La banca ha perso i dati del suo account? Ecco cosa fare

Illustrazione di Jashar Awan Fino all'inizio di giugno AT & T aveva uno strumento online che consentiva ai possessori di iPad 3G di registrarsi per il servizio Wi-Fi mobile: gli utenti digitavano il numero di serie di 19 cifre per La micro-SIM card di iPad, nota anche come ICC-ID (identificatore della scheda di circuito integrato), e il sito ha restituito l'indirizzo e-mail che il proprietario aveva utilizzato per verificare la registrazione. AT & T ha utilizzato quell'indirizzo e-mail per compilare un campo di accesso sul modulo di registrazione Web.

Un gruppo di ricercatori chiamato Goatse Security ha individuato un difetto in questo strumento e ha creato uno script che genera e inoltra in modo casuale numeri ICC-ID al sito. Hanno ricevuto oltre 114.000 indirizzi e-mail, compresi quelli del capo di stato maggiore della Casa Bianca, Rahm Emanuel, il sindaco di New York Michael Bloomberg e altri proprietari di iPad di alto profilo. Goatse Security non ha contattato prima AT & T, ma ha atteso fino a quando l'azienda non ha cambiato il sito prima di fornire gli indirizzi e-mail e i numeri seriali a un editore di Gawker.com, che ha rivelato il difetto.

Se tali perdite apparentemente banali dovessero essere soggetto alle attuali leggi sulla notifica di violazione dei dati? E se dovessero, quanto grave è la minaccia del furto di identità quando un utente malintenzionato ottiene un indirizzo e-mail e un numero seriale?

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Violazione? Quale violazione?

Ai sensi della normativa vigente, AT & T non ha dovuto rivelare l'esposizione degli indirizzi e-mail o dei numeri di serie. Dorothy Attwood, Chief Privacy Officer di AT & T, ha chiesto scusa ai clienti dell'iPad 3G che Goatse "ha deliberatamente compiuto grandi sforzi con un programma a caso per estrarre i possibili ID ICC e acquisire gli indirizzi e-mail dei clienti". Attwood ha anche sottolineato che il sito Web AT & T non ha portato direttamente a informazioni finanziarie o personali.

Sebbene un indirizzo e-mail esposto possa attirare più spam, l'ID ICC da solo non dovrebbe essere utilizzato. Tuttavia, parlando a SOURCE Boston in aprile, Nick DePetrillo e Don A. Bailey hanno mostrato come gli ID ICC come quelli impiegati da AT & T possono essere utilizzati per indovinare il numero IMSI più importante (International Mobile Subscriber Identity) per ciascun account proprietario. Sebbene fosse specifico per attaccare la rete di telefonia mobile GSM, i discorsi di DePetrillo e Bailey (vedi il PDF della loro presentazione) mostravano come l'IMSI potesse aiutare a rivelare l'identità del proprietario dell'account e altre informazioni.

Leggi di notifica

As di aprile, 46 stati e tre territori degli Stati Uniti hanno leggi per la notifica dei consumatori le cui informazioni potrebbero essere state compromesse in caso di violazione dei dati, secondo la Conferenza Nazionale dei Legislatori dello Stato. (Nessuno in particolare copre le perdite di dati sulle carte SIM.) Alabama, Kentucky, New Mexico e South Dakota non hanno ancora leggi di notifica di violazione dei dati. Nessuna legge di notifica federale esiste, ma uno potrebbe essere in lavorazione. Una legge federale specifica per le violazioni dei dati sanitari (vedi il PDF) è diventata una realtà come parte dell'American Recovery and Reinvestment Act del 2009.

La maggior parte delle leggi statali rispecchiano la legge 2003 della California SB1386, in cui è definita "informazione personale" come nome e cognome, più qualsiasi combinazione di numero di previdenza sociale, patente di guida, numero di conto o numero di carta di credito o di debito con una password o un codice di sicurezza. Eventuali perdite di dati personali non crittografati devono essere divulgate a meno che non siano oggetto di indagini giudiziarie (nel qual caso la divulgazione può essere ritardata). I dati crittografati sono esenti.

Una revisione in attesa della legge della California, SB1166, in attesa di revisione 2010 include miglioramenti apportati da altri stati, come una descrizione dell'evento di violazione dei dati nella lettera di notifica, una copia della quale deve essere inviata al ufficio del procuratore generale.

Arm Thyself

Sebbene la legge stia attualmente recuperando il ritardo, i consumatori possono agire autonomamente. La Federal Trade Commission ha un sito informativo che spiega come proteggersi dal furto di identità e quali misure adottare se diventi una vittima.

Inoltre, il Fair and Accurate Credit Transaction Act del 2003 consente ai consumatori di ottenere un rapporto di credito gratuito da ciascuna delle tre agenzie di credito annualmente. Gli esperti consigliano di scrivere a un diverso ufficio del credito ogni quattro mesi in modo che nel corso dell'anno si ottengano tutte e tre le relazioni. A volte i tre rapporti hanno discrepanze; FACTA facilita la risoluzione degli errori da parte dei consumatori.

FACTA ha introdotto anche una serie di strumenti di credito al consumo. Uno è un avviso di frode che richiede a chiunque di fare una richiesta o di modificare il vostro rapporto di credito per contattarvi prima. La richiesta di avviso deve essere aggiornata ogni 90 giorni; se sei stato vittima di un furto di identità, puoi presentare un rapporto di polizia e ottenere un avviso di frode esteso valido per sette anni.

Un blocco del credito, una misura più drastica, impedisce a chiunque di accedere al tuo rapporto di credito senza lo stai scongelandosi. C'è una tassa per congelare e sbloccare il tuo rapporto di credito; alcuni stati rinunciano al costo di un blocco se sei stato vittima di un furto di identità e puoi documentare l'evento. Il sito FTC ha informazioni su come ottenere avvisi e blocchi.

Nessuno strumento ti impedisce di ottenere una copia gratuita del tuo rapporto di credito. Le società di mutui e altri che attualmente intrattengono rapporti commerciali con te mantengono l'accesso alla tua storia creditizia; solo le nuove richieste vengono fermate a freddo. Queste misure non fermeranno il furto di identità in corso, né impediranno la creazione di nuovi account, dal momento che alcuni nuovi account non richiedono un controllo del credito.

Sebbene questi strumenti e leggi siano stati progettati per affrontare violazioni dei dati relative al credito, i dati personali sono ora fuoriuscire in nuove e diverse forme. Se i criminali possono intuire come i gestori di telefonia mobile stiano associando le informazioni sull'account degli utenti con numeri seriali, allora forse sono necessarie nuove e migliori definizioni di ciò che si qualifica come una violazione dei dati. La lezione qui è che nessuna perdita è troppo piccola per causare mal di testa maggiore più tardi.