home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker Chronicles 1 / HACKER1.ISO / phrk4 / phrack38.14

< prev

next >

Wrap

Text File  |  1992-09-26  |  33KB  |  588 lines

---

1.                                 ==Phrack Inc.==
2.  
3.                  Volume Four, Issue Thirty-Eight, File 14 of 15
4.  
5.               PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN
6.               PWN                                             PWN
7.               PWN              Phrack World News              PWN
8.               PWN                                             PWN
9.               PWN      Issue XXXVIII / Part Two of Three      PWN
10.               PWN                                             PWN
11.               PWN        Compiled by Dispater & Friends       PWN
12.               PWN                                             PWN
13.               PWN     Special Thanks to Datastream Cowboy     PWN
14.               PWN                                             PWN
15.               PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN
16.  
17.  
18.  What's Wrong With The Computer Crime Statute?                February 17, 1992
19.  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
20.  By Thomas A. Guidoboni (ComputerWorld)(Page 33)
21.  
22.              "Defense and prosecution agree the 1986 Computer Fraud
23.               and Abuse Act is flawed but differ on how to fix it."
24.  
25. It has become an annual ritual, since the birth of the Internet worm, for
26. Congress to consider amendments to the 1986 Computer Fraud and Abuse Act.  At
27. this point, the U.S. Department of Justice can be expected to advocate three
28. things: an expansion of the federal role in the investigation and prosecution
29. of computer crimes, the creation of new categories of offenses, and harsher
30. penalties, including perhaps the current darling of the department, forfeiture
31. of property.
32.  
33. Since the law is of recent origin, was substantially revised in 1986 and proved
34. more than adequate to prosecute and convict Robert T. Morris, there seems
35. little justification for expansion of its coverage.
36.  
37. Nevertheless, if Congress is determined to review and revise the provisions of
38. the act, there are several narrow, but significant, amendments that are clearly
39. warranted.  Of primary importance is the definition of terms.  The core of the
40. law suffers from a lack of clarity.  Offenses are described by reference to
41. "authorized" or "unauthorized access," yet these terms are not defined
42. anywhere.
43.  
44. Perilously Vague
45.  
46. In a universe that consists of broad computer networks, bulletin boards, E-mail
47. and anonymous file-transfer protocols, and one in which permissions and rights
48. are established by custom, usage and private understandings, a person is left
49. to speculate at his peril as to what conduct is permitted and what is
50. prohibited by this vague language.
51.  
52. The Computer Fraud and Abuse Act should be amended to give precise content to
53. the concepts of "access" and "authorization," thereby providing fair warning of
54. illegal conduct.
55.  
56. A second change for the better regarding the act would be to create a
57. distinction between those computer intruders who unintentionally cause a
58. monetary loss and those who maliciously cause such harm.
59.  
60. The present law, as interpreted in the Morris case, recognizes no such
61. distinction.  This is contrary to long-standing notions of fairness in our
62. system of criminal law, which acknowledges that between two persons who cause
63. the same harm, the one who intended that result is more culpable than the one
64. who did not.
65.  
66. A third part of the statute that needs revision relates to computerized medical
67. records.  It is too broad because it includes as felonious conduct the
68. unauthorized access to such records that "potentially modifies or impairs"
69. medical treatment or care.  Virtually every unauthorized access to computers
70. containing medical records carries this potential.  A better solution would be
71. simply to make any "unauthorized access" of computerized medical records data a
72. misdemeanor, with the intentional modification or destruction of such data
73. designated as a felony.
74.  
75. Amend, But Don't Expand
76.  
77. These slight but important amendments would serve to clarify and improve a
78. basically sound law without stifling the creativity of persons akin to those
79. who have been responsible for many of the advances in computer technology in
80. this country.  More expansive revisions are ill-advised, as they may
81. unnecessarily encroach on evolving privacy and free-expression interests.
82.  
83. A broadening of federal involvement is also inappropriate.  Nearly every state
84. has enacted laws against computer fraud and abuse and, as Congress recognized
85. in 1986, federal jurisdiction should be limited to cases where there is a
86. compelling federal interest.  This might include instances where computers
87. belonging to the federal government or to financial institutions are involved,
88. or cases where the crime itself is interstate in nature.  Furthermore, other
89. computer crimes should be left to prosecution by the individual states, as is
90. presently the case.
91.  
92. In sum, the 1986 Computer Fraud and Abuse Act would benefit from some
93. clarification, but expansion of its coverage and wholesale revisions are both
94. ill-advised and unnecessary.
95.  
96. Note:  Thomas A Guidoboni is an attorney with Bonner & O'Connell in Washington,
97.        D.C.  He represented Robert T. Morris in the Internet virus case.
98. _______________________________________________________________________________
99.  
100.  Private Social Security Data Sold to Information Brokers     February 29, 1992
101.  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
102.  By R.A. Zaldivar (San Jose Mercury News)
103.  
104. Washington, D.C. -- The privacy of 200 million Americans with records at the
105. Social Security Administration is threatened by an illegal trade in pilfered
106. computer files.  Computerization has dramatically improved our ability to serve
107. the public," Social Security Deputy Commissioner Louis Enoff told a Senate
108. panel.  "However, it has also made confidentiality more difficult."
109.  
110. Two executives of Nationwide Electronic Tracking, a Tampa, Florida, company,
111. pleaded guilty to conspiracy charges in January for their part in a national
112. network selling Social Security records.  Twenty-three people, including agency
113. employees and police officials, have been indicted in the case -- the largest
114. known theft of government computer data.  "Information brokers" will pay Social
115. Security employees $25 for a person's earnings history and then sell the data
116. for as much as $300.  Their growing list of customers includes lawyers, private
117. investigators, employers, and insurance companies.
118.  
119. Social Security records contain a mother lode of information that includes not
120. only a person's past earnings but names of employers, family history and even
121. bank account numbers of people who receive benefits by direct deposit.  The
122. information can be used to find people or to make decisions on hiring, firing,
123. suing or lending, said Larry Morey, deputy inspector general of the Health and
124. Human Services Department.
125.  
126. "Here we have a large-scale invasion of the Social Security system's
127. confidentiality," said Senator Daniel P. Moynihan, D-N.Y., chairman of the
128. Social Security subcommittee.
129.  
130. Information from other government data bases with records on individuals --
131. such as the FBI's National Criminal Information Center -- is also available on
132. the underground market.  All a broker needs is the cooperation of a clerk at a
133. computer terminal.
134.  
135. Congress may revise privacy laws to increase penalties for illegally disclosing
136. information in the private files of individuals.
137.  
138. Enoff said Social Security is studying ways to improve computer security, as
139. well as keeping closer tabs on employees with access to files, and stressing to
140. its workers that unauthorized disclosure of information is a federal crime.
141.  
142. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
143.  
144. Related articles can be found in Phrack World News, Issue 37, Part One:
145.  
146.  Indictments of "Information Brokers"                              January 1992
147.  Taken from The Privacy Journal
148.  
149.  SSA, FBI Database Violations Prompt Security Evaluations      January 13, 1992
150.  By Kevin M. Baerson (Federal Computer Week)(Pages 1, 41)
151. _______________________________________________________________________________
152.  
153.  Back to Act I                                                    March 3, 1992
154.  ~~~~~~~~~~~~~
155.  Taken from Communications Daily (Page 2)
156.  
157. "Supreme Court Lets Stand Ruling That FCC Ban On Indecency Is Unconstitutional"
158.  
159. FCC's 24-hour ban on indecent programming is unconstitutional, U.S. Supreme
160. Court ruled in refusing to consider unanimous U.S. Appeals Court, D.C.,
161. decision.  Supreme Court action also effectively overruled December 1988 rider
162. to Senate appropriations bill directing FCC to ban all indecent programming.
163. Last summer, en banc Appeals Court had refused to reconsider May decision by
164. unanimous 3-judge panel that FCC ban is unconstitutional.
165.  
166. FCC, with support of Justice Department, had asked Supreme Court to reconsider
167. case.  Coalition of 14 intervenors, including Action for Children's TV (ACT),
168. had opposed FCC in Appeals Court and Supreme Court.  En banc Appeals Court said
169. that none of 13 judges who participated "requested the taking of a vote" on
170. whether to rehear case.  On Supreme Court, Justices Sandra O'Connor and Byron
171. White voted to reconsider case. FCC's definition of indecency:  "Language or
172. material that depicts or describes, in terms patently offensive as measured by
173. contemporary community standards . . . sexual or excretory activities or
174. organs."  Agency has fined several stations for indecent programming in the
175. last year.
176.  
177. With loss in Supreme Court, FCC official told us "we don't have any choices
178. left" but to permit such programming to be broadcast.  "We're back to Act I."
179. Source predicted, and other FCC officials agreed, that agency soon will issue
180. rulemaking to make a ban on indecent programming later than 8 p.m.  Same
181. sources expect Congress once again to take up issue.
182.  
183. ACT President Peggy Charren said: "It's very exciting for ACT to have won one
184. for the First Amendment.  We always knew it's preposterous for the FCC to try
185. to ban speech at 3 o'clock in the morning to protect children . . . It's very
186. satisfying to have this particular [conservative] Supreme Court agree with us."
187. NAB (which also was intervernor in case) Associate General Counsel Steve
188. Bookshester said Supreme Court "correctly" acted in not reviewing lower court
189. decision:  "Now, it's up to the Commission to adopt new procedures to determine
190. when such material is permitted to be broadcast."  Washington attorney Timothy
191. Dyk, who represented intervenors, said: "I think it's a very happy result . . .
192. The Court of Appeals decision is exactly where it should be in terms of a safe
193. harbor."
194. _______________________________________________________________________________
195.  
196.  Drug Enforcement Data Are Vulnerable Through Phone Lines         March 4, 1992
197.  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
198.  Taken from Communications Daily (Page 5)
199.  
200. Classified information in computers of Drug Enforcement Administration (DEA) is
201. at risk, General Accounting Office (GAO) said in a report.  It said DEA doesn't
202. provide adequate protection of classified information because too many people
203. have access to computers that store data, and computers with classified
204. information are hooked into nonsecure telephone lines, making them vulnerable
205. to outside intrusion.
206.  
207. Report, Computer Security:  DEA Is Not Adequately Protecting National Security
208. Information (GAO/IMTEC-92-31), said it found several instances of lax physical
209. and electronic security at DEA computers in several locations.  Although there
210. are no known instances of security breaches, "these disturbing security
211. weaknesses pose serious risks that could potentially hinder DEA's mission and
212. threaten the lives of federal agents," the report said.  The report found that
213. DEA isn't complying with standard security guidelines outlined by National
214. Security Agency.
215.  
216. In preliminary findings, GAO was so concerned with security weaknesses that it
217. called in Department of Justice on January 9 and furnished it with a "limited
218. official use" version of its report to give DEA time to correct problems, said
219. Rep. Wise (D-W.Va.), chairman of House Government Operations Subcommittee, who
220. ordered the investigation.  He said other government agencies should be wary of
221. sharing information with DEA until security problems have been eliminated.
222. Calls to DEA on progress of follow-up security procedures weren't returned.
223. Findings are "indicative" of typical "apathetic security attitude" that the
224. government has, said David Banisar, security expert for Computer Professionals
225. for Social Responsibility.
226.  
227. GAO investigators found DEA couldn't adequately identify what computers used
228. classified information.  "DEA cannot ensure that adequate safeguards are in
229. place for protecting national security information," report said.  In spite of
230. federal guidelines, GAO found that DEA hasn't "completed a risk analysis" of
231. computer system.  Some classified computers were found to be operated in areas
232. where contractors -- with no security clearances -- moved around with no
233. restrictions.  No computers were found to be "tempest" hardened, meaning
234. electronic emissions from keyboards can't be picked up.
235.  
236. In light of concern on outside intrusion from "hackers," GAO found several DEA
237. computers were connected by phone lines "that are not encrypted" -- which it
238. described as clear violation of national security guidelines.  The report said
239. "unauthorized individuals can intercept or monitor information emanating from
240. and transmitted by" the agency without being detected.  Classified information
241. was found to be stored on hard disks in an "inadvertent" manner, allowing for
242. the possibility that computers, when resold, still might hold data.  One such
243. occurrence, recorded by GAO in its report, occurred last year when sensitive
244. grand jury information on informants was left on surplus computers sold by DoJ
245. at a public auction.
246.  
247. The report said that DEA has acknowledged weaknesses "and is taking action to
248. correct them."
249. _______________________________________________________________________________
250.  
251.  BBS Controversy Brews Close To Home                                 March 1992
252.  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
253.  Taken from Puget Sound Computer User
254.  Special Thanks: Peter Marshall in Telecom Digest
255.  
256. In a case before the Public Utility Commission of Oregon, US West is
257. maintaining three phone lines connected to a free-access BBS in a residence
258. should be billed at business rates.  Because of the similarities in tariffs
259. from state to state and US West's position in the case, many are predicting
260. that if US West prevails, the company will be authorized to raise all Oregon
261. BBS lines to business rates and try to raise rates for BBS lines in US West's
262. remaining 13 states.
263.  
264. The case started when Tony Wagner, a Portland system operator, received a
265. letter from US West in October, 1991.  In the letter, Communications Consultant
266. Sandi Ouelette said "Bulletin board services are considered a business,
267. therefore, subject to business rates ..."
268.  
269. One Seattle attorney interested in telecommunications said these attempts by
270. the phone companies to raise rates for BBSes are "just another attempt to swipe
271. people's communication."
272. _______________________________________________________________________________
273.  
274.  1-800-54-PRIVACY                                                March 10, 1992
275.  ~~~~~~~~~~~~~~~~
276.  Taken from Communications Daily
277.  
278. American Newspaper Publishers Association (ANPA) President Cathleen Black asked
279. American Paper Institute to support the newspaper industry's fight against
280. RHCs, warning that the market for paper could drop if phone companies are
281. allowed to expand activities into information services.  Increased electronic
282. classified ads and other services could lead to cutbacks in demand for
283. newsprint, Black said.  Newspaper producers, traditionally allied with ANPA,
284. said they would study the matter.
285.  
286. Meanwhile, full-page newspaper ads placed by ANPA and allied Consumer
287. Federation, Graphic Communications International Union, National Newspaper
288. Association, and Weatherline have generated thousands of calls to an 800 number
289. from readers concerned about potential invasions of privacy by telephone
290. companies.  The latest ad ran in the March 7 Washington Post, under the
291. headline:  "Unless they're stopped, the Bells will know more about you than
292. even the IRS." The ad advised callers to dial 1-800-547-7482, referred to in
293. the telephone message as "1-800-54-privacy."
294.  
295. Gary Slack, of the Chicago PR firm Slack, Brown & Myers, which is coordinating
296. the 800 campaign, said that the angle in the ad has become an effective weapon
297. against RHCs because "there are a lot of people concerned about privacy."
298. Callers are sent a 4-page letter signed by Black and "action guidelines" for
299. asking legislators to support bills by Representative Cooper (D-Tenn.)
300. (HR-3515) and Senator Inouye (D-Hawaii) (S-2112) that would restrict RHC entry
301. into information services.  ANPA has argued that, through data on telephone
302. bills, information can be collected about callers.
303.  
304. RHCs didn't have the incentive to use that data before, but now with the
305. ability to offer information services, they do, ANPA said.  ANPA generally
306. doesn't pay for ads, but offers them to newspapers to run when they have space,
307. a spokesman said.  Pacific Telesis Vice-President Ronald Stowe said ANPA ads
308. "show desperation and questionable ethics."  He said ANPA is using some of same
309. tactics it has accused RHCs of using, including collecting information on
310. subscribers.  ANPA ads are "really sewer-level stuff," Stowe said:  "There are
311. enough legitimate issues that ought to be debated."
312.  
313. *** Editor's Note:  For more information on this story, please see "Standing Up
314.     To Fight The Bells" by Knight Lightning in this issue of Phrack.
315.  
316. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
317.  
318.  Missouri Bulletin Board Case Settled                            March 24, 1992
319.  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
320.  Taken from Communications Daily (Page 6)
321.  
322. Southwestern Bell in Missouri has filed a new tariff with the Missouri Public
323. Service Commission (PSC) to allow computer bulletin board (BBS) operators to
324. use residential lines.  The tariff would take effect April 10 if there are no
325. complications.  Under proposal, the BBS operators at homes would be allowed to
326. continue to use residence lines if they don't "solicit or require any
327. remuneration, directly or indirectly, in exchange for access" and use 4 or
328. fewer residential lines priced at flat rates.
329.  
330. BBSes that don't meet those requirements would be required to use business
331. lines.  The tariff, negotiated between SWB and representatives of BBS
332. operators, defines a BBS as "a data calculating and storage device(s) utilized
333. as a vehicle to facilitate the exchange of information through the use of
334. Southwestern Bell Telephone Company facilities."  BBS language is part of a
335. high-grade Information Terminal Service originally aimed at business users with
336. computers, but interpreted by BBS operators as targeted at them.  SWB
337. originally had wanted to make the new service mandatory for computers with
338. modems, but the new proposal, submitted March 11, makes it optional.
339.  
340. *** Editor's Note:  For more information, please see the numerous articles on
341.     this topic in Phrack World News, Issue 37, Part 3.
342. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
343.  
344. In a surprising turn of events, the April 14, 1992 issue of Communications
345. Daily reports that U.S. West in the state of Washington has decided not to
346. follow the example of Oregon attempt to raise rates for electronic bulletin
347. board (BBS) hobbyists.
348.  
349. Patsy Dutton, consumer affairs manager for Washington Utilities &
350. Transportation Commission (WUTC), asked U.S. West about its policy after
351. receiving request from BBS operators.
352.  
353. In a letter dated March 31 to system operator Bruce Miller, Dutton said she had
354. reviewed U.S. West tariff and had talked with company representatives as to
355. current and future plans for BBS service:  "The company indicates it has no
356. intention of changing its current procedure."  Residential service would be
357. available for hobbyists, with business rates applying under other conditions.
358.  
359. An Oregon PUC law judge is currently considering complaint against U.S. West
360. for raising rates of bulletin board operators there.
361. _______________________________________________________________________________
362.  
363.  Congress Explores Dropping Subsidy of Federal Science Network   March 13, 1992
364.  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
365.  Taken from Communications Daily (Page 6)
366.  
367.                           "Fairness For All Is Urged"
368.  
369. In hearing, Representative Boucher (D-Va.) questioned National Science
370. Foundation (NSF) on its management policies and future direction of NSFnet,
371. national research network.  He said it's "essential" that NSFnet be structured
372. so all commercial providers of network services "receive equal treatment" and
373. that government policy for managing the network "not favor any provider" or set
374. of providers.
375.  
376. The current process of using federal money to subsidize NSFnet is "obsolete"
377. said Mitchell Kapor, representing Commercial Internet Exchange (CIX)
378. Association, a consortium of commercial network services suppliers.  Although
379. federal money was necessary in the "early stages," when technology for building
380. the network still was "experimental," now that the network is in place,
381. government subsidy should stop, Kapor said.  He said CIX members can provide
382. "any level of service" needed by the same community served by NSFnet --
383. research and education.  Kapor said CIX members could build and service
384. national backbones with "off-the-shelf" technology; however, he said, because
385. federal money goes to support the current network backbone, NSFnet users are
386. allowed on the network free and don't have an incentive to use commercial
387. services.
388.  
389. William Schrader, president of Performance Systems International (PSI), said
390. government could level the playing field by providing money directly to
391. individual universities and letting them choose, on a "free-market" basis,
392. which network service provider to use.  That system, he said, would provide
393. incentive for several suppliers to upgrade networks in efforts to corral most
394. customers.  Kapor said it also would "push the envelope" of technology to an
395. even greater level.  With the current system in place, the technological level
396. of the network will evolve more slowly because there would be no incentive to
397. provide a higher level of service, he said.
398.  
399. Current users of NSFnet spoke against changing the status quo.  Michael
400. Roberts, VP-networking for Educom, a task force of 48 universities, said that
401. removing funding for the network would be "horrendous."  By requiring
402. individual universities to seek out their own service providers, he said,
403. government would have to institute another level of bureaucracy, creating
404. "thousands of entitlements," which would be impossible logistically.  Douglas
405. Van Houweling, speaking for NSFnet manager Merit, said removal of funding most
406. likely would upset the networks' level of stability, leading to disruption in
407. service that "millions of users" have become accustomed to.  By letting "any
408. number" of commercial providers supply network services, there would be no
409. guarantee of level of service, which is a "vital" mission of research labs,
410. universities and federal agencies now using the network, Van Houweling said.
411.  
412. Federal agencies would rather have a stable network than improved service, said
413. Stephen Wolff, director of NSF's Networking & Communications Division.  He told
414. Boucher that federal agencies didn't want the network open to competition
415. because they feared it would degrade the quality of service.  Wolff said NSF
416. would proceed with its plan to commercialize network "within 5 years" as
417. requested under the recently voted High-Performance Computing Act.  He also
418. said he had presented to universities the idea of providing them with federal
419. money and letting them purchase network services in the free market.  The
420. proposal was "soundly rejected," he said, because universities didn't feel they
421. were able to make such decisions. Instead, they supported NSF's current
422. proposal of rebidding network management so that 2 network providers would be
423. in place.  The new system would operate on model of government's FTS 2000
424. program. NSF would grant awards for network services to 2 companies and have an
425. independent 3rd party act as "traffic manager" to ensure one network provider
426. wasn't favored over another.
427. _______________________________________________________________________________
428.  
429.  MCI and Sprint Take Steps To Cut Off Swindlers                   April 1, 1992
430.  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
431.  By Kent Gibbons (The Washington Times)(Page C1)
432.  
433. MCI and Sprint are cracking down on telephone fraud.
434.  
435. The two long-distance carriers are tackling different kinds of swindles,
436. though:
437.  
438.     * MCI said it will stop sending out bills for pay-per-call operators who
439.       promise help getting a loan, credit, a credit card or a job.
440.  
441.     * Sprint said it will offer large business customers a form of liability
442.       insurance against unauthorized use of corporate switchboard lines.
443.  
444. MCI Communications Corporation of the District said it wanted to protect
445. consumers who might be gulled into overpaying for some "900-number" services
446. during economic troubles.
447.  
448. But long-distance carriers are also guarding their own bottom lines by
449. tightening up pay-per-call standards, said telecommunications analyst James
450. Ivers.
451.  
452. "They're acting fiscally responsibly because traditionally, these were the
453. types of programs that created a high level of uncollectible" bills when
454. ripped-off consumers refused to pay, said Mr.  Ivers, senior analyst with
455. Strategic Telemedia, a consulting firm in New York.
456.  
457. Last September, Sprint Corporation, of Kansas City, MO, told more than 90
458. percent of its 900-number customers it would no longer do their billing.  Long-
459. distance firms cannot refuse to carry pay-per-call services, but most 900-
460. number operators do not want the expense and trouble of doing their own
461. collections.
462.  
463. American Telephone & Telegraph Co., of New York, said it has set up strict
464. guidelines for all 900-number firms, such as disclosing in advertising any fees
465. charged for credit processing.
466.  
467. AT&T spokesman Bob Nersesian said:  "We still think there are legitimate
468. providers of this kind of service and our guidelines keep the dishonest guys
469. off the network."
470.  
471. Sprint's switchboard-fraud liability protection is aimed at big customers,
472. whose Sprint bills are more than $30,000 per month.
473.  
474. For an installation fee (up to $5,000) and a monthly charge (also up to
475. $5,000), Sprint will absorb fraudulent phone charges above $25,000 per
476. switchboard.  The customer pays the first $25,000.  Sprint's liability ends at
477. $1 million.
478.  
479. Large and medium-sized companies can rack up huge bills if their private
480. switches, known as private branch exchanges or PBXes, are broken into and used
481. to make calls to other countries.
482.  
483. In a recent case, more than 20,000 calls were made on a company's PBX over a
484. weekend, with the charges estimated at more than $1 million, said M.R. Snyder,
485. executive director of Communications Fraud Control Association, a Washington
486. trade group.
487.  
488. "It is certainly a fraud target that is ripe for being abused," Ms. Snyder
489. said, especially since telephone carriers have improved their ability to spot
490. unauthorized credit-card calls more quickly.
491.  
492. Overall, telecommunications fraud costs phone carriers and customers an
493. estimated $1.2 billion per year, although the figure is really just a
494. "guesstimate," Ms. Snyder said.
495.  
496. Company PBXes often have features that allow traveling employees, or distant
497. customers, to call in and tap an outgoing line.  With computer programs,
498. hackers can randomly dial numbers until they hit security codes.
499.  
500. Sometimes the codes are only four digits, so hackers don't even need a
501. computer, said Bob Fox, Sprint's assistant vice president of corporate
502. security.
503.  
504. Along with the fees, customers must agree to take certain precautions.  Those
505. include using security codes at least eight digits long and eliminating the
506. ability to tap outside lines through voice mail.  In return, Sprint will also
507. monitor PBX use every day, instead of the five days per week currently done
508. free for customers, Mr. Fox said.
509.  
510. MCI spokesman John Houser said his company will be watching Sprint to see if
511. the program is a success.  Spokesman Andrew Myers said AT&T offers fraud
512. protection to some corporate customers, but is not considering extending that
513. to cover PBX abuse.
514.  
515. AT&T is currently involved in several lawsuits over disputed PBX charges that
516. total "many millions" of dollars, Mr. Myers said.  Sprint officials said they
517. have not sued any customers to collect on PBX fraud bills.
518. _______________________________________________________________________________
519.  
520.  Sprint Offers Liability Limit For Corporate Phone Fraud          April 1, 1992
521.  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
522.  By Edmund L. Andrews (New York Times)(Page D4)
523.  
524. The Sprint Communications Company, the nation's third-largest long-distance
525. carrier, said that it would limit the liability of large corporate customers
526. for the huge bills rung up by phone-service thieves who manipulate a company's
527. telephone switching equipment and voice-mail systems.
528.  
529. Typically, such thieves call into a company on one of its toll-free "800"
530. numbers and then figure out the codes necessary to obtain an outgoing line that
531. can be used to call anywhere in the world.  These telephone "hackers" often
532. sell plundered telephone codes to illegal operators who then sell overseas
533. calls to hundreds of people at a time.  Sprint officials said this sort of
534. fraud approached $1 billion a year.
535.  
536. The new Sprint plan would be available to companies that signed two-year
537. contracts to buy at least $30,000 of international long-distance service a
538. month and agreed to adopt a series of protective measures.  These include
539. installing longer telephone codes that are harder for thieves to crack and new
540. limits on the ability of voice-mail systems to obtain outgoing lines.
541.  
542. In exchange, customers would be held responsible for no more than $25,000 in
543. stolen calls for each round of break-ins, and a maximum limit of $1 million a
544. year.  Although that is still a substantial sum, it is much less than many
545. companies have lost in recent years from theft of service by telephone hackers.
546.  
547. A Point of Contention
548.  
549. Thieves broke into the switchboard of Mitsubishi International in New York in
550. 1990, for example, and ran up $430,000 in overseas telephone calls.  Procter &
551. Gamble lost $300,000 in a similar incident in 1988.  Had either company been
552. operating under the new Sprint plan, its liability would have been limited to
553. $25,000.
554.  
555. Long-distance carriers and their corporate customers have long argued over who
556. should bear responsibility for the huge bills caused by service theft.  The
557. carriers have maintained that their customers are responsible for these bills,
558. even if fraud is undisputed, arguing that the thieves took advantage of
559. weaknesses in the customers' equipment, rather than in the weaknesses of the
560. long-distance network itself.
561.  
562. But some corporate victims have argued that they had no idea their systems were
563. vulnerable, while others contend that they incurred big losses even after
564. adopting special security procedures.
565.  
566. MCI Moves Against '900' Fraud
567.  
568. In a separate issue involving telephone fraud, MCI Communications Corporation
569. said it would no longer provide billing services for companies that use "900"
570. numbers to offer credit cards, and that it would place tough new restrictions
571. on the use of 900 numbers to sell job-placement services, contests and
572. sweepstakes.
573.  
574. The long-distance company said its decision was based on numerous complaints
575. about abusive and fraudulent sales practices.  Companies that provide
576. information through the use of telephone numbers with the 900 area code charge
577. callers a fee each time they call the number.  MCI and other long-distance
578. companies carry these calls and bill customers on behalf of the company that
579. provides the information service.
580.  
581. Pam Small, an MCI spokeswoman, declined to say how much revenue the company
582. would lose because of the suspension.  But she said the 900 services that would
583. be affected represented a small part of its pay-per-call business.
584. _______________________________________________________________________________
585.  
586.  
587. Downloaded From P-80 International Information Systems 304-744-2253 12yrs+
588.