Bank Kehilangan Data Akun Anda? Inilah Yang Harus Dilakukan

Ilustrasi oleh Jashar AwanMulai awal Juni, AT & T memiliki alat daring yang membantu pemilik iPad 3G mendaftar untuk layanan Wi-Fi seluler: Pengguna mengetikkan nomor seri 19-digit karena adanya Kartu micro-SIM iPad, juga dikenal sebagai ICC-ID (integrated circuit card identifier), dan situs mengembalikan alamat e-mail yang telah digunakan pemilik untuk memverifikasi pendaftaran. AT & T menggunakan alamat e-mail tersebut untuk mengisi bidang log-in pada formulir pendaftaran Web.

Sekelompok peneliti yang disebut Keamanan Goatse melihat cacat pada alat ini, dan membuat skrip yang secara acak dihasilkan dan mengirimkan nomor ICC-ID ke situs. Mereka mendapatkan lebih dari 114.000 alamat e-mail, termasuk Kepala Staf Gedung Putih, Rahm Emanuel, Walikota New York, Michael Bloomberg, dan pemilik iPad terkenal lainnya. Goatse Security tidak menghubungi AT & T terlebih dahulu, tetapi mereka menunggu sampai perusahaan mengubah situs sebelum memberikan alamat e-mail dan nomor seri ke editor Gawker.com, yang kemudian mengungkapkan kekurangannya.

Jika kebocoran yang tampak sepele seperti itu tunduk pada undang-undang pemberitahuan pelanggaran data saat ini? Dan jika mereka harus, seberapa seriuskah ancaman pencurian identitas ketika penyerang mendapatkan alamat e-mail dan nomor seri?

[Bacaan lebih lanjut: Bagaimana cara menghapus malware dari PC Windows Anda]

Pelanggaran? Apa Breach?

Berdasarkan hukum saat ini, AT & T tidak harus mengungkapkan pemaparan alamat e-mail atau nomor seri. Dorothy Attwood, pejabat privasi utama AT & T, mengklaim dalam permintaan maaf kepada pelanggan iPad 3G bahwa Goatse "dengan sengaja berusaha keras dengan program acak untuk mengekstrak kemungkinan ID-ICC dan menangkap alamat e-mail pelanggan." Attwood juga menekankan bahwa Situs Web AT & T tidak mengarah langsung ke informasi keuangan atau pribadi.

Meskipun alamat e-mail yang terpapar mungkin menarik lebih banyak spam, ICC-ID itu sendiri tidak akan berguna. Namun, berbicara di SOURCE Boston pada bulan April, Nick DePetrillo dan Don A. Bailey menunjukkan bagaimana ICC-ID seperti yang digunakan oleh AT & T dapat digunakan untuk menebak nomor IMSI (International Mobile Subscriber Identity) yang lebih penting untuk setiap pemilik akun. Meskipun spesifik untuk menyerang jaringan telepon seluler GSM, pembicaraan DePetrillo dan Bailey (lihat PDF dari presentasi mereka) menunjukkan bagaimana IMSI dapat membantu mengungkapkan identitas pemilik akun dan informasi lainnya.

Pemberitahuan Hukum

Sebagai April, 46 negara bagian dan tiga wilayah AS memiliki undang-undang untuk pemberitahuan konsumen yang informasinya mungkin telah dikompromikan dalam pelanggaran data, menurut Konferensi Nasional Legislatif Negara. (Tidak ada yang secara khusus mencakup kebocoran data kartu SIM.) Alabama, Kentucky, New Mexico, dan South Dakota belum memiliki undang-undang pemberitahuan pelanggaran data semacam itu. Tidak ada undang-undang pemberitahuan federal, tetapi ada yang bekerja. Undang-undang federal khusus untuk pelanggaran data perawatan kesehatan (lihat PDF) menjadi kenyataan sebagai bagian dari Pemulihan Amerika dan Undang-Undang Reinvestasi pada tahun 2009.

Sebagian besar undang-undang negara mencerminkan undang-undang California 2003 SB1386, di mana "informasi pribadi" didefinisikan sebagai nama depan dan belakang, ditambah kombinasi nomor Jaminan Sosial, SIM, nomor rekening, atau nomor kartu kredit atau debit dengan kata sandi atau kode keamanan. Kebocoran data pribadi yang tidak terenkripsi harus diungkapkan kecuali dalam investigasi penegakan hukum (dalam hal ini pengungkapan dapat ditunda). Data terenkripsi dibebaskan.

Revisi 2010 yang tertunda terhadap undang-undang California, SB1166, termasuk perbaikan yang telah dibuat oleh negara-negara lain, seperti deskripsi peristiwa pelanggaran data dalam surat pemberitahuan, salinannya harus dikirim ke kantor kejaksaan agung.

Arm Thyself

Meskipun hukum saat ini sedang mengejar ketertinggalan, konsumen dapat mengambil tindakan sendiri. Federal Trade Commission memiliki situs informatif yang menceritakan cara menjaga terhadap pencurian identitas, serta langkah-langkah apa yang harus diambil jika Anda menjadi korban.

Selain itu, Undang-Undang Transaksi Kredit yang Adil dan Akurat pada tahun 2003 memungkinkan konsumen untuk mendapatkan satu laporan kredit gratis dari masing-masing tiga biro kredit setiap tahun. Para ahli menyarankan untuk menulis ke biro kredit yang berbeda setiap empat bulan sehingga sepanjang tahun Anda mendapatkan ketiga laporan tersebut. Terkadang ketiga laporan tersebut memiliki ketidaksesuaian; FACTA mempermudah konsumen untuk menyelesaikan kesalahan.

FACTA memperkenalkan sejumlah alat kredit konsumen juga. Salah satunya adalah peringatan penipuan yang mengharuskan siapa pun melakukan penyelidikan atau mengubah laporan kredit Anda untuk menghubungi Anda terlebih dahulu. Permintaan untuk peringatan perlu diperbarui setiap 90 hari; jika Anda menjadi korban pencurian identitas, Anda dapat mengajukan laporan polisi dan mendapatkan peringatan penipuan yang panjang yang baik selama tujuh tahun.

Pembekuan kredit, tindakan yang lebih drastis, mencegah siapa pun mengakses laporan kredit Anda tanpa tidak membebaskan Anda. Ada biaya untuk membekukan dan mencairkan laporan kredit Anda; beberapa negara mengesampingkan biaya pembekuan jika Anda telah menjadi korban pencurian identitas dan dapat mendokumentasikan acara tersebut. Situs FTC memiliki informasi tentang cara mendapatkan pemberitahuan dan membeku.

Tidak ada alat yang mencegah Anda mendapatkan salinan laporan kredit gratis. Perusahaan hipotek dan lainnya yang saat ini berbisnis dengan Anda mempertahankan akses ke riwayat kredit Anda; hanya pertanyaan baru yang berhenti dingin. Langkah-langkah ini tidak akan menghentikan pencurian identitas yang sedang berlangsung, juga tidak akan mencegah pembuatan akun baru, karena beberapa akun baru tidak memerlukan pemeriksaan kredit.

Meskipun alat dan undang-undang ini dirancang untuk mengatasi pelanggaran data yang terkait dengan kredit, data pribadi adalah sekarang bocor dalam bentuk baru dan berbeda. Jika penjahat dapat menebak bagaimana operator seluler mengaitkan informasi akun pengguna dengan nomor seri, maka mungkin definisi baru dan lebih baik dari apa yang memenuhi syarat sebagai pelanggaran data diperlukan. Pelajaran di sini adalah bahwa tidak ada kebocoran terlalu kecil untuk menyebabkan sakit kepala besar nanti.