśli przestępcy mogą odgadnąć, w jaki sposób firmy telekomunikacyjne kojarzą informacje o kontach użytkowników z numerami seryjnymi, być może potrzebne są nowe i lepsze definicje tego, co stanowi kradzież danych. Wniosek z tego jest taki, że nie ma kradzieży zbyt małej, by później spowodować poważne bóle głowy.
Źródło: Pcwla.com
Czy jesteś użytkownikiem Facebook a nie dołączyłeś jeszcze do naszej strony? Możesz dołączyć, jeśli chcesz, po prostu naciśnij