home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / privacy / p01_015.txt < prev    next >
Text File  |  1996-09-03  |  10KB  |  200 lines

  1. PRIVACY Forum Digest      Saturday, 5 August 1992      Volume 01 : Issue 15
  2.  
  3.          Moderated by Lauren Weinstein (lauren@cv.vortex.com)
  4.                 Vortex Technology, Topanga, CA, U.S.A.
  5.     
  6.                      ===== PRIVACY FORUM =====
  7.  
  8.          The PRIVACY Forum digest is supported in part by the 
  9.           ACM Committee on Computers and Public Policy.
  10.  
  11.  
  12. CONTENTS
  13.     Selling customer lists (James Camp)
  14.     Selling video customer lists (Larry Hunter)
  15.     Wells Fargo Bank changes customer security system (Randy Gellens)
  16.     Vernam Cipher (Art Zimmermann)
  17.  
  18.  
  19.  *** Please include a RELEVANT "Subject:" line on all submissions! ***
  20.             *** Submissions without them may be ignored! ***
  21.  
  22. -----------------------------------------------------------------------------
  23. The PRIVACY Forum is a moderated digest for the discussion and analysis of
  24. issues relating to the general topic of privacy (both personal and
  25. collective) in the "information age" of the 1990's and beyond.  The
  26. moderator will choose submissions for inclusion based on their relevance and
  27. content.  Submissions will not be routinely acknowledged.
  28.  
  29. ALL submissions should be addressed to "privacy@cv.vortex.com" and must have
  30. RELEVANT "Subject:" lines.  Submissions without appropriate and relevant
  31. "Subject:" lines may be ignored.  Subscriptions are by an automatic
  32. "listserv" system; for subscription information, please send a message
  33. consisting of the word "help" (quotes not included) in the BODY of a message
  34. to: "privacy-request@cv.vortex.com".  Mailing list problems should be
  35. reported to "list-maint@cv.vortex.com".  All submissions included in this
  36. digest represent the views of the individual authors and all submissions
  37. will be considered to be distributable without limitations. 
  38.  
  39. The PRIVACY Forum archive, including all issues of the digest and all
  40. related materials, is available via anonymous FTP from site "cv.vortex.com",
  41. in the "/privacy" directory.  Use the FTP login "ftp" or "anonymous", and
  42. enter your e-mail address as the password.  The typical "README" and "INDEX"
  43. files are available to guide you through the files available for FTP
  44. access.  PRIVACY Forum materials may also be obtained automatically via
  45. e-mail through the listserv system.  Please follow the instructions above
  46. for getting the listserv "help" information, which includes details
  47. regarding the "index" and "get" listserv commands, which are used to access
  48. the PRIVACY Forum archive.
  49.  
  50. For information regarding the availability of this digest via FAX, please
  51. send an inquiry to privacy-fax@cv.vortex.com, call (310) 455-9300, or FAX
  52. to (310) 455-2364.
  53. -----------------------------------------------------------------------------
  54.  
  55. VOLUME 01, ISSUE 15
  56.  
  57.     Quote for the day:
  58.  
  59.     "Gentlemen!  You can't fight in here--this is the war room!"
  60.  
  61.             -- The President
  62.     
  63.                 "Dr. Strangelove:
  64.                  Or, How I Learned to Stop Worrying
  65.                      and Love the Bomb" (1964)
  66.  
  67. ----------------------------------------------------------------------
  68.  
  69. Date:    Wed, 26 Aug 92 06:48:44 PDT
  70. From:    jamesc@scotch.nic.ddn.mil (James Camp)
  71. Subject: Selling customer lists
  72.  
  73. >A local video rental store went belly-up, and the contents of the store
  74. >were put up for auction.
  75. >In addition to some 2400 used videotapes  . . . , and a two-drawer
  76. >filecard cabinet labeled "mailing list" . . .  with name, address, place of
  77. > work and >originally-presented ID on the front, and on the back a list of
  78. > the names of all the videotapes that customer had rented.
  79.  
  80. All of the video stores I've done business with required a credit card
  81. number to guarantee the account.  If this data were also in the files,
  82. the security of many (former) clients could be put in jeopardy.
  83.  
  84. ------------------------------
  85.  
  86. Date:    Wed, 26 Aug 92 10:07:16 -0400
  87. From:    hunter@nlm.nih.gov (Larry Hunter)
  88. Subject: Selling video customer lists
  89.  
  90. In the privacy forum digest V01 #14, Jerome Saltzer describes the sale of
  91. customer lists from a bankrupt video rental store.  He says:
  92.  
  93.   Exactly how the new federal law prohibiting disclosure of videotape rental
  94.   records applies to this situation is not at all clear.  But it seems safe to
  95.   say that business ethics can't be very effective in protecting data when the
  96.   business vanishes.
  97.  
  98. As part of a new CPSR project, I have been putting together a demonstration
  99. hypertext system for browsing materials relevant to privacy law.  My
  100. demonstration area happens to be the Video Privacy Protection Act of 1988.
  101. Although I'm not a lawyer, it seems clear from the wording of the act that
  102. disclosing customer records as part of the transfer of ownership of a business
  103. is within the law.  18 U.S.C. 121 Section 2710(b)(2)(E): "A video tape service
  104. provider may disclose personally identifiable information concerning any
  105. customer... to any person if the disclosure is incident to the ordinary course
  106. of business of the video tape service provider."  Paragraph 2710(a)(2) says
  107. "the term 'ordinary course of business' means only debt collection activities,
  108. order fulfillment, request processing, and the transfer of ownership."  There
  109. is, however, a clause requiring the destruction of records more than a year
  110. old, with certain exceptions.
  111.  
  112. It is also apparent from the legislative background that the mere names of
  113. customers (not associated with specific rentals) are not protected.  The report
  114. of the Senate Judiciary Committee (Report 100-599, Legislative day Oct 18,
  115. 1988) says (p. 18) "[F]or example, a video tape service provider is not
  116. prohibited from responding to a law enforcement agent's inquiry as to whether a
  117. person patronized a video tape service provider at a particular time or on a
  118. particular date."
  119.  
  120. In my personal opinion, unless you are a potential supreme court justice who
  121. likes to watch porno movies, there isn't a lot of protection for you in the
  122. video privacy act.
  123.  
  124. By the way, I am interested in hearing from anybody who has suggestions about
  125. how to produce a useful browsing system (say, recommendations of specific
  126. Macintosh hypertext tools) or from a lawyer who has outlined this material.
  127.  
  128. Larry Hunter
  129. Co-chair, CPSR-DC chapter
  130.  
  131. ------------------------------
  132.  
  133. Date:    26 AUG 92 20:49   
  134. From:    <MPA15AB!RANDY@TRENGA.tredydev.unisys.com>
  135. Subject: Re: Wells Fargo Bank changes customer security system
  136.  
  137. > Of some concern is other information that is now available via the automated
  138. > system.  Apparently anybody can now call, enter any account number and an
  139. > amount, and be told whether or not that amount of funds is available in the
  140. > specified account.  With a relatively few calls, it would be possible to
  141. > pretty well range in on the amount in any account using this system.  When I
  142. > questioned them about the wisdom of allowing this information to be
  143. > available in an automated manner with absolutely no security or tracking of
  144. > any kind, they replied that since federal regulations allow it, they're
  145. > doing it.
  146.  
  147. This is nothing new.  Banks have traditionally allowed anyone to call up and
  148. give an account number and an amount, and be told if a check for that amount
  149. would clear at the moment.  What is new is that this is now automatced.  Other
  150. banks have provided an automated version of this for years.  For example,
  151. anyone can call the Bank of America automated information number, press -2-
  152. for merchant services, an account number, and be told the order of magnitude
  153. of the accout, and the binary position within that magnitude ("high" or "low").
  154. A yes/no on a specific dollar amount is also available.
  155.  
  156.   = Randy Gellens            randy%mpa15ab@trenga.tredydev.unisys.com =
  157.  
  158.     [ Yes, I know that such automated systems are now becoming widely
  159.       available.  However, the question for this Forum is, *should* such
  160.       information be freely accessible, without any controls by the
  161.       customer, no recording of who is requesting the information, and no
  162.       notification to the customer that their account information is
  163.       being queried?  Also, does the widespread move from "manual" to
  164.       "automated" systems for dispensing this information possibly
  165.       encourage abuse through easier repetitive access? -- MODERATOR ]
  166.  
  167. ------------------------------
  168.  
  169. Date:    Sun, 30 Aug 92 17:00:47 PDT
  170. From:    GlasNet <glasnost@igc.apc.org>
  171. Subject: Vernam Cipher
  172.  
  173. There is a well-known cryptographic technique - the Vernam
  174. Cipher, also known as the one-time pad - which is secure against
  175. any known form of decryption attack.  The problem with this
  176. technique has always been in key distribution; an amount of key
  177. equal to that of the plaintext is required.
  178.  
  179. I believe there is a method for allowing a variant of the Vernam
  180. Cipher to be applied to data and perhaps to voice communications. 
  181. I think this is fundementally a good thing; one of the guiding
  182. principles of privacy should be that anyone's communications
  183. should be secure from unauthorized access.
  184.  
  185. If an inexpensive and quite secure method of encryption were
  186. available to all, would not use of end-to-end encryption go some
  187. distance toward solving the privacy problem ?
  188.  
  189. This would not be a popular idea with law enforcement agencies,
  190. the NSA, and other spooks. Aside from obvious objections from
  191. this quarter, are there any good arguments against general
  192. availability of such an encryption method ?
  193.  
  194. Art Zimmermann
  195.  
  196. ------------------------------
  197.  
  198. End of PRIVACY Forum Digest 01.15
  199. ************************
  200.