Kreditkartenbetrug: Was Kriminelle mit den Bankdaten machen
Inhaltsverzeichnis:
- Nach geltendem Recht musste AT & T die Offenlegung der E-Mail-Adressen oder Seriennummern nicht offenlegen. Dorothy Attwood, AT & Ts Chief Privacy Officer, behauptete in einer Entschuldigung gegenüber iPad 3G-Kunden, dass Goatse "mit einem zufälligen Programm bewusst große Anstrengungen unternommen hat, um mögliche ICC-IDs zu extrahieren und Kunden-E-Mail-Adressen zu erfassen." Attwood betonte auch, dass die AT & T-Website nicht direkt zu finanziellen oder persönlichen Informationen geführt hat.
- As Im April haben 46 Staaten und drei US-Territorien Gesetze zur Benachrichtigung von Verbrauchern, deren Informationen bei Datenverletzungen gefährdet sein könnten, so die National Conference of State Legislatures. (Dies gilt insbesondere für Datenlecks von SIM-Karten.) In Alabama, Kentucky, New Mexico und South Dakota gibt es noch keine solchen Datenschutzbestimmungen. Es gibt kein Bundesmeldegesetz, aber eines ist in Arbeit. Ein Bundesgesetz speziell für Datenschutzverletzungen im Gesundheitswesen (siehe PDF) wurde im Rahmen des American Recovery and Reinvestment Act von 2009 Realität.
- Obwohl das Gesetz derzeit Aufholjagd betreibt, können die Verbraucher selbst aktiv werden. Die Federal Trade Commission hat eine informative Seite, die zeigt, wie man vor Identitätsdiebstahl schützt und welche Schritte unternommen werden müssen, wenn man Opfer wird.
Eine Gruppe von Forschern namens Goatse Security entdeckte einen Fehler in diesem Tool und erstellte ein Skript, das nach dem Zufallsprinzip ICC-ID-Nummern generierte und übermittelte zum Ort. Sie haben über 114.000 E-Mail-Adressen erhalten, darunter die des Stabschefs des Weißen Hauses Rahm Emanuel, des New Yorker Bürgermeisters Michael Bloomberg und anderer hochkarätiger iPad-Besitzer. Goatse Security hat AT & T zunächst nicht kontaktiert, aber sie haben gewartet, bis das Unternehmen die Site gewechselt hat, bevor sie die E-Mail-Adressen und Seriennummern an einen Gawker.com-Redakteur weitergegeben hat, der den Fehler dann offengelegt hat vorbehaltlich der geltenden Gesetze zur Meldung von Datenverstößen? Und wenn ja, wie ernst ist die Gefahr eines Identitätsdiebstahls, wenn ein Angreifer eine E-Mail-Adresse und eine Seriennummer erhält?
[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]
Bruch? Was für ein Verstoß?Nach geltendem Recht musste AT & T die Offenlegung der E-Mail-Adressen oder Seriennummern nicht offenlegen. Dorothy Attwood, AT & Ts Chief Privacy Officer, behauptete in einer Entschuldigung gegenüber iPad 3G-Kunden, dass Goatse "mit einem zufälligen Programm bewusst große Anstrengungen unternommen hat, um mögliche ICC-IDs zu extrahieren und Kunden-E-Mail-Adressen zu erfassen." Attwood betonte auch, dass die AT & T-Website nicht direkt zu finanziellen oder persönlichen Informationen geführt hat.
Während eine exponierte E-Mail-Adresse möglicherweise mehr Spam anlockt, sollte die ICC-ID an sich nutzlos sein. Im April zeigten Nick DePetrillo und Don A. Bailey bei SOURCE Boston, wie ICC-IDs, wie sie von AT & T verwendet werden, verwendet werden können, um die wichtigere IMSI-Nummer (International Mobile Subscriber Identity) für jeden Kontoinhaber zu erraten. Obwohl DePetrillo und Baileys Angriff auf das GSM-Mobiltelefonnetz spezifisch waren, zeigten sie, wie IMSIs helfen könnten, die Identität des Kontoinhabers und andere Informationen preiszugeben (siehe das PDF ihrer Präsentation).
Benachrichtigungsgesetze
As Im April haben 46 Staaten und drei US-Territorien Gesetze zur Benachrichtigung von Verbrauchern, deren Informationen bei Datenverletzungen gefährdet sein könnten, so die National Conference of State Legislatures. (Dies gilt insbesondere für Datenlecks von SIM-Karten.) In Alabama, Kentucky, New Mexico und South Dakota gibt es noch keine solchen Datenschutzbestimmungen. Es gibt kein Bundesmeldegesetz, aber eines ist in Arbeit. Ein Bundesgesetz speziell für Datenschutzverletzungen im Gesundheitswesen (siehe PDF) wurde im Rahmen des American Recovery and Reinvestment Act von 2009 Realität.
Die meisten staatlichen Gesetze spiegeln das kalifornische Gesetz SB1386 von 2003 wider, in dem "persönliche Informationen" definiert sind als Vor- und Nachname sowie eine beliebige Kombination aus Sozialversicherungsnummer, Führerschein, Kontonummer oder Kredit- oder Debitkartennummer mit einem Passwort oder Sicherheitscode. Datenlecks unverschlüsselter personenbezogener Daten müssen offengelegt werden, es sei denn, es liegt eine Strafverfolgung vor (in diesem Fall kann sich die Offenlegung verzögern). Verschlüsselte Daten sind davon ausgenommen.
Eine 2010 anhängige Revision des kalifornischen Gesetzes SB1166 enthält Verbesserungen, die andere Staaten vorgenommen haben, wie eine Beschreibung des Datenpannenereignisses im Benachrichtigungsschreiben, von dem eine Kopie an das Büro des Generalstaatsanwalts
Bewaffne dich selbst
Obwohl das Gesetz derzeit Aufholjagd betreibt, können die Verbraucher selbst aktiv werden. Die Federal Trade Commission hat eine informative Seite, die zeigt, wie man vor Identitätsdiebstahl schützt und welche Schritte unternommen werden müssen, wenn man Opfer wird.
Darüber hinaus ermöglicht der "Fair and Accurate Credit Transaction Act" von 2003 den Verbrauchern, jährlich einen kostenlosen Kreditbericht von jedem der drei Kreditbüros zu erhalten. Experten empfehlen, alle vier Monate an ein anderes Kreditbüro zu schreiben, damit Sie im Laufe des Jahres alle drei Berichte erhalten. Manchmal weisen die drei Berichte Unstimmigkeiten auf. FACTA erleichtert es Verbrauchern, Fehler zu beheben.
FACTA hat auch eine Reihe von Verbrauchertools eingeführt. Eine ist eine Betrugswarnung, die erfordert, dass jemand eine Anfrage oder Änderung an Ihrer Kreditauskunft vornimmt, um Sie zuerst zu kontaktieren. Die Anforderung für die Warnung muss alle 90 Tage aktualisiert werden. Wenn Sie Opfer von Identitätsdiebstahl geworden sind, können Sie einen Polizeibericht einreichen und eine erweiterte Betrugswarnung erhalten, die sieben Jahre gültig ist.
Ein Kreditstopp, eine drastischere Maßnahme, verhindert, dass jemand ohne Ihre Kreditauskunft auf Ihre Kreditauskunft zugreift Ihr entflammt es. Es gibt eine Gebühr zum Einfrieren und Freigeben Ihrer Kreditauskunft; Einige Staaten verzichten auf die Kosten eines Einfrierens, wenn Sie Opfer eines Identitätsdiebstahls geworden sind und die Veranstaltung dokumentieren können. Die FTC-Site enthält Informationen zum Abrufen von Warnungen und zum Einfrieren.
Keines der beiden Tools verhindert, dass Sie eine kostenlose Kopie Ihrer Kreditauskunft erhalten. Hypothekenbanken und andere, die derzeit mit Ihnen Geschäfte machen, haben weiterhin Zugang zu Ihrer Kredithistorie. Nur neue Anfragen werden kaltgestellt. Diese Maßnahmen verhindern weder den fortwährenden Identitätsdiebstahl, noch verhindern sie eine neue Kontoerstellung, da einige neue Konten keine Bonitätsprüfung erfordern.
Obwohl diese Tools und Gesetze kreditbezogene Datenschutzverletzungen adressieren, sind personenbezogene Daten jetzt in neuen und verschiedenen Formen ausleckt. Wenn Kriminelle erraten können, wie Mobilfunkanbieter die Kontoinformationen der Benutzer mit Seriennummern verknüpfen, sind möglicherweise neue und bessere Definitionen für eine Datenverletzung erforderlich. Die Lektion hier ist, dass kein Leck zu klein ist, um später größere Kopfschmerzen zu verursachen.
So exportieren Sie Ihre linkedin-Kontodaten -
So exportieren Sie Ihre LinkedIn-Kontodaten einfach.
Lastpass gehackt: Hier ist, was Sie tun müssen
LastPass gehackt: Was jetzt? Wir analysieren den Schaden, den der Hack an LastPass angerichtet hat, schlagen Abhilfemaßnahmen und Alternativen für diejenigen vor, die das Schiff springen wollen.
So sichern Sie alle Ihre Google-Kontodaten mit Google takeout
Erfahren Sie, wie Sie mit Google Takeout alle Ihre Google-Kontodaten sichern können.