1. Portscanner en ligne
  2. Dernières nouvelles et articles sur la cybersécurité
  3. Pourquoi Vous Devriez Refuser de Partager des Données Avec Votre Opérateur de Téléphonie Mobile

Pourquoi Vous Devriez Refuser de Partager des Données Avec Votre Opérateur de Téléphonie Mobile

Une nouvelle violation impliquant des données de neuf millions de personnes À & T clients est un nouveau rappel que votre fournisseur de téléphonie mobile recueille et partage probablement de nombreuses informations sur l'endroit où vous allez et ce que vous faites avec votre appareil mobile — à moins et jusqu'à ce que vous vous désinscriviez de cette collecte de données. Voici une introduction sur les raisons pour lesquelles vous pourriez vouloir faire cela et comment.

Crédit photo: Shutterstock

Géant des télécommunications À & T révélé ce mois-ci qu'une violation chez un fournisseur de marketing a révélé certaines informations de compte pour neuf millions de clients. AT & T a déclaré que les données exposées n'incluaient pas d'informations sensibles, telles que des numéros de carte de crédit ou de sécurité sociale, ou des mots de passe de compte, mais se limitaient aux “Informations réseau propriétaires du client” (CPNI), telles que le nombre de lignes sur un compte.

Certaines questions peuvent vous venir à l'esprit en ce moment, comme “Qu'est-ce que le CPNI?"Et ‘" Si c'est tellement "propriétaire du client", pourquoi AT&T le partage-t-il avec les spécialistes du marketing?"Aussi peut-être, “Que puis-je y faire?"Lisez la suite pour obtenir des réponses aux trois questions.

La divulgation d'AT & T a déclaré que les informations exposées comprenaient le prénom du client, le numéro de compte sans fil, le numéro de téléphone sans fil et l'adresse e-mail. De plus, un petit pourcentage des dossiers des clients exposait également le nom du plan tarifaire, les montants en souffrance, les montants des paiements mensuels et les minutes utilisées.

CPNI fait référence aux “métadonnées " spécifiques au client sur le compte et l'utilisation du compte, et peut inclure:

- Numéros de téléphone appelés
- Heure des appels
- Durée des appels
- Coût et facturation des appels
- Caractéristiques du service
- Services premium, tels que l'assistance téléphonique par annuaire

Selon un explicatif succinct du CPNI chez TechTarget, Le CPNI est une information privée et protégée qui ne peut pas être utilisée directement pour la publicité ou le marketing.

“Le CPNI d'un individu peut être partagé avec d'autres fournisseurs de télécommunications pour des raisons d'exploitation du réseau", a écrit TechTarget Jean-François. "Ainsi, lorsque la personne s'inscrit pour la première fois au service téléphonique, ces informations sont automatiquement partagées par le fournisseur de téléphonie avec les entreprises partenaires.”

Votre utilisation de l'Internet mobile est-elle couverte par les lois CPNI? C'est moins clair, car les règles du CPNI ont été établies avant que les téléphones portables et l'accès à Internet sans fil ne soient courants. L'introduction du CPNI de TechTarget explique:

"En vertu de la législation américaine actuelle, l'utilisation d'un téléphone portable n'est protégée en tant que CPNI que lorsqu'il est utilisé comme téléphone. Pendant ce temps, l'entreprise agit en tant que fournisseur de télécommunications exigeant des règles CPNI. L'utilisation d'Internet, les sites Web visités, l'historique de recherche ou les applications utilisées ne sont pas protégés par le CPNI car la société agit en tant que fournisseur de services d'information non soumis à ces lois.”

Par conséquent, les transporteurs peuvent partager et vendre ces données car il ne leur est pas explicitement interdit de le faire. Les trois principaux opérateurs disent qu'ils prennent des mesures pour anonymiser les données client qu'ils partagent, mais les chercheurs ont montré que ce n'est pas très difficile pour anonymiser les données de navigation sur le Web prétendument anonymes.

"Votre téléphone, et par conséquent votre opérateur de téléphonie mobile, en savent beaucoup sur vous"” écrire Jack Morse pour l'amour Mashable. “Les endroits où vous allez, les applications que vous utilisez et les sites Web que vous visitez révèlent potentiellement toutes sortes d'informations privées, par exemple les croyances religieuses, les problèmes de santé, les projets de voyage, le niveau de revenu et les goûts spécifiques en matière de pornographie. Ça devrait te déranger.”

Heureusement, tous les opérateurs américains sont tenus d'offrir aux clients des moyens de refuser que les données sur la façon dont ils utilisent leurs appareils soient partagées avec les spécialistes du marketing. Voici un aperçu de certaines des pratiques spécifiques à l'opérateur et des options de désinscription.

À & T

La politique d'AT&T stipule qu'elle partage l'appareil ou “l'identifiant publicitaire", combiné avec des données démographiques, y compris la tranche d'âge, le sexe et les informations de code POSTAL avec des tiers qui incluent explicitement les annonceurs, les programmeurs et les réseaux, les réseaux de médias sociaux, les sociétés d'analyse, les réseaux publicitaires et d'autres sociétés similaires impliquées dans la création et la diffusion de publicités.

AT & T a déclaré que les données exposées sur 9 millions de clients dataient de plusieurs années et étaient principalement liées à l'éligibilité à la mise à niveau de l'appareil. Cela peut sembler que les données ne sont allées qu'à l'un de ses partenaires qui a subi une violation, mais selon toute vraisemblance, elles sont également allées à des centaines de partenaires d'AT&T.

Chez AT & T Page de désinscription du CPNI dit qu'il partage les données du CPNI avec plusieurs de ses affiliés, y compris WarnerMédia, Télévision directe et Cricket Sans Fil. Jusqu'à récemment, AT & T partageait également des données CPNI avec Xandre, dont confidentialité à son tour, explique qu'il partage des données avec des centaines d'autres agences de publicité. Microsoft acheté Xandr à AT & T l'année dernière.

Téléphone MOBILE

Selon le Centre d'Information Électronique Sur la Confidentialité (ÉPIQUE), Téléphone mobile semble être la seule entreprise sur les trois grands à étendre à tous les clients les droits conférés par le Loi Californienne Sur la Protection des Consommateurs (ACCP).

EPIC dit que les données client de T-Mobile vendues à des tiers utilisent un autre identifiant unique appelé identifiants publicitaires mobiles ou “Maid."T-Mobile affirme que les femmes de chambre n'identifient pas directement les consommateurs, mais en vertu de la CCPA, les femmes de chambre sont considérées comme des “informations personnelles” qui peuvent être connectées aux adresses IP, aux applications mobiles installées ou utilisées avec l'appareil, à toute information de visualisation de vidéo ou de contenu, et l'activité et les attributs de l'appareil.

Les clients de T-Mobile peuvent se désinscrire en se connectant à leur compte et en accédant à la page de profil, puis à “Confidentialité et notifications".“À partir de là, désactivez les options” Utiliser mes données pour l'analyse et les rapports “et " Utiliser mes données pour rendre les annonces plus pertinentes pour moi.”

VERIZON

La politique de confidentialité de Verizon indique qu'elle ne vend pas d'informations qui identifient personnellement les clients (par exemple, nom, numéro de téléphone ou adresse e-mail), mais elle autorise les sociétés de publicité tierces à collecter des informations sur l'activité sur les sites Web de Verizon et dans les applications Verizon, par l'intermédiaire des femmes de chambre, pixels invisibles, balises Web et plugins de réseaux sociaux.

Selon Wired.com tutoriel de, Les utilisateurs de Verizon peuvent se désinscrire en se connectant à leur compte Verizon via un navigateur Web ou l'application mobile My Verizon. À partir de là, sélectionnez l'onglet Compte, puis cliquez sur Paramètres du compte et Paramètres de confidentialité sur le Web. Pour l'application mobile, cliquez sur l'icône d'engrenage dans le coin supérieur droit, puis sur Gérer les paramètres de confidentialité.

Sur la page Préférences de confidentialité, les internautes peuvent choisir "Ne pas utiliser" dans la section Expérience personnalisée. Sur l'application My Verizon, basculez les curseurs verts vers la gauche.

EPIC note que les trois principaux opérateurs indiquent que la réinitialisation de l'identifiant de l'appareil du consommateur et/ou la suppression des cookies dans le navigateur réinitialiseront de la même manière toutes les préférences de désinscription (c'est-à-dire que le client devra se désinscrire à nouveau), et que le blocage des cookies par défaut peut également bloquer l'installation du cookie de désinscription.

T-Mobile indique que sa désactivation est spécifique à l'appareil et/ou au navigateur. “Dans la plupart des cas, votre choix de désinscription ne s'appliquera qu'à l'appareil ou au navigateur spécifique sur lequel il a été effectué. Vous devrez peut-être vous désinscrire séparément de vos autres appareils et navigateurs.”

Les offres AT & T et Verizon adhésion programmes qui recueillent et partagent beaucoup plus d'informations, y compris l'emplacement de l'appareil, les numéros de téléphone que vous appelez et les sites que vous visitez à l'aide de votre connexion Internet mobile et/ou domestique. AT & T appelle cela leur Programme de Publicité Pertinente Amélioré; Celui de Verizon s'appelle Expérience Personnalisée Plus.

En 2021, plusieurs médias signaler que certains clients de Verizon étaient automatiquement inscrits à Custom Experience Plus-même après que ces clients se soient déjà désinscrits du même programme sous son ancien nom — “Verizon Sélectionne.”

Si aucune des options de désinscription ci-dessus ne vous convient, vous devriez au minimum pouvoir vous désinscrire du partage CPNI en appelant votre opérateur ou en vous rendant dans l'un de leurs magasins.

LES ARGUMENTS EN FAVEUR DU RETRAIT

Pourquoi devriez-vous refuser de partager les données du CPNI? Pour commencer, certains des plus grands opérateurs de services sans fil du pays n'ont pas d'excellents antécédents en matière de protection des informations sensibles que vous leur donnez uniquement dans le but de devenir client — sans parler des informations qu'ils collectent sur votre utilisation de leurs services après ce point.

En janvier 2023, T-Mobile a révélé que quelqu'un volé des données sur 37 millions de comptes clients, y compris le nom du client, l'adresse de facturation, l'e-mail, le numéro de téléphone, la date de naissance, le numéro de compte T-Mobile et les détails du forfait. En août 2021, T-Mobile reconnaître que les pirates informatiques se sont emparés des noms, des dates de naissance, des numéros de sécurité sociale et des informations de permis de conduire/carte d'identité de plus de 40 millions de clients actuels, anciens ou potentiels qui ont demandé un crédit auprès de l'entreprise.

L'été dernier, un cybercriminel a commencé à vendre les noms, adresses e-mail, numéros de téléphone, numéros de sécurité sociale et dates de naissance de 23 millions d'Américains. Un analyse exhaustive des données fortement suggéré que tout appartenait aux clients d'une entreprise AT&T ou d'une autre. AT & T n'a pas dit que les données ne lui appartenaient pas, mais a déclaré que les enregistrements ne semblaient pas provenir de ses systèmes et pouvaient être liés à un incident de données antérieur dans une autre entreprise.

Quelle que soit la fréquence à laquelle les opérateurs peuvent alerter les consommateurs sur les violations du CPNI, c'est probablement loin d'être suffisant. À l'heure actuelle, les transporteurs ne sont tenus de signaler une violation du CPNI du consommateur que dans les cas “où une personne, sans autorisation ou dépassant l'autorisation, a intentionnellement eu accès au CPNI, l'a utilisé ou l'a divulgué.”

Mais cette définition de la violation a été élaborée il y a des éons, à l'époque où la principale façon dont le CPNI était exposé était par “prétexte”, par exemple lorsque les employés de la compagnie de téléphone sont incités à donner des données protégées sur les clients.

En janvier, les régulateurs à la Commission Fédérale des Communications des États-Unis (FCC) proposé modifier la définition de " violation” pour inclure des éléments tels que la divulgation par inadvertance — par exemple lorsque des entreprises exposent des données CPNI sur un serveur mal sécurisé dans le cloud. La FCC accepte les commentaires du public à ce sujet jusqu'au 24 mars 2023.

S'il est vrai que la fuite de données CPNI n'implique pas d'informations sensibles telles que des numéros de sécurité sociale ou de carte de crédit, une chose que l'avis de violation d'AT&T ne mentionne pas est que les données CPNI — telles que les soldes et les paiements effectués - peuvent être utilisées de manière abusive par des fraudeurs pour rendre lorsqu'ils essaient de se faire passer pour AT&T et d'hameçonner les clients d'AT&T.

L'autre problème lié au fait de laisser les entreprises partager ou vendre vos données CPNI est que les opérateurs de téléphonie mobile peuvent modifier leurs politiques de confidentialité à tout moment, et vous êtes supposé être d'accord avec ces changements tant que vous continuez à utiliser leurs services.

Par exemple, les données de localisation de votre appareil sans fil sont très certainement du CPNI, et pourtant, jusqu'à très récemment, tous les principaux opérateurs vendaient les données de localisation en temps réel de leurs clients à des courtiers en données tiers sans le consentement du client.

Quelle a été leur punition? En 2020, la FCC amendes proposées totalisant 208 millions de dollars contre tous les principaux transporteurs pour vendre les données de localisation en temps réel de leurs clients. Si cela vous semble beaucoup d'argent, considérez que tous les principaux fournisseurs de services sans fil ont déclaré des dizaines de milliards de dollars de revenus l'année dernière (par exemple, les revenus des consommateurs de Verizon à eux seuls dépassaient 100 milliards de dollars l'année dernière).

Si les États-Unis disposaient de lois fédérales sur la protection de la vie privée favorables aux consommateurs et pertinentes pour l'économie numérique d'aujourd'hui, ce type de collecte et de partage de données serait toujours optionnel par défaut. Dans un tel monde, l'industrie extrêmement rentable du sans-fil serait probablement obligée d'offrir des incitations financières claires aux clients qui choisissent de partager ces informations.

Mais jusqu'à ce que ce jour arrive, comprenez que les opérateurs peuvent modifier leurs politiques de collecte et de partage de données quand cela leur convient. Et que vous lisiez ou non des avis sur les modifications apportées à leurs politiques de confidentialité, vous aurez accepté ces modifications tant que vous continuerez à utiliser leur service.



>>Plus