Até o início de junho, a AT&T tinha uma ferramenta online que ajudava os proprietários de iPad 3G a se inscreverem no serviço Wi-Fi móvel: os usuários digitavam o número de série de 19 dígitos do cartão micro-SIM do iPad, também conhecido como ICC-ID (Identificador de cartão de circuito integrado) e o site retornou o endereço de e-mail que o proprietário teve que usar para verificar a inscrição. A AT&T usou esse endereço para preencher um campo no formulário de inscrição na web.
Um grupo de pesquisadores chamado Goatse Security reconheceu uma falha e criou um script que gerou números ICC-ID aleatoriamente e os enviou ao site. Eles receberam cerca de 114.000 endereços de e-mail, incluindo os de Rahm Emanuel, o chefe de gabinete da Casa Branca, e os do prefeito de Nova York, Michael Bloomberg. A Goatse Security não ligou para a AT&T primeiro, mas esperou que o site mudasse antes de fornecer os números de série e endereços de e-mail ao editor do Gawker.com, que então revelou a falha.
De acordo com a lei atual, a AT&T não precisava divulgar endereços ou números de série. Dorothy Attwood, diretora de privacidade da AT&T, alega em um pedido de desculpas aos clientes do iPad 3G que Goatse "deliberadamente fez um grande esforço com um programa aleatório para extrair potenciais ICC-IDs e capturar endereços de e-mail de clientes".
Attwood também alertou que o site da AT&T não leva diretamente a informações financeiras ou pessoais. Embora a divulgação do endereço de e-mail possa levar a um aumento no spam, o próprio ICC-ID deve ser inútil. No entanto, falando na reunião SOURCE em Boston em abril, Nick DePetrillo e Don A. Bailey mostraram como os ICC-IDs usados pela AT&T podem ser usados para adivinhar o número IMSI (International Mobile Subscriber Identity) mais importante de cada proprietário de conta. Embora seja específico para ataques à rede de telefonia móvel GSM, a palestra de DePetrillo e Bailey demonstrou como os IMSIs podem ajudar a revelar a identidade do proprietário e outras informações.
CONTINUE APÓS O SALTO
Em abril, 46 estados e três territórios tinham leis para notificar os consumidores cujas informações poderiam ser comprometidas em roubo de dados, de acordo com a Conferência Nacional de Legisladores Estaduais. (Nenhum deles cobre especificamente vazamentos de dados do cartão SIM.) Alabama, Kentucky, Novo México e Dakota do Sul ainda não possuem essas leis. Não existe uma lei federal de notificação, mas eles podem estar trabalhando em uma. Uma lei federal específica para roubo de dados relacionados à saúde foi criada como parte da Lei de Recuperação e Reinvestimento Americana de 2009.
Embora a lei esteja tentando compensar, os consumidores podem agir por conta própria. O site da Federal Trade Commission informa como se proteger contra roubo de identidade e o que fazer se você se tornar uma vítima.
Além disso, o Fair and Correct Credit Transactions Act de 2003 permite que os consumidores recebam um relatório de crédito gratuito a cada ano de cada uma das três agências de crédito. Às vezes, os três relatórios apresentam discrepâncias; com o FACTA, é mais fácil para os consumidores corrigir esses erros.
Embora essas ferramentas e leis tenham sido projetadas para lidar com o roubo de dados relacionados ao crédito, agora os dados pessoais estão vazando de maneiras novas e diferentes. Se os criminosos puderem adivinhar como as companhias telefônicas associam as informações da conta do usuário aos números de série, então podem ser necessárias novas e melhores definições do que constitui roubo de dados. A lição aqui é que não existe roubo pequeno demais para causar grandes dores de cabeça mais tarde.
Fonte: Pcwla.com
Você é um usuário de Facebook e você ainda não entrou na nossa página? Você pode entrar aqui se quiser, basta pressionar