Πώς να απαντήσετε σε μια ειδοποίηση παραβίασης δεδομένων

Την περασμένη Παρασκευή, ένας αναγνώστης με το όνομα Peter μου έρχεται σε επαφή με μια ειδοποίηση που εμφανίστηκε όταν προσπάθησε να συνδεθεί στο λογαριασμό του στο Marriott Rewards. Η ειδοποίηση έδειξε ότι κάποιος μπορεί να έχει επιχειρήσει να χάσει τον λογαριασμό και θα πρέπει να αλλάξει τον κωδικό πρόσβασής του. Ο Peter ξεκίνησε μια ζωντανή συνομιλία με το γραφείο βοήθειας του Marriott και του είπαν τα εξής:

"Πρόσφατα έγιναν προσπάθειες για να αποκτήσετε μη εξουσιοδοτημένη πρόσβαση σε έναν μικρό αριθμό λογαριασμών σε απευθείας σύνδεση μελών. Σας ενθαρρύνω να επισκεφτείτε το Marriott.com και να αλλάξετε τον κωδικό πρόσβασής σας το συντομότερο δυνατόν για να μας βοηθήσετε να διασφαλίσουμε την ασφάλεια του λογαριασμού σας".

Όταν ο Peter ρώτησε τον πράκτορα εάν ο λογαριασμός του είχε παραβιαστεί, ο πράκτορας αρνήθηκε να παράσχει οποιεσδήποτε περαιτέρω λεπτομέρειες. Αυτό έκανε τον Peter ύποπτο και σωστά. Έχουμε συνηθίσει σε απάτες ηλεκτρονικού "ψαρέματος" που επιχειρούν να μας εξαπατήσουν να αλλάξουμε τα αναγνωριστικά και τους κωδικούς πρόσβασής μας, έτσι ώστε οι phishers να μπορούν να τα καταγράψουν και στη συνέχεια να κλέψουν τα δεδομένα μας.

Πάρτε την πρωτοβουλία όταν υποψιάζεστε ότι τα προσωπικά σας δεδομένα είναι σε κίνδυνο

Ο Peter απάντησε στην ειδοποίηση ασφαλείας του Marriott.com ακριβώς όπως οι ειδικοί συστήνουν: πριν κάνετε οποιεσδήποτε αλλαγές στο αναγνωριστικό του λογαριασμού ή τον κωδικό πρόσβασης, επιβεβαιώστε την αυθεντικότητα της ειδοποίησης. Όπως ανακοίνωσε ο Dennis Schaal νωρίτερα αυτό το μήνα στο ταξιδιωτικό site Skift, η Marriott διέκοψε την πρόσβαση στους λογαριασμούς Marriott Rewards από κινητές συσκευές έως ότου τα μέλη άλλαξαν τους κωδικούς πρόσβασής τους.

Η Schaal παραθέτει έναν εκπρόσωπο της Marriott ο οποίος ισχυρίστηκε ότι οι αριθμοί της πιστωτικής κάρτας ή της κοινωνικής ασφάλισης δεν υπονομεύθηκαν από τις απόπειρες πειρατείας, αν και δήλωσε ότι ήταν «σχεδόν αδύνατο» για την εταιρεία να διαπιστώσει εάν υπήρξαν παραβιάσεις λογαριασμών και αν ναι, ποιες.

Πού αφήνει τον Peter και άλλα μέλη της Marriott Rewards; Τουλάχιστον ξέρουν ότι η προειδοποίηση ήταν νόμιμη, αλλά δεν γνωρίζουν αν πρέπει να λάβουν τις προφυλάξεις πέρα ​​από την απλή αλλαγή του κωδικού τους στο Marriott.com.

Ακόμη και το προφανές πρώτο βήμα της αλλαγής του κωδικού πρόσβασης του δυνητικά συμβιβασμένου λογαριασμού μπορεί να είναι πιο περίπλοκο από αυτό που εμφανίζεται. Αν έχετε ρυθμίσει το πρόγραμμα περιήγησης να θυμάται τους κωδικούς πρόσβασής σας, να εγγράφει τους κωδικούς σας σε χαρτί ή σε αρχείο δεδομένων ή να χρησιμοποιεί έναν διαχειριστή κωδικών, οι λίστες αυτές θα πρέπει επίσης να ενημερωθούν.

Ενώ πολλοί ειδικοί συστήνουν τη χρήση ενός προϊόντος διαχείρισης κωδικού πρόσβασης, όπως το LastPass, δεν πωλούνται στην έννοια. Για μένα, οι υπηρεσίες αυτές δημιουργούν έναν άλλο πιθανό στόχο για τους χάκερς. Η καταγραφή των κωδικών πρόσβασης παρουσιάζει επίσης προβλήματα. (Τον περασμένο Οκτώβριο, εξήγησα "Ο ασφαλής τρόπος να" γράψετε "τους κωδικούς πρόσβασής σας.)

Μια θέση από τον Δεκέμβριο του 2001 με τίτλο "Mastering the art of passwords" συζήτησε τα πλεονεκτήματα και τα μειονεκτήματα των διαχειριστών κωδικών πρόσβασης. Η δημοσίευση αυτή περιγράφει την αγαπημένη μου τεχνική δημιουργίας κωδικού πρόσβασης, η οποία δεν απαιτεί τη χρήση ξεχωριστού προγράμματος ή την εγγραφή κωδικών πρόσβασης σε χαρτί.

Ξεκινήστε με κάτι που έχετε ήδη απομνημονεύσει, όπως ένα λυρικό τραγούδι, μια γραμμή από ένα ποίημα ή τα ονόματα των αδελφών, ξαδέλφων ή φίλων. Στη συνέχεια, χρησιμοποιήστε το δεύτερο, τρίτο ή τελευταίο γράμμα αυτών των λέξεων ως φράση πρόσβασης.

Παραδείγματος χάριν, αν επιλέξετε τη γραμμή γραμμών νηπίων "Hickory dickory dock, το ποντίκι έτρεξε το ρολόι", συνδυάστε τα τρίτα γράμματα κάθε λέξης (ή το τελευταίο γράμμα για λέξεις μικρότερα από τρία γράμματα) για να δημιουργήσετε τη φράση πρόσβασης: "ccceunpeo . " Για πρόσθετη προστασία, ξεκινήστε την ακολουθία τρίτου γράμματος με την τελευταία λέξη της γραμμής και τελειώστε με την πρώτη λέξη.

Οι ειδικοί ασφαλείας συστήνουν να χρησιμοποιείτε διαφορετική φράση πρόσβασης σε κάθε τοποθεσία που συχνάζετε. Η παραπάνω μνημονιακή μέθοδος διευκολύνει τη χρήση μοναδικών passphrases σε διάφορους τόπους: ξεκινήστε ή τελειώστε την αλληλουχία γραμμάτων με το ίδιο γράμμα της συγκεκριμένης υπηρεσίας. Έτσι, στο Amazon, για παράδειγμα, η παραπάνω φράση θα ήταν "accceunpeo" (ξεκινώντας με το τρίτο γράμμα της λέξης "Amazon").

Παρακολουθήστε προσεκτικά την πιστωτική σας δραστηριότητα

Αφού αλλάξετε τον κωδικό πρόσβασής σας, το επόμενο βήμα είναι να καθορίσετε ποια δεδομένα ενδέχεται να έχουν παραβιαστεί. Στην περίπτωση του Πέτρου, είναι πιθανό οι χάκερ να έχουν πρόσβαση στην πιστωτική κάρτα που σχετίζεται με το λογαριασμό του Marriott Rewards. Η προφανής απάντηση είναι να παρακολουθήσετε τις μελλοντικές δηλώσεις για αυτόν τον λογαριασμό για να διασφαλίσετε ότι δεν θα εμφανιστούν μη εξουσιοδοτημένες χρεώσεις.

Εάν έχετε πρόσβαση σε απευθείας σύνδεση στη δραστηριότητα λογαριασμού, μπορείτε να ελέγξετε για ψευδείς χρεώσεις χωρίς να περιμένετε να φτάσει μια δήλωση. Πολλές εταιρείες πιστωτικών καρτών σας επιτρέπουν να εγγραφείτε για ειδοποιήσεις μέσω ηλεκτρονικού ταχυδρομείου ή κειμένου όταν συμβαίνουν συγκεκριμένες συναλλαγές.

Η σελίδα "Πώς να αντιμετωπίσετε μια παραβίαση ασφαλείας" της Υπηρεσίας προστασίας προσωπικών δεδομένων υπογραμμίζει τη σημασία της άμεσης αμφισβήτησης των δόλιων χρεώσεων. Όταν αμφισβητείτε μια χρέωση, η εταιρεία πιθανόν να ακυρώσει τον τρέχοντα λογαριασμό και να σας εκδώσει μια νέα κάρτα και αριθμό λογαριασμού.

Η έγκαιρη αναφορά είναι ακόμα πιο σημαντική εάν η χρέωση είναι σε λογαριασμό χρεωστικής κάρτας, όπως εξηγείται στο "Χαρτί ή πλαστικό" του "Privacy Policy Clearinghouse": Τι έχετε να χάσετε; σελίδα. (Η ΛΔΚ συνιστά να μην χρησιμοποιείτε ούτε να μεταφέρετε χρεωστικές κάρτες επειδή δεν διαθέτουν προστασία πιστωτικών καρτών).

Αν υπάρχει πιθανότητα να κλαπεί ο αριθμός σας κοινωνικής ασφάλισης, οι κλέφτες μπορούν να χρησιμοποιήσουν το SSN για να ανοίξουν νέους λογαριασμούς πίστωσης στο όνομά σας. Γι 'αυτό πρέπει να τοποθετήσετε μια ειδοποίηση απάτης στους λογαριασμούς σας σε έναν από τους τρεις οργανισμούς παροχής στοιχείων. Πρέπει επίσης να παρακολουθείτε τακτικά την πιστωτική σας έκθεση.

Για πρόσθετο επίπεδο προστασίας, μπορείτε να τοποθετήσετε ένα πάγωμα ασφαλείας στους λογαριασμούς πίστωσης που εμποδίζει οποιονδήποτε να αποκτήσει πρόσβαση στα πιστωτικά σας στοιχεία εκτός αν το επιτρέπετε ρητά. Το ενημερωτικό δελτίο για την παραβίαση ασφαλείας της ΛΔΚ έχει πληροφορίες για επικοινωνία με τα πιστωτικά γραφεία για να ζητήσετε ειδοποίηση για απάτη και για εγγραφή ή για δέσμευση ασφαλείας.

Όταν ζητάτε ειδοποίηση απάτης από έναν οργανισμό παροχής στοιχείων, η εταιρεία αυτή θα επικοινωνήσει μαζί σας για τις άλλες δύο υπηρεσίες. Η ειδοποίηση θα είναι σε ισχύ για 90 ημέρες, αν και μπορείτε να την ακυρώσετε ανά πάσα στιγμή ή να την παρατείνετε για επτά χρόνια.

Ένα πάγωμα ασφαλείας γενικά κοστίζει από $ 5 έως $ 10 για να το τοποθετήσετε και να το αφαιρέσετε, αν και στην Καλιφόρνια και σε κάποια άλλα κράτη, τα θύματα ταυτότητας-κλοπής μπορούν να πάρουν ένα παγωτό ασφαλείας δωρεάν. Οι δύο επίσημες πηγές για δωρεάν ετήσιες εκθέσεις πιστοληπτικής ικανότητας είναι ο αμερικανικός εμπορικός οργανισμός της Εμπορικής Επιτροπής για τις ιστοσελίδες της Free Credit Reports και το AnnualCreditReport.com (877-322-8228).

Επειδή μπορείτε να ζητήσετε μια δωρεάν έκθεση από καθέναν από τους τρεις οργανισμούς αναφοράς πιστώσεων μία φορά το χρόνο, θα μπορούσατε να πάρετε μια δωρεάν έκθεση από έναν από τους τρεις κάθε τέσσερις μήνες.

Πριν από χρόνια, ήμουν θύμα μιας προσπάθειας απάτης. Στη συνέχεια υπέγραψα μια υπηρεσία παρακολούθησης πιστώσεων που χρεώνει μια ετήσια αμοιβή. Η υπηρεσία σάς στέλνει τριμηνιαίες πλήρεις αναφορές και ειδοποιήσεις όποτε ένας οργανισμός ζητά τα δεδομένα μου από έναν από τους τρεις οργανισμούς παροχής στοιχείων πιστοληπτικής ικανότητας. Για μένα, η ηρεμία που προσφέρει η υπηρεσία παρακολούθησης αξίζει τον κόπο, αν και πολλοί άνθρωποι θα βρίσκουν περιττό τον έλεγχο αυτής της πίστωσης.

Η σελίδα "Κλοπή ταυτότητας: Αντιμετώπιση παραβιάσεων δεδομένων" του Equifax Finance Blog εξηγεί τι συμβαίνει όταν ζητάτε ειδοποίηση απάτης ή ασφυξία ασφαλείας. Το ιστολόγιο επισημαίνει ότι οι κλεμμένες πληροφορίες σας δεν μπορούν να χρησιμοποιηθούν από τους χάκερ για ένα ή περισσότερα χρόνια, οπότε είναι επιτακτική η συνέχιση της παρακολούθησης της πιστωτικής σας δραστηριότητας.

Πότε υποχρεούνται οι εταιρείες να ενημερώνουν τους πελάτες για παραβιάσεις δεδομένων;

Η άρνηση του Marriott να προσφέρει οποιεσδήποτε λεπτομέρειες σχετικά με την πιθανή απόπειρα χάκερ εναντίον του Πέτρου δεν είναι ασυνήθιστη. Η πιθανότητα να επικοινωνήσετε μαζί σας όταν ένας οργανισμός χάνει ή ίσως έχει χάσει τα προσωπικά σας δεδομένα εξαρτάται από τον τόπο κατοικίας σας.

Σύμφωνα με το DataLossDB του Open Security Foundation, 47 κράτη έχουν θεσπίσει νόμους που απαιτούν την ενημέρωση των καταναλωτών για παραβιάσεις που θέτουν σε κίνδυνο τις προσωπικές τους πληροφορίες. Ωστόσο, μόνο 12 κράτη συνδυάζουν την απαίτηση κοινοποίησης με την νομοθεσία περί ανοικτού μητρώου ή ελευθερίας ενημέρωσης και με μια κεντρική αρχή, όπως ο γενικός εισαγγελέας ή το τμήμα προστασίας των καταναλωτών, στις οποίες αναφέρονται παραβιάσεις.

Οι ομοσπονδιακοί κανονισμοί καλύπτουν παραβιάσεις ιατρικών δεδομένων. Τον Αύγουστο του 2009, το Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ εξέδωσε τον κανόνα κοινοποίησης παραβιάσεων, ο οποίος εφαρμόζει το τμήμα 13402 του νόμου για την τεχνολογία πληροφοριών για την υγεία και την κλινική υγεία (HITECH) και εφαρμόζεται στις "οντότητες που καλύπτονται από την HIPAA και τους επιχειρηματικούς συνεργάτες τους". (HIPAA είναι ο Νόμος περί Φορητότητας και Υπευθυνότητας Ασφάλισης Υγείας του 1996.)

Σχετικές ιστορίες

  • Η NSA παραβίασε τους κανόνες προστασίας προσωπικών δεδομένων χιλιάδες φορές, διαπιστώνει το λογιστικό έλεγχο
  • Ο χάκερ ισχυρίζεται ότι δεν είναι ένοχος για να κλέψει 160M πιστωτικές κάρτες
  • Η Κίνα εξετάζει την IBM, την Oracle, την EMC σχετικά με πιθανά ζητήματα ασφαλείας
  • Deja vu ξανά; DOE για τους εργαζόμενους: Έχουμε χάκερ

Ως μέρος του Αμερικανικού Νόμου Επανεπένδυσης και Ανάκαμψης του 2009, η Ομοσπονδιακή Επιτροπή Εμπορίου των ΗΠΑ εξέδωσε έναν Κανόνα Τελικής Παραβίασης για Ηλεκτρονικές Πληροφορίες Υγείας που ισχύει για τους "πωλητές ... οι οποίοι παρέχουν ηλεκτρονικές αποθήκες που μπορούν να χρησιμοποιήσουν οι άνθρωποι για να παρακολουθούν τις πληροφορίες για την υγεία τους και οντότητες που προσφέρουν εφαρμογές τρίτων για προσωπικά αρχεία υγείας ».

Δεν υπάρχει ομοσπονδιακή απαίτηση ότι άλλοι δημόσιοι και ιδιωτικοί οργανισμοί ενημερώνουν τους καταναλωτές όταν τα προσωπικά τους δεδομένα ενδέχεται να έχουν διακυβευτεί. Η έκθεση της Υπηρεσίας Ερευνών του Κογκρέσου για το 2010 με τίτλο "Ομοσπονδιακή Νομοθεσία για την Ασφάλεια Πληροφοριών και την Παραβίαση Δεδομένων" (PDF) επισημαίνει ότι οι νόμοι περί προστασίας της ιδιωτικής ζωής είναι πολύ πιο πιθανό να απαιτούν οι δημόσιοι και ιδιωτικοί φορείς να ενημερώνουν τους καταναλωτές που ενδέχεται να έχουν επηρεαστεί από παραβίαση δεδομένων.

Το Εθνικό Συμβούλιο των Νομοθετικών Συμβουλίων παρέχει μια επισκόπηση των νόμων περί κρατικών παραβιάσεων της ασφάλειας. Ο Οδηγός κοινοποίησης καταναλωτών (PDF) διασταυρώσεων εξηγεί τα στοιχεία των απαιτήσεων κοινοποίησης κάθε κράτους.

Τον περασμένο μήνα στο blog του Sophos Naked Security, ο Chester Wisniewski εξέτασε τις πρόσφατες αλλαγές στους νόμους περί κρατικών παραβιάσεων δεδομένων, μερικές αλλαγές για καλύτερες και μερικές για χειρότερα.

Μετά από τέσσερις αποτυχημένες προσπάθειες που χρονολογούνται από το 2005, το Κογκρέσο φαίνεται να είναι έτοιμο να κάνει μια ακόμη προσπάθεια για τη θέσπιση ενός συνολικού νόμου περί κοινοποίησης παραβιάσεων. Ο Victor Li εξηγεί στο δικτυακό τόπο της Νομικής Υπηρεσίας Πληροφοριών ότι η εμπορική υποεπιτροπή της Επιτροπής Οικονομι- κών και Εμπορίου ανέλαβε το θέμα σε ακρόαση τον περασμένο μήνα, κατά την οποία κατέθεσαν αρκετοί εκπρόσωποι της βιομηχανίας και εμπειρογνώμονες για την προστασία της ιδιωτικής ζωής.

Ένα από τα σημαντικότερα ασυμβίβαστα ζητήματα είναι εάν ένας ομοσπονδιακός νόμος κοινοποίησης θα αντικαταστήσει τους κρατικούς νόμους ή θα συμπληρώσει τις υφιστάμενες απαιτήσεις κοινοποίησης των κρατών. Από τη μια πλευρά, η συμμόρφωση με τους διάφορους νόμους περί κρατικών κοινοποιήσεων δημιουργεί έναν γραφειοκρατικό εφιάλτη για ορισμένες εταιρείες. Από την άλλη πλευρά, οι υποστηρικτές της ιδιωτικής ζωής φοβούνται ότι ένας μόνο ομοσπονδιακός κανονισμός θα εξαλείψει κάποιες υφιστάμενες κρατικές εντολές προστασίας των καταναλωτών.

Δημοφιλείς Αναρτήσεις

Βρείτε εφαρμογές Android για tablet

10 λειτουργίες iPhone που πρέπει να ξέρετε

Εγκαταστήστε το Adobe Flash Player σε συσκευές Jelly Bean

Πώς να απενεργοποιήσετε την αυτόματη αναπαραγωγή στο περιεχόμενο Flash στο Chrome

Αποκτήστε γρήγορους χάρτες και διαδρομές στο πρόγραμμα περιήγησής σας με Handy Maps

Πώς να εξαιρεθείτε από τις υπηρεσίες συλλογής δεδομένων που βασίζονται σε διαφημίσεις της Adobe

 

Αφήστε Το Σχόλιό Σας