.
em resumo A Federal Communications Commission planeja revisar suas regras de relatórios de segurança para o setor de telecomunicações para, entre outras coisas, eliminar uma espera obrigatória de sete dias para informar os clientes sobre dados roubados e expandir a definição do que constitui um incidente.
Em uma votação unânime de 4 a 0, a FCC publicou um aviso de regulamentação proposta que a presidente Jessica Rosenworcel disse estar muito atrasada, já que as regras atuais têm mais de 15 anos.
“A lei exige que as operadoras protejam as informações confidenciais do consumidor, mas, dado o aumento na frequência, sofisticação e escala dos vazamentos de dados, devemos atualizar nossas regras para proteger os consumidores e fortalecer os requisitos de relatórios”, disse Rosenworcel.
Juntamente com a eliminação do período de espera para relatar eventos aos clientes, a FCC também está propondo exigir que o FBI e o Serviço Secreto dos EUA sejam informados, mas ainda está buscando informações sobre quando isso deve ser feito.
A FCC também admitiu na proposta que seu foco nas regras originais de relatórios de violação implementadas em 2007 era muito restrito – apenas representava violações envolvendo crimes de pretexto que envolvem a representação de alguém para obter acesso forçado a dados seguros.
De sua definição original, a regra da FCC de 2007 afirmava que uma violação ocorre “quando uma pessoa, sem autorização ou excedendo a autorização, intencionalmente obteve acesso, usou ou divulgou [confidential proprietary network information]”, ou CPNI.
A nova definição da FCC acrescenta divulgações acidentais à sua definição de violação, o que deve fazer as empresas de telecomunicações se sentarem e prestarem atenção: a negligência não será uma boa desculpa por muito mais tempo.
A Rosenworcel estava flutuando nas regras de divulgação mais rígidas desde janeiro de ano passado, meses depois que a T-Mobile US viu 100 milhões de registros de clientes vazarem online. A T-Mobile também resolveu dois processos de violação de dados de 2012 e 2015 final do ano passado.
O período de comentários foi aberto hoje, dando às partes interessadas 30 dias para se manifestarem antes que a FCC tome sua decisão final.
LastPass é processado por violação de agosto
Um desastre de dados em agosto no gerenciador de senhas LastPass continua piorando para a empresa. Primeiro, ele admitiu que o invasor roubou os dados do cliente em uma atualização de dezembro e agora recebeu uma proposta de ação coletiva acusando-o de práticas de segurança “lamentavelmente insuficientes”.
Última passagem inicialmente disse que o incidente envolveu o roubo do código-fonte da plataforma e alguns documentos internos, mas disse que os dados do usuário estavam perfeitamente seguros. Após uma análise mais aprofundada, descobriu-se que os dados roubados foram usados para atingir outro funcionário e, com esse acesso, os invasores conseguiram obter acesso a um sistema de armazenamento em nuvem para roubar cofres de senha de usuário.
Os dados roubados incluíam “informações básicas da conta do cliente e metadados relacionados, incluindo nomes de empresas, nomes de usuários finais, endereços de cobrança, endereços de e-mail, números de telefone e endereços IP”.
UMA ação judicial foi arquivado por um indivíduo não identificado que disse que as falhas do LastPass levaram ao roubo de uma quantidade não especificada de chaves privadas Bitcoin armazenadas na carteira, que o processo disse conter cerca de US$ 53.000 na criptomoeda.
O processo está buscando um julgamento por júri para extrair danos e restituição do LastPass para uma classe nacional que inclui todos os usuários do LastPass que tiveram dados roubados na violação.
ID agora é necessária para acessar a obscenidade online na Louisiana
Um projeto de lei sancionado na Louisiana no ano passado entrou em vigor exigindo que qualquer pessoa no estado que queira ler conteúdo pornográfico em sites como Pornhub ou OnlyFans verifique primeiro sua idade.
Lei 440 [PDF]que entrou em vigor no dia de Ano Novo, exige que qualquer site que lide com conteúdo obsceno “mais de trinta e três e um terço por cento” para usuários de identificação por meio de um sistema de verificação de idade comercial.
Não está imediatamente claro como a maioria dos sites adultos planeja responder, mas o PornHub, de propriedade da empresa canadense Mindgeek, que é o paizão dos sites pornográficos com uma participação de mercado monopolista, já começou para exigir verificação de idade via Louisiana’s Carteira LAseu aplicativo de carteira de motorista digital.
Sem surpresa, os defensores da privacidade não estão entusiasmados com a nova política. Falando à NPR, Jason Kelley, da Electronic Frontier Foundation, seu diretor associado de estratégia digital, disse que os residentes da Louisiana têm todo o direito de se preocupar.
“Existe a intenção explícita na lei de que verificadores e sites que usam verificação de idade não retenham [your information]mas os usuários não têm muitas garantias de que isso acontecerá e os dados serão removidos ou excluídos e [won’t be] compartilhados ou usados de outras maneiras”, Kelley disse.
Além de exigir que os visitantes verifiquem sua idade, a Lei 440 também impõe aos operadores de sites pornográficos o ônus de garantir que menores não tenham acesso, para que não sejam responsabilizados por “danos resultantes do acesso de um menor ao material”. ®
.
