O banco perdeu os dados da sua conta? Aqui está o que fazer

Ilustração de Jashar Awan Até o início de junho, a AT & T tinha uma ferramenta online que ajudava proprietários de iPad 3G a se inscrever em seu serviço móvel Wi-Fi: os usuários digitavam o número de série de 19 dígitos O cartão micro-SIM do iPad, também conhecido como ICC-ID (identificador de cartão de circuito integrado), e o site retornaram o endereço de e-mail que o proprietário havia usado para verificar o registro. A AT & T usou esse endereço de e-mail para preencher um campo de login no formulário de registro na Web.

Um grupo de pesquisadores chamado Goatse Security detectou uma falha nessa ferramenta e criou um script que gerou e enviou números ICC-ID aleatoriamente. para o site. Eles conseguiram mais de 114.000 endereços de e-mail, incluindo os do chefe de gabinete da Casa Branca, Rahm Emanuel, o prefeito de Nova York, Michael Bloomberg, e outros donos de iPads de alto perfil. A Goatse Security não entrou em contato com a AT & T primeiro, mas esperou até que a empresa alterasse o site antes de fornecer os endereços de e-mail e números de série para um editor do Gawker.com, que divulgou a falha. sujeito às leis atuais de notificação de violação de dados? E se deveriam, o quão séria é a ameaça de roubo de identidade quando um invasor obtém um endereço de e-mail e um número de série?

[Leia mais: Como remover malware do seu PC Windows]

Violação? Que violação?

Segundo a lei atual, a AT & T não precisou divulgar a exposição dos endereços de e-mail ou números de série. Dorothy Attwood, diretora-chefe de privacidade da AT & T, alegou em um pedido de desculpas aos clientes do iPad 3G que a Goatse "deliberadamente realizou grandes esforços com um programa aleatório para extrair possíveis ICC-IDs e capturar endereços de e-mail de clientes". Attwood também enfatizou que o site da AT & T não levou diretamente a informações financeiras ou pessoais

Embora um endereço de e-mail exposto possa atrair mais spam, o ICC-ID por si só deve ser inútil. No entanto, falando na SOURCE Boston em abril, Nick DePetrillo e Don A. Bailey mostraram como ICC-IDs como os empregados da AT & T podem ser usados ​​para adivinhar o número mais importante do IMSI para cada proprietário da conta. Embora fosse específico para atacar a rede de telefonia celular GSM, a palestra de DePetrillo e Bailey (veja o PDF de sua apresentação) mostrou como as IMSIs poderiam ajudar a revelar a identidade do proprietário da conta e outras informações.

Notification Laws

As de abril, 46 estados e três territórios dos EUA têm leis de notificação de consumidores cujas informações podem ter sido comprometidas em violações de dados, de acordo com a Conferência Nacional de Legislaturas Estaduais. (Nenhum deles cobre especificamente os vazamentos de dados do cartão SIM.) Alabama, Kentucky, Novo México e Dakota do Sul ainda não têm essas leis de notificação de violação de dados. Nenhuma lei de notificação federal existe, mas uma pode estar em andamento. Uma lei federal específica para violações de dados de cuidados de saúde (veja o PDF) tornou-se realidade como parte da Lei de Recuperação e Reinvestimento Americana de 2009.

A maioria das leis estaduais espelha a lei de 2003 da SB1386, na qual "informações pessoais" são definidas como primeiro e último nomes, mais qualquer combinação de número do Seguro Social, carteira de motorista, número de conta ou número de cartão de crédito ou débito com uma senha ou código de segurança. Vazamentos de dados pessoais não criptografados devem ser divulgados, a menos que haja investigação judicial (caso em que a divulgação pode ser adiada). Os dados criptografados estão isentos.

Uma revisão pendente de 2010 da lei da Califórnia, SB1166, inclui melhorias que outros estados fizeram, como uma descrição do evento de violação de dados na carta de notificação, cuja cópia deve ir para o Gabinete do Procurador-Geral

Arm Thyself

Embora a lei esteja atualmente em dia, os consumidores podem agir por conta própria. A Federal Trade Commission tem um site informativo que informa como se proteger contra o roubo de identidade, bem como as medidas a serem tomadas se você se tornar uma vítima.

Além disso, o Fair and Accurate Credit Transaction Act de 2003 permite que os consumidores obtenham um relatório de crédito livre de cada uma das três agências de crédito anualmente. Especialistas aconselham escrever para um departamento de crédito diferente a cada quatro meses para que, ao longo do ano, você obtenha todos os três relatórios. Às vezes os três relatórios têm discrepâncias; O FACTA torna mais fácil para os consumidores resolver erros.

A FACTA também introduziu várias ferramentas de crédito ao consumidor. Um é um alerta de fraude que exige que alguém faça uma consulta ou altere seu relatório de crédito para entrar em contato com você primeiro. A solicitação do alerta precisa ser atualizada a cada 90 dias; Se você foi vítima de roubo de identidade, você pode arquivar um relatório policial e obter um alerta de fraude estendido que é bom por sete anos.

Um congelamento de crédito, uma medida mais drástica, impede que alguém acesse seu relatório de crédito sem seu descongelamento. Existe uma taxa para congelar e descongelar o seu relatório de crédito; alguns estados renunciam ao custo de um congelamento se você tiver sido vítima de roubo de identidade e puder documentar o evento. O site da FTC tem informações sobre como obter alertas e congelamentos.

Nenhuma das ferramentas impede que você obtenha uma cópia gratuita do seu relatório de crédito. Empresas hipotecárias e outros que atualmente fazem negócios com você mantêm acesso ao seu histórico de crédito; apenas novas consultas são interrompidas. Essas medidas não deterão o roubo de identidade em andamento nem impedirão a criação de novas contas, pois algumas novas contas não exigem uma verificação de crédito.

Embora essas ferramentas e leis tenham sido projetadas para lidar com violações de dados relacionadas a crédito, os dados pessoais são agora vazando em formas novas e diferentes. Se os criminosos puderem adivinhar como as operadoras de telefonia móvel estão associando as informações da conta dos usuários a números de série, talvez sejam necessárias novas e melhores definições do que se qualifica como uma violação de dados. A lição aqui é que nenhum vazamento é pequeno demais para causar grandes dores de cabeça mais tarde.