9月12日国际报道 随着惠普“电话门”丑闻浮出水面,电信运营商再次成为了令人瞩目的焦点。
上周早些时候,惠普承认它在调查董事会泄密事件时雇佣了一家调查公司,收集了董事会成员和9名记者的电话,其中包括3名News.com的记者。
这一消息再次凸显出困扰电信产业的一个日益严重的问题━━pretexting。
9个月前,有媒体报道一些网站可以公开购买客户记录,电信产业就受到了批评,并促使包括Cingular Wireless、Sprint、T-Mobile、Verizon Wireless在内的数家电信运营商起诉了销售客户电话记录的代理机构。美国国会也在考虑考虑pretexting非法的法律。
其它产业也面临这样的问题,但专家表示,在保护客户信息方面,电信产业落在了后面。信息安全咨询顾问道格拉斯说,毫无疑问的是,电信产业在认证客户方面的规则非常不严格。电信产业对这一问题认识不够。
尽管所有电话公司都声称客户隐私对于它们非常重要,至少一家卷入惠普“电话门”丑闻的运营商发表的声明表明,电话记录的公布要比其它个人信息更容易一些。AT&T上个月起诉了一名窃取了2500家客户电话记录的黑客。
AT&T的一名发言人沃尔特说,2500名客户只是我们4800万家客户中很小的一部分,我们目前的当务之急是确保客户的财务资料不会被泄露。黑客没有窃取客户的信用卡号。
运营商不愿意谈论它们保护客户资料的细节。例如,沃尔特就没有详细说明AT&T是如何认证访问客户记录的用户身份的。
Sprint Nextel的一名女发言人说,Sprint Nextel建议客户使用密码,但是,它仍然允许客户通过使用电话号码和社会保险号码的最后4 位数字在网上访问他们的帐户。
道格拉斯表示,这是最容易攻破的认证方法之一。他指出,企业应当让客户使用至少二种方法认证客户身份,用户不要使用家庭住址、社会保险号、生日等用作密码。
Verizon Communications的发言人马克说,在发布记录或帐户信息时,Verizon Communications使用多种方法认证用户的身份。它不仅仅建议用户设定密码,还利用印刷在用户帐单上的信息认证用户的身份。
如果用户没有收到帐单,它会要求用户回答与特定帐户相关的问题。但是,黑客不仅仅伪装成用户,还伪装成电话公司员工或执法官员。
电话公司几乎没有采取任何措施确保用户所报的身份是真实的。例如,电话公司可以回拨客户的电话,或者当记录被访问前,用SMS或电子邮件自动地通知用户。
一些专家相信,最近的“电话门”丑闻使消费者更了解这些安全问题了。最终,这可能促使人们向服务提供商施加更大的压力,更好地保护他们的资料。但是,电子信息隐私中心的律师舍温承认,电话公司目前的处境相当困难。
他说,电话公司是左右为难。它们既希望让用户方便地访问自己的电话记录,但又不想使这一过程过于方便了,给犯罪分子以可乘之机。