home *** CD-ROM | disk | FTP | other *** search

---

/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / privacy / p02_009.txt

< prev

next >

Wrap

Text File  |  1996-09-03  |  15KB  |  318 lines

---

1. PRIVACY Forum Digest     Thursday, 18 March 1993     Volume 02 : Issue 09
2.  
3.          Moderated by Lauren Weinstein (lauren@cv.vortex.com)
4.                 Vortex Technology, Topanga, CA, U.S.A.
5.     
6.                      ===== PRIVACY FORUM =====
7.  
8.          The PRIVACY Forum digest is supported in part by the 
9.           ACM Committee on Computers and Public Policy.
10.  
11.  
12. CONTENTS
13.     Should the information industry be consentual? (Bob Leone)
14.     Reverse directory/Sears/Radio Shack (Arthur Rubin)
15.     Re: Credit Card Validation (Chris Hibbert)
16.     Use of Medical Clearing House (Jack Decker)
17.     No anonymity for Canon copiers? (Brad Mears)
18.     Re: Cashiers and telephone numbers (Chuck Stern)
19.  
20.  
21.  *** Please include a RELEVANT "Subject:" line on all submissions! ***
22.             *** Submissions without them may be ignored! ***
23.  
24. -----------------------------------------------------------------------------
25. The PRIVACY Forum is a moderated digest for the discussion and analysis of
26. issues relating to the general topic of privacy (both personal and
27. collective) in the "information age" of the 1990's and beyond.  The
28. moderator will choose submissions for inclusion based on their relevance and
29. content.  Submissions will not be routinely acknowledged.
30.  
31. ALL submissions should be addressed to "privacy@cv.vortex.com" and must have
32. RELEVANT "Subject:" lines.  Submissions without appropriate and relevant
33. "Subject:" lines may be ignored.  Subscriptions are by an automatic
34. "listserv" system; for subscription information, please send a message
35. consisting of the word "help" (quotes not included) in the BODY of a message
36. to: "privacy-request@cv.vortex.com".  Mailing list problems should be
37. reported to "list-maint@cv.vortex.com".  All submissions included in this
38. digest represent the views of the individual authors and all submissions
39. will be considered to be distributable without limitations. 
40.  
41. The PRIVACY Forum archive, including all issues of the digest and all
42. related materials, is available via anonymous FTP from site "cv.vortex.com",
43. in the "/privacy" directory.  Use the FTP login "ftp" or "anonymous", and
44. enter your e-mail address as the password.  The typical "README" and "INDEX"
45. files are available to guide you through the files available for FTP
46. access.  PRIVACY Forum materials may also be obtained automatically via
47. e-mail through the listserv system.  Please follow the instructions above
48. for getting the listserv "help" information, which includes details
49. regarding the "index" and "get" listserv commands, which are used to access
50. the PRIVACY Forum archive.  All PRIVACY Forum materials are also
51. available through the Internet Gopher system via a gopher server on
52. site "cv.vortex.com".
53.  
54. For information regarding the availability of this digest via FAX, please
55. send an inquiry to privacy-fax@cv.vortex.com, call (310) 455-9300, or FAX
56. to (310) 455-2364.
57. -----------------------------------------------------------------------------
58.  
59. VOLUME 02, ISSUE 09
60.  
61.    Quote for the day:
62.  
63.     "I detest life-insurance agents; they always argue that
64.      I shall some day die, which is not so."
65.  
66.                         -- Stephen Leacock (1869-1944)
67.                        "Literary Lapses" (1910)
68.                         (Insurance up to Date)
69.  
70. ----------------------------------------------------------------------
71.  
72. Date:    Sat, 13 Mar 1993 11:29:08 -0500
73. From:    Bob Leone <leone@gandalf.ssw.com>
74. Subject: Should the information industry be consentual?
75.  
76. Pete Kaiser writes:
77.     @Experience shows that in the business of accumulating and exchanging
78.     databases about personal information there is a high rate of corruption, of
79.     both data [1] and individuals [2].  Moreover, there are plenty of obvious
80.     cases where the free flow of accurate information is unwise, inhumane, or
81.     illegal [3].
82.  
83. Just to give some more extreme examples: if someone was allowed to compile
84. data using "employer" as the selection criteria, I'm sure you can imagine
85. the results of a list of names, home addresses, and car license numbers of
86. employees of
87.  
88.      1) Fur makers going to PETA and the Animal Liberation Front
89.      2) IRS going to extremist Tax Protest groups
90.      3) BATF going to members of the Waco, Texas "Branch Davidian" group
91.      4) Smith & Wesson going to Handgun Control Inc
92.      5) Handgun Control Inc going to NRA
93.      6) Strikebraker employees of whatever going to union goon squads
94.  
95. I'm sure you all get the picture at this point. Just about everyone either
96. works for someone, shops somewhere, or subscribes to some periodical which
97. might make him or her the target of harassment (or worse) from some group,
98. somewhere.
99.  
100. Just because we haven't seen it yet, doesn't mean it won't start happening
101. eventually as groups become more familiar with how to get data.
102.  
103. Bob Leone
104.  
105. ------------------------------
106.  
107. Date:    Mon, 15 Mar 93 07:33:36 PST 
108. From:    a_rubin@dsg4.dse.beckman.com (arthur rubin)
109. Subject: reverse directory/Sears/Radio Shack
110.  
111. In PRIVACY Forum Digest 02:08, joep@jaguar.informix.com (Joseph Pearl) writes:
112.  
113. >I was at Sears with my wife, returning something, when the cashier
114. >asked what our phone number was.  Without thinking, my wife told the
115. >cashier (one of those rough days where the brain shuts down after
116. >6pm).  The cashier then recited our name and address and asked if it
117. >was correct.
118.  
119. Radio Shack (used to) "require" a phone number for any purchase.  If you
120. told the clerk that you didn't want to give a phone number, the store
121. manager would (usually) allow a cash purchase to complete.  (From my own
122. personal experience and reports on comp.dcom.telecom, before this list was
123. created.)
124.  
125. The moderator comments:
126.  
127.       A comment: I would suggest that it is never a good idea
128.       to use a fictitious phone number in response to a clerk's
129.       query.  Doing so simply risks dragging some other person,
130.       who might have that number, into the situation.  If the clerk
131.       insists on a number, and you don't want to give it, ask
132.       for the manager, or consider doing business elsewhere. 
133.  
134. You might give the 900 number you got on your last "you have won a free
135. prize" postcard. :-)  More promising, you might give your work number, the
136. number of the local Attorney General's office (it is illegal to ask for a
137. phone number under many circumstances here in California), or some other
138. approriate number which you don't mind publishing.
139.  
140. ------------------------------
141.  
142. Date:    Mon, 15 Mar 93 10:10:36 -0800
143. From:    Chris Hibbert <hibbert@memex.com>
144. Subject: Re: Credit Card Validation
145.  
146. Brint Cooper <abc@BRL.MIL> is worried because Citibank is asking him to
147. supply extra information, which they say they will use to verify his
148. identity if he tries to call them on the phone.  He isn't sure whether
149. they'll protect the info, or if it might leak into other uses.
150.  
151. The list they ask for includes:
152.  
153.  
154.     Name
155.     Acccount #
156.     Address
157.     Date of Birth
158.     Social Security Number (you were surprised, maybe?)
159.     Mother's Maiden Name (My hospital asks for this one, too.)
160.     Business and home phones
161.     Other Diner's accounts to which this info applies.
162.  
163. My response to this would be to give them a set of information that would be
164. useless to them, but which you can reproduce when they ask, even if you've
165. lost your wallet.  They ask for Mother's Maiden name because they think
166. that's such an item.  There would be no purpose in cross-matching that with
167. another database, and I always treat such requests as a request for a
168. password, realizing that they'll prompt for the password by asking for your
169. Mother's Maiden name.  They don't care at all what answer you give as long
170. as you can reproduce it.  I might give them my favorite color, or the name
171. of one of my hobbies.  If their db has lots of room, I might even ask them
172. to store e.g. "color: blue" in the field so I could ask for the first word
173. as a prompt to remind me which category I'd used with them.
174.  
175. Similarly, I would treat it as a wonderful opportunity if my credit card
176. company asked for an SSN and said (as Citibank seems to have) that they were
177. only going to use it to identify me if I called on the phone.  They have no
178. reason to report the number to anyone else, so I would give them one of the
179. many numbers I know that don't seem to be in use by anyone.  (I give one in
180. my SSN FAQ, but I have a collection of others that have appeared in various
181. books (as part of a student prank that involved registering a pet dog as a
182. student at the university) or in movies (as visual evidence that a character
183. had created several false personas).  What an opportunity!
184.  
185. Chris
186.  
187. ------------------------------
188.  
189. Date: Wed, 10 Mar 93 09:30:43 EST
190. From: ac388@freenet.hsc.colorado.edu (Jack Decker)
191. Subject: Use of Medical Clearing House
192.  
193. The following message first appeared in a Fidonet conference called
194. ADAJOBS (I got it via the EMPLOYMENT conference on BIZynet, a
195. Fidonet-technology business-oriented network).  The risks of the use of
196. such a database as the one described below should be obvious (how does one
197. know if they were denied employment because of information contained in
198. this database?  For that matter, how does one even know if the information
199. contained in the database is accurate?).  Any replies should probably go
200. to the original author (Herbert Mansmann at Fidonet address 1:273/201,
201. which is herbert.mansmann@f201.n273.z1.fidonet.org in Internet notation):
202.  
203. =====================================================================
204. * Forwarded by Chris Gunn (1:202/1008)
205. * Area : ADAJOBS (ADAnet - Job Hunting When Disabled)
206. * From : Herbert Mansmann, 1:273/201 (08 Mar 93 10:55)
207. * To   : All
208. * Subj : USE OF MEDICAL CLEARING HOUSE
209. =====================================================================
210. I have been told by several personnel recruiters that something known as
211. the Medical Clearing House exists for companies or other employers to check
212. on person's medical expenses before hiring them, similar to a credit check.
213. This information is kept in regional databases and is accessible over the
214. phone to high level employee relations personnel at major corporations
215. only. Supposedly it is illegal to release this information to unauthorized
216. users, but it is being done routinely for high medical expense individuals
217. since the penalties are few, the savings can be substantial, and the
218. enforcement of the laws against this are lax.  Our daughter has Cystic
219. Fibrosis which has very high medical costs associated over many years.  We
220. believe this information and information about other medical conditions
221. that do not interfere with someone's ability to work is being sold to avoid
222. medical costs.  Since over two thirds of the employers now self-insure
223. instead of utilizing a real insurance company, they are motivated to
224. eliminate these costs.  If you have any information about this practice,
225. please respond on E-mail or anonymously to Herbert Mansmann, 224 Swedesford
226. Rd., Malvern, PA 19355.  It is important to get this subject out in the
227. open and to include it in healthcare reform. Thanks. Feel free to call
228. (215)647-3698.
229.  
230. --- TMail v1.31.3
231.  * Origin: U.S. Telematics, Yardley PA (215)493-5242 (1:273/201)
232.  
233. Jack Decker | Internet: ac388@freenet.hsc.colorado.edu
234. Fidonet: 1:154/8 or jack.decker@f8.n154.z1.fidonet.org
235. Note: Mail to the Fidonet address has been known to bounce. :-(
236.  
237. ------------------------------
238.  
239. Date: Tue, 16 Mar 1993 14:17:53 -0600 (CST)
240. From: bmears@gothamcity.jsc.nasa.gov (Brad Mears [I-Net])
241. Subject: No anonymity for Canon copiers?
242.  
243. The most recent issue of Popular Science had a small sidebar concerning new
244. copier technologies that are being used to combat counterfeiting.  According
245. to Canon, their new color copiers include two mechanisms to prevent people
246. from copying currency.
247.  
248. The first is rather innocuous - the copier can recognize many different
249. currencies and will print a blank image rather than a fake bill.  No obvious
250. risks here.
251.  
252. The second mechanism is a bit more threatening.  According to the story, 
253. which I quote without permission -
254.  
255.     "Each copier embeds a code into the copied image, which is
256.      impossible to see.  A special scanner extracts the code and
257.      a computer program then furnishes the copier's serial number,
258.      allowing identification of the registered purchaser of the
259.      machine."
260.  
261. As a means to combat counterfeiters this may be very useful.  Unfortunately,
262. it is also useful for tracking down people who report government waste,
263. publishers of underground newsletters, and others who may have a legitimate
264. need to remain anonymous.  Plus, it seems a bit too much like the Eastern bloc
265. countries who used to require registration of typewriters.
266.  
267. Brad Mears  bmears@gothamcity.jsc.nasa.gov
268.  
269.     [ This item was reposted from the RISKS Digest -- MODERATOR ]
270.  
271. ------------------------------
272.  
273. Date:    Thu, 18 Mar 1993 15:42:05 -0500
274. From:    cstern@novus.com (Chuck Stern)
275. Subject: Re: Cashiers and telephone numbers
276.  
277. >    [ ...
278. >      Keep in mind that in most cases you're simply dealing with     
279. >      a clerk who has a specific set of information he has
280. >      been instructed to get and may not realize that not everyone
281. >      is willing to provide a number.  However, in almost all cases,
282. >      when faced with a choice of not getting the number or losing
283. >      the sale, the clerk will opt for the former. -- MODERATOR ]
284.  
285. This is not strictly true, oh Esteemed Moderator.  A clerk in a Radio Shack
286. store here in the Boston area refused to make a credit card sale to me when
287. I refused to give my telephone number and address.  The sale, by the way, 
288. was to be for $23.50 or some such price.  One angry (collect) call to Tandy
289. corporate headquarters got the matter straightened out - they were
290. violating Commonwealth of Mass. laws by even asking - but I haven't
291. darkened the doors of another Radio Shack since, nor will I ever again.
292.  
293. More anecdotal evidence from...
294. cstern@novus.com
295.  
296.        [ Well, as I said, in *almost* all cases a salesperson will opt for
297.      the sale... but there's always the exception.  Typically you're
298.      dealing with an overzealous employee, not company policy in a
299.      situation such as you describe.  It's interesting to note that the
300.      changes in the laws (in some states) making it illegal to ask for a
301.      phone number as a requirement for credit card purchases are
302.      relatively recent in most cases.  In the past some credit card
303.      companies strongly suggested that a phone number be obtained for
304.      all orders and written on the charge slips.  Not everyone in all
305.      affected areas has gotten the word about changes, apparently.
306.  
307.      As for anecdotes, in my own experience, I've never had a
308.      salesperson refuse me a purchase, regardless of whether or not I
309.      provided a phone number when asked.  Of course, my Harley-Davidson
310.      clothing motif probably doesn't hurt in such situations!
311.  
312.                             -- MODERATOR ]
313.  
314. ------------------------------
315.  
316. End of PRIVACY Forum Digest 02.09
317. ************************
318.