小心詐騙新手法 換SIM卡滲透進你所有帳號
目录:
一组名为Goatse Security的研究人员发现了该工具中的一个缺陷,并创建了一个随机生成并提交ICC-ID编号的脚本到现场。他们收回了114,000个电子邮件地址,其中包括白宫办公厅主任Rahm Emanuel,纽约市长Michael Bloomberg以及其他知名iPad业主。 Goatse Security并未首先与AT&T联系,但他们确实等到公司更改网站后才向Gawker.com编辑提供电子邮件地址和序列号,然后Gawker.com编辑披露了这一漏洞。
这种看似微不足道的漏洞应该是受当前的数据违规通知法律约束?如果他们应该知道,攻击者获取电子邮件地址和序列号时身份盗用的威胁有多严重?
[更多阅读:如何从Windows PC删除恶意软件]违规?什么违约?
根据现行法律,AT&T公司不必披露电子邮件地址或序列号的暴露。 AT&T首席隐私官Dorothy Attwood在向iPad 3G客户道歉时声称,Goatse“故意通过随机程序提取可能的ICC-ID并获取客户电子邮件地址”。 Attwood还强调,AT&T网站并未直接导致财务或个人信息。
虽然公开的电子邮件地址可能吸引更多垃圾邮件,但ICC-ID本身应该没有用处。然而,在4月份的SOURCE波士顿会议上,Nick DePetrillo和Don A. Bailey展示了如何使用AT&T所使用的ICC-ID来猜测每个账户拥有者更重要的IMSI(国际移动用户身份)号码。尽管攻击GSM移动电话网络是特定的,但DePetrillo和Bailey的谈话(请参阅他们演示文稿的PDF)显示了IMSI如何帮助揭示账户所有者的身份和其他信息。
通知法
据美国国家立法机构会议称,4月份,46个州和3个美国地区都制定了通知消费者信息可能在数据泄露事件中受到损害的法律。 (没有具体涉及SIM卡数据泄漏。)阿拉巴马州,肯塔基州,新墨西哥州和南达科他州还没有此类违反数据通知的法律。没有联邦通知法律存在,但有人可能正在进行工作。作为2009年美国复苏与再投资法案的一部分,一部针对医疗保健数据泄露(参见PDF)的联邦法律已成为现实。
大多数州法律都反映了加利福尼亚州2003年的法律SB1386,其中定义了“个人信息”作为姓和名,以及社会安全号码,驾驶执照,帐号,信用卡或借记卡号码与密码或安全代码的任意组合。未经加密的个人数据泄露必须披露,除非在执法调查中(在这种情况下披露可能会延迟)。加密数据是免除的。
对加利福尼亚法律SB1166的2010年修订包括其他州已作出的改进,例如对通知信中的数据违规事件的描述,其副本必须发送给检察长办公室
自己动手
虽然法律目前正在追赶,但消费者可以为自己采取行动。联邦贸易委员会有一个信息丰富的网站,告诉你如何防范身份盗用,以及如果你成为受害者要采取什么措施。
此外,2003年的公平和准确信用交易法允许消费者每年从三个信用局获得一份免费信用报告。专家建议每四个月向不同的信用局写信,以便在一年中获得所有三份报告。有时三份报告有差异; FACTA使消费者更容易解决错误。
FACTA也引入了一些消费者信用工具。一种是欺诈警报,要求任何人对您的信用报告进行查询或更改,以便先与您联系。警报请求需要每90天更新一次;如果您曾是身份盗用的受害者,则可以提交警察报告并获得7年有效期的延长欺诈警报。
信用冻结是一种更严厉的措施,可防止任何人无法访问您的信用报告你解冻它。冻结和解冻你的信用报告是有收费的;如果您是身份盗用的受害者并且可以记录事件,则某些州会放弃冻结费用。 FTC网站提供有关如何获取警报和冻结的信息。
这两种工具都无法阻止您获得免费的信用报告副本。抵押贷款公司和其他目前与您有业务往来的公司可以保留您的信用记录;只有新的查询才会停止。这些措施不会阻止正在进行的身份盗用,也不会阻止新帐户的创建,因为一些新帐户不需要信用检查。尽管这些工具和法律旨在解决与信用相关的数据泄露问题,但个人数据现在以新的和不同的形式泄漏出去。如果犯罪分子可以猜测移动运营商如何将用户的账户信息与序列号相关联,那么对于什么样的资格违规行为可能有新的更好的定义是必要的。这里的教训是,没有泄漏太小,以致于以后会导致严重的头痛。