Banque Perdu Vos données de compte? Voici ce qu'il faut faire

Illustration de Jashar AwanUntil début juin, AT & T disposait d'un outil en ligne qui permettait aux possesseurs d'iPad 3G de s'inscrire à son service Wi-Fi mobile: les utilisateurs saisissaient le numéro de série à 19 chiffres. La carte micro-SIM de l'iPad, également appelée ICC-ID (identifiant de carte de circuit intégré), et le site ont renvoyé l'adresse e-mail que le propriétaire avait utilisée pour vérifier l'enregistrement. AT & T utilisait cette adresse électronique pour renseigner un champ de connexion sur le formulaire d'enregistrement Web.

Un groupe de chercheurs appelé Goatse Security a repéré une faille dans cet outil et a créé un script qui générait et soumettait au hasard des numéros ICC-ID sur le site. Ils ont récupéré plus de 114 000 adresses e-mail, y compris celles du chef d'état-major de la Maison Blanche, Rahm Emanuel, du maire de New York, Michael Bloomberg, et d'autres propriétaires d'iPad de premier plan. Goatse Security n'a pas contacté AT & T en premier, mais ils ont attendu que l'entreprise change le site avant de fournir les adresses e-mail et les numéros de série à un éditeur de Gawker.com, qui a ensuite révélé la faille. soumis aux lois actuelles sur la notification des violations de données? Et s'ils le devraient, quelle est la gravité de la menace de vol d'identité lorsqu'un attaquant obtient une adresse e-mail et un numéro de série?

[Plus d'informations: Comment supprimer les logiciels malveillants sur votre PC Windows]? What Breach?

Selon la loi actuelle, AT & T n'a pas eu à divulguer l'exposition des adresses e-mail ou des numéros de série. Dorothy Attwood, chef de la protection de la vie privée d'AT & T, a déclaré dans ses excuses aux clients de l'iPad 3G que Goatse "a fait de grands efforts avec un programme aléatoire pour extraire les identifiants ICC et capturer les adresses électroniques des clients." Attwood a également souligné que le site Web d'AT & T n'aboutissait pas directement à des informations financières ou personnelles.

Une adresse électronique exposée risquerait d'attirer davantage de spam, mais l'ID-ICC en soi devrait être inutile. Cependant, parlant à SOURCE Boston en avril, Nick DePetrillo et Don A. Bailey ont montré comment les ID-ICC tels que ceux employés par AT & T peuvent être utilisés pour deviner le numéro IMSI (International Mobile Subscriber Identity) le plus important pour chaque propriétaire de compte. Bien que spécifique à l'attaque du réseau de téléphonie mobile GSM, le discours de DePetrillo et Bailey (voir le PDF de leur présentation) montre comment les IMSI pourraient aider à révéler l'identité du propriétaire du compte et d'autres informations.

d'avril, 46 États et trois territoires américains ont des lois pour la notification des consommateurs dont les informations peuvent avoir été compromises dans les violations de données, selon la Conférence nationale des législatures des États. (Aucun ne couvre spécifiquement les fuites de données de cartes SIM.) L'Alabama, le Kentucky, le Nouveau-Mexique et le Dakota du Sud ne disposent pas encore de telles lois sur la notification des violations de données. Aucune loi fédérale sur les notifications n'existe, mais il se peut que l'on soit en train de travailler. Une loi fédérale spécifique aux violations de données de santé est devenue une réalité dans le cadre de l'American Recovery and Reinvestment Act de 2009.

La plupart des lois étatiques reflètent la loi californienne de 2003, SB1386, dans laquelle les «informations personnelles» sont définies en tant que nom et prénom, plus toute combinaison d'un numéro de sécurité sociale, d'un permis de conduire, d'un numéro de compte ou d'un numéro de carte de crédit ou de débit avec un mot de passe ou un code de sécurité. Les fuites de données à caractère personnel non cryptées doivent être divulguées sauf dans le cadre d'une enquête judiciaire (dans ce cas, la divulgation peut être retardée).

Une révision en cours de 2010 de la loi californienne, SB1166, inclut des améliorations apportées par d'autres États, comme une description de l'événement de violation de données dans la lettre de notification, dont une copie doit être envoyée à la Bureau du procureur général.

Arm Thyself

Bien que la loi soit en train de rattraper son retard, les consommateurs peuvent agir eux-mêmes. La Federal Trade Commission a un site informatif qui indique comment se prémunir contre le vol d'identité, ainsi que les mesures à prendre si vous devenez une victime.

De plus, la Loi de 2003 sur les transactions de crédit justes et précises permet aux consommateurs d'obtenir chaque année un rapport de solvabilité gratuit de chacun des trois bureaux de crédit. Les experts conseillent d'écrire à un bureau de crédit différent tous les quatre mois afin que vous obteniez les trois rapports au cours de l'année. Parfois, les trois rapports ont des divergences; FACTA facilite la résolution des erreurs par les consommateurs.

FACTA a également mis en place un certain nombre d'outils de crédit à la consommation. L'un est une alerte de fraude qui exige que quiconque fait une demande ou change à votre rapport de crédit pour vous contacter d'abord. La demande d'alerte doit être mise à jour tous les 90 jours. Si vous avez été victime de vol d'identité, vous pouvez déposer un rapport de police et obtenir une alerte prolongée à la fraude valable pendant sept ans.

Un gel du crédit, une mesure plus radicale, empêche quiconque d'accéder à votre dossier de crédit sans votre dégel. Il y a des frais pour geler et dégeler votre rapport de crédit; Certains États renoncent au coût d'un gel si vous avez été victime d'un vol d'identité et pouvez documenter l'événement.

Aucun des deux outils ne vous empêche d'obtenir une copie gratuite de votre rapport de crédit. Les sociétés d'hypothèques et d'autres qui traitent actuellement avec vous conservent l'accès à vos antécédents de crédit; seules les nouvelles demandes sont arrêtées à froid. Ces mesures n'arrêteront pas le vol d'identité en cours et n'empêcheront pas la création de nouveaux comptes, car certains nouveaux comptes ne nécessitent pas de vérification de crédit.

Bien que ces outils et lois aient été conçus pour traiter les violations de données liées au crédit, maintenant s'échapper sous des formes nouvelles et différentes. Si les criminels peuvent deviner comment les opérateurs mobiles associent les informations de compte des utilisateurs aux numéros de série, il est peut-être nécessaire de définir de nouvelles et meilleures définitions de ce qui peut être considéré comme une violation de données. La leçon à retenir ici est qu'aucune fuite n'est trop petite pour causer des maux de tête importants plus tard.