Cho đến đầu tháng 3, AT&T đã có một công cụ trực tuyến giúp chủ sở hữu iPad 19G đăng ký dịch vụ Wi-Fi di động của họ: Người dùng nhập số sê-ri XNUMX chữ số của thẻ micro-SIM của iPad, còn được gọi là ICC-ID (Tích hợp Mã nhận dạng thẻ mạch) và trang web đã trả lại địa chỉ email mà chủ sở hữu phải sử dụng để xác minh đăng ký. AT&T đã sử dụng địa chỉ đó để điền vào một trường trong biểu mẫu nhập Web.
Một nhóm các nhà nghiên cứu có tên là Goatse Security đã nhận ra một lỗ hổng và tạo ra một tập lệnh tạo ngẫu nhiên các số ICC-ID và gửi chúng đến trang web. Họ đã nhận được khoảng 114.000 địa chỉ email, bao gồm cả địa chỉ email của Rahm Emanuel, Chánh văn phòng Nhà Trắng và Thị trưởng New York Michael Bloomberg. Goatse Security không gọi điện cho AT&T trước mà đợi trang web thay đổi trước khi cung cấp số sê-ri và địa chỉ email cho nhà xuất bản Gawker.com, người sau đó đã tiết lộ lỗ hổng.
Theo luật hiện hành, AT&T không phải tiết lộ địa chỉ hoặc số sê-ri hiển thị. Dorothy Attwood, giám đốc quyền riêng tư của AT&T, cáo buộc trong lời xin lỗi khách hàng iPad 3G rằng Goatse "đã cố tình làm quá lâu với một chương trình ngẫu nhiên để trích xuất ICC-ID tiềm năng và nắm bắt địa chỉ email của khách hàng."
Attwood cũng cảnh báo rằng trang AT&T không dẫn trực tiếp đến thông tin tài chính hoặc thông tin cá nhân. Mặc dù việc tiết lộ địa chỉ email có thể dẫn đến gia tăng thư rác, nhưng bản thân ICC-ID sẽ trở nên vô dụng. Tuy nhiên, phát biểu tại cuộc họp SOURCE ở Boston vào tháng XNUMX, Nick DePetrillo và Don A. Bailey đã chỉ ra cách sử dụng ICC-ID mà AT&T sử dụng để đoán số IMSI quan trọng nhất (Nhận dạng thuê bao di động quốc tế) của mỗi chủ sở hữu tài khoản. Mặc dù dành riêng cho các cuộc tấn công vào mạng điện thoại di động GSM, cuộc nói chuyện của DePetrillo và Bailey đã chứng minh cách IMSI có thể giúp tiết lộ danh tính của chủ sở hữu và các thông tin khác.
TIẾP TỤC SAU KHI GIAO LƯU
Tính đến tháng 46, 2009 tiểu bang và ba vùng lãnh thổ đã có luật thông báo cho người tiêu dùng có thông tin có thể bị xâm phạm trong việc đánh cắp dữ liệu, theo Hội nghị Quốc gia của các nhà lập pháp tiểu bang. (Không bao gồm cụ thể việc rò rỉ dữ liệu thẻ SIM.) Alabama, Kentucky, New Mexico và Nam Dakota chưa có những luật này. Không có luật thông báo liên bang, nhưng họ có thể đang làm việc trên một. Luật liên bang dành riêng cho hành vi trộm cắp dữ liệu liên quan đến chăm sóc sức khỏe ra đời như một phần của Đạo luật Khôi phục và Tái đầu tư năm XNUMX của Mỹ.
Mặc dù luật pháp hiện đang cố gắng bắt kịp nhưng người tiêu dùng có thể tự hành động. Trang web của Ủy ban Thương mại Liên bang cho bạn biết cách bảo vệ bản thân khỏi hành vi trộm cắp danh tính và những việc cần làm nếu bạn trở thành nạn nhân.
Ngoài ra, Đạo luật Giao dịch Tín dụng Công bằng và Chính xác năm 2003 cho phép người tiêu dùng nhận được báo cáo tín dụng miễn phí mỗi năm từ mỗi trong ba văn phòng tín dụng. Đôi khi ba báo cáo có sự khác biệt; với FACTA, người tiêu dùng sẽ dễ dàng sửa những lỗi này hơn.
Mặc dù các công cụ và luật này được thiết kế để đối phó với hành vi trộm cắp dữ liệu liên quan đến tín dụng, dữ liệu cá nhân hiện đang bị rò rỉ theo những cách mới và khác nhau. Nếu bọn tội phạm có thể đoán được cách các công ty điện thoại liên kết thông tin tài khoản người dùng với số sê-ri, thì có lẽ cần phải có những định nghĩa mới và tốt hơn về những gì cấu thành hành vi trộm cắp dữ liệu. Bài học rút ra ở đây là đừng để xảy ra vụ trộm quá nhỏ để gây đau đầu lớn sau này.
Nguồn: Pcwla.com
Bạn có phải là người dùng của Facebook và bạn vẫn chưa tham gia trang của chúng tôi? Bạn có thể tham gia tại đây nếu muốn, chỉ cần nhấn 