在3月初之前,AT&T拥有一个在线工具,可以帮助iPad 19G所有者注册其移动Wi-Fi服务:用户可以输入iPad的micro-SIM卡的XNUMX位序列号,也称为ICC-ID(集成电路卡标识符),站点返回了所有者用来验证注册的电子邮件地址。 AT&T使用该地址填写了Web输入表单上的一个字段。
一组名为Goatse Security的研究人员发现了一个漏洞,并创建了一个脚本,该脚本随机生成ICC-ID号并将其发送到站点。 他们收到了大约114.000个电子邮件地址,其中包括白宫办公厅主任拉姆·伊曼纽尔(Rahm Emanuel)和纽约市长迈克尔·布隆伯格(Michael Bloomberg)的电子邮件地址。 Goatse Security并未先致电AT&T,而是等待网站更改,然后才向Gawker.com的发行商提供序列号和电子邮件地址,然后由后者披露了该漏洞。
根据现行法律,AT&T不必披露地址或序列号显示。 AT&T首席隐私官多萝西·阿特伍德(Dorothy Attwood)向iPad 3G客户道歉,称山羊皮“故意花了很大的精力,随机抽取潜在的ICC-ID并捕获客户的电子邮件地址。”
Attwood还告诫AT&T网站不会直接导致财务或个人信息。 尽管电子邮件地址泄露可能导致垃圾邮件增加,但ICC-ID本身应该没有用。 但是,在XNUMX月在波士顿举行的SOURCE会议上,Nick DePetrillo和Don A. Bailey展示了AT&T使用的ICC-ID如何用于猜测每个帐户所有者的最重要的IMSI编号(国际移动订户身份)。 尽管专门针对GSM手机网络的攻击,但DePetrillo和Bailey的讲话证明了IMSI如何帮助揭示所有者的身份和其他数据。
跳跳后继续
全国立法会议总会称,截至四月,已有46个州和三个地区制定了法律,通知消费者其信息可能会因数据盗窃而受到损害。 (均未专门涵盖SIM卡数据泄漏。) 阿拉巴马州,肯塔基州,新墨西哥州和南达科他州尚无这些法律。 没有联邦通知法,但他们可能正在制定一项。 作为2009年《美国复苏与再投资法案》的一部分,针对医疗保健相关数据盗窃的联邦法律已成为现实。
尽管法律目前正在努力追赶,但消费者可以自己采取行动。 联邦贸易委员会(Federal Trade Commission)网站告诉您如何保护自己免遭身份盗用,以及如果您成为受害者怎么办。
此外,2003年的《公平和正确的信贷交易法》允许消费者每年从三个征信机构中的每一个接收免费的信用报告。 有时,这三个报告存在差异。 使用FACTA,消费者可以更轻松地纠正这些错误。
尽管这些工具和法律旨在处理与信用有关的数据盗窃,但个人数据现在正以新的和不同的方式泄漏。 如果罪犯可以猜测电话公司如何将用户帐户信息与序列号相关联,那么可能需要对构成数据盗窃的行为进行新的更好的定义。 这里的教训是,盗窃案的规模不应太小,以免以后引起严重的头痛。
资料来源:Pcwla.com
您是的用户吗 Facebook 而且您还没有加入我们的页面? 您可以根据需要加入此处,只需按 