Jak reagovat na oznámení o narušení dat

Minulý pátek čtenář s názvem Peter kontaktoval mne o oznámení, které se objevilo, když se pokusil přihlásit do svého účtu Marriott Rewards. Oznámení ukázalo, že se někdo pokoušel hackovat účet a měl by změnit heslo. Peter zahájil živý rozhovor s help desk Marriott a řekl:

"Nedávno došlo k pokusům o získání neoprávněného přístupu k malému počtu online účtů členů. Doporučuji vám navštívit Marriott.com a co nejdříve změnit heslo, které nám pomůže při zajištění bezpečnosti vašeho účtu."

Když se Peter zeptal agenta, zda byl jeho účet ohrožen, agent odmítl poskytnout další podrobnosti. To učinilo Petra podezřívavým a správně. Zvykli jsme si na phishingové podvody, které se nás snaží podvést k tomu, abychom změnili naše přihlašovací ID a hesla, aby je phiséři mohli zachytit a pak ukrást naše data.

Vezměte si iniciativu, pokud máte podezření, že vaše osobní údaje jsou ohroženy

Peter odpověděl na bezpečnostní oznámení společnosti Marriott.com přesně tak, jak odborníci doporučují: předtím, než provedete nějaké změny v účtu nebo hesle, potvrďte pravost oznámení. Jak Dennis Schaal uvedl na začátku tohoto měsíce na stránkách Travel Skift, Marriott odpojil přístup k účtům Marriott Rewards z mobilních zařízení, dokud členové nezměnili své hesla.

Schaal cituje mluvčí společnosti Marriott, která tvrdila, že nebyla ohrožena žádná čísla kreditních karet nebo sociálního zabezpečení, ačkoli řekla, že je "prakticky nemožné", aby společnost zjistila, zda byly nějaké účty porušeny, a pokud ano, které z nich.

Kde to opouští Peter a další členové Marriott Rewards? Alespoň vědí, že výstraha byla legitimní, ale nevědí, zda musí přijmout veškerá bezpečnostní opatření, a to nejen za to, že změní své heslo pro Marriott.com.

Dokonce i zřejmý první krok změny hesla potenciálně ohroženého účtu může být složitější, než se zdá. Pokud jste nastavili prohlížeč, aby si pamatoval hesla, zaznamenal hesla na papíře nebo v datovém souboru nebo použil správce hesel, budou muset být tyto seznamy také aktualizovány.

Zatímco mnoho odborníků doporučuje používat produkt pro správu hesel, jako je LastPass, nejsem prodáván na koncepci. Pro mě takové služby vytvářejí další potenciální cíl pro hackery. Zápis hesel představuje problémy. (V loňském říjnu jsem vysvětlil "Bezpečný způsob, jak si" zapsat heslo ".)

Příspěvek z prosince 2001 s názvem "Zvládnutí umění hesel" projednal klady a zápory správců hesel. Tento příspěvek popsal mou oblíbenou techniku ​​tvorby hesel, která nevyžaduje použití samostatného programu nebo psaní hesel na papíře.

Začněte s něčím, co jste si už zapamatovali, jako je píseň lyrická, linka z básně nebo jména sourozenců, bratranců nebo přátel. Poté použijte druhou, třetí nebo poslední písmeno těchto slov jako přístupovou frázi.

Například pokud vyberete linku "Hickory dickory dock, myška spustila hodiny", kombinujte třetí písmena každého slova (nebo poslední písmeno pro slova kratší než tři písmena) a vytvořte heslo: "ccceunpeo . " Chcete-li přidat ochranu, spusťte sekvenci třetího písmena s posledním slovem řádku a ukončete prvním slovem.

Odborníci na bezpečnost doporučují, abyste na každém místě, který používáte, používali jinou přístupovou frázi. Výše zmíněná mnemotechnická metoda usnadňuje použití jedinečných hesel na různých místech: začátek nebo konec písmenné posloupnosti se stejným číslem písmen této konkrétní služby. Například u Amazonky by výše uvedená přístupová fráze byla "accceunpeo" (počínaje třetím písmenem slova "Amazon").

Dbejte pozorně na vaši kreditní činnost

Po změně hesla je dalším krokem určit, které údaje mohly být ohroženy. V případě Petra je možné, že hackeři přistoupili k kreditní kartě spojené s jeho účtem Marriott Rewards. Zřejmou reakcí je sledování budoucích výkazů pro tento účet, aby se zajistilo, že se nezobrazí neoprávněné poplatky.

Máte-li online přístup k aktivitě účtu, můžete zkontrolovat falešné poplatky, aniž byste museli čekat, až přijde výpověď. Mnoho společností poskytujících kreditní karty vám umožní přihlásit se k e-mailům nebo textovým upozorněním vždy, když se vyskytnou určité transakce.

Stránky Clearinghouse "Jak se vypořádat s porušením bezpečnosti" ze strany Clearinghouse privacy policy zdůrazňují, že je důležité okamžitě napadnout podvodné poplatky. Když popíráte poplatek, společnost pravděpodobně zruší běžný účet a vystaví vám novou kartu a číslo účtu.

Včasné hlášení je ještě důležitější, pokud je účtován na účet s debetní kartou, jak je vysvětleno v článku "Písemné nebo plastové zboží: Co jste museli ztratí?" stránka. (Společnost PRC doporučuje, abyste nikdy nepoužívali nebo dokonce nesli debetní karty, protože jim chybí ochrana kreditních karet.)

Pokud existuje šance, že vaše číslo sociálního pojištění bylo odcizeno, mohou zloději využít SSN k otevření nových kreditních účtů ve vašem jménu. To je důvod, proč musíte na své účty podat výstrahu proti podvodům u jedné ze tří zpravodajských agentur. Také musíte pravidelně sledovat svou kreditní zprávu.

Pro dodatečnou úroveň ochrany můžete na své kreditní účty umístit bezpečnostní zmrazení, které nikomu nebrání v přístupu k vašim kreditním informacím, pokud to výslovně nepovolíte. Informační list společnosti PRC o narušení bezpečnosti obsahuje informace pro kontaktování úvěrových úřadů, aby požádali o podezření na podvod, o registraci nebo bezpečnostní zmrazení.

Když požádáte o výstrahu podvodů od jedné zpravodajské agentury, tato společnost vás bude kontaktovat s dalšími dvěma agenturami. Upozornění bude k dispozici po dobu 90 dnů, přestože jej můžete kdykoli zrušit nebo prodloužit až na sedm let.

Bezpečnostní zmrazení obecně stojí od $ 5 do $ 10 na místo a odstranění, ačkoli v Kalifornii a některých dalších státech, oběti identity-krádeže mohou dostat bezpečnostní zmrazení zdarma. Dvěma oficiálními zdroji bezplatných výročních zpráv o úvěru jsou americká Federální obchodní komise (Free Trade Credit Reports) a agentura AnnualCreditReport.com (877-322-8228).

Vzhledem k tomu, že jednou za rok můžete požádat o bezplatnou zprávu od každé ze tří zpravodajských agentur, můžete obdržet bezplatnou zprávu od jednoho ze tří každé čtyři měsíce.

Před lety jsem byl obětí pokusu o podvod. Poté jsem se přihlásil ke službě monitorování úvěrů, která účtuje roční poplatek. Služba mi pošle kompletní čtvrtletní přehledy a výstrahy vždy, když organizace požádá o mé údaje z jedné ze tří agentur pro vykazování úvěrů. Pro mě má klid, který nabízí monitorovací služba, nákladné, ačkoli mnoho lidí by takové sledování úvěrů bylo zbytečné.

Stránka "Falešná identita: vypořádání se s porušením údajů" společnosti Equifax Finance Blog vysvětluje, co se stane, když požádáte o podezření z podvodu nebo o zmrazení bezpečnosti. Blog upozorňuje na to, že vaše ukradené informace nemohou hackeři používat po dobu jednoho nebo více let, takže je nutné nadále sledovat svou kreditní činnost.

Kdy jsou společnosti povinny informovat zákazníky o narušení dat?

Marriottovo odmítnutí poskytnout nějaké podrobnosti o možném pokusu o hack s Petrem není neobvyklé. Pravděpodobnost, že budete vůbec kontaktováni, když organizace ztratí nebo možná ztratila vaše soukromá data, závisí na tom, kde žijete.

Podle DataLossDB otevřené bezpečnostní nadace 47 států přijalo zákony, které vyžadují, aby byli spotřebitelé informováni o porušení, která ohrožují jejich osobní informace. Pouze 12 států však spojuje oznamovací povinnost se zákonem o otevřeném záznamu nebo svobodou informací a centralizovaným orgánem, jako je generální prokurátor nebo divize ochrany spotřebitelů, na které jsou hlášeny případy porušení.

Federální předpisy se týkají porušení lékařských údajů. V srpnu 2009 vydalo americké ministerstvo zdravotnictví a humanitních služeb předpis o porušení předpisů, který provádí oddíl 13402 zákona o zdravotnických informačních technologiích pro hospodářské a klinické zdraví (HITECH) a vztahuje se na "subjekty zahrnuté v HIPAA a jejich obchodní partneři". (HIPAA je zákon o přenositelnosti a odpovědnosti zdravotního pojištění z roku 1996.)

Příbuzné příběhy

  • NSA porušila pravidla ochrany osobních údajů tisíckrát, zjišťuje audit
  • Hacker se domnívá, že nebyl vinen krádeží 160 milionů kreditních karet
  • Čína očima IBM, Oracle, EMC ohledně možných bezpečnostních problémů
  • Deja vu znovu? DOE pro dělníky: Byli jsme hacknuty

V rámci amerického zákona o reinvestování a obnově z roku 2009 vydala americká Federální obchodní komise pravidlo o oznámení o konečném porušování předpisů pro elektronické informace o zdraví, které se vztahuje na "prodejce ..., kteří poskytují on-line repozitáře, které mohou lidé sledovat na svých zdravotních informacích a subjekty, které nabízejí aplikace třetích stran pro osobní zdravotní záznamy. "

Neexistuje žádný federální požadavek, aby jiné veřejné a soukromé organizace informovaly spotřebitele o tom, že jejich osobní údaje mohly být ohroženy. Zpráva společnosti Congressional Research Service za rok 2010 nazvaná "Federální zákon o bezpečnosti informací a oznamování porušení údajů" (PDF) poukazuje na to, že zákony na ochranu soukromí státu vyžadují, aby veřejné a soukromé subjekty informovaly spotřebitele, kteří mohou být poškozeni porušením údajů.

Národní rada státních zákonodárců poskytuje přehled zákonů o oznamování narušení bezpečnosti státu. Příručka spotřebitelského oznámení (Intersections Guide Guide) (PDF) vysvětluje podrobnosti o požadavcích na oznámení jednotlivých států.

Minulý měsíc na blogu Sophos Naked Security Chester Wisniewski zkoumal nedávné změny zákonů o oznamování porušení státních předpisů, některé změny pro lepší a některé pro horší.

Po čtyřech neúspěšných pokusech z roku 2005 se Kongres zdá být připravený udělat další pokus o přijetí komplexního zákona o porušení předpisů. Victor Li vysvětluje na serveru Legal Intelligencer, že podvýbor Výboru pro energetiku a obchod ve výboru vzal tuto záležitost na slyšení minulý měsíc, na němž svědčilo několik zástupců průmyslu a odborníků na ochranu soukromí.

Jedním z hlavních nevyřešených otázek je, zda by federální zákon o oznamování nahradil státní zákony nebo doplnil stávající požadavky na oznámení státu. Na jedné straně dodržování různých zákonů o oznamování státu vytváří pro některé společnosti byrokratickou noční můru. Na druhou stranu obhájci ochrany soukromí se obávají, že jediné federální nařízení by zničilo některé existující státní ochranu spotřebitelů.

Populární Příspěvky

Udělejte trochu zelené androidy, které letí po obrazovce v Ice Cream Sandwich

Sdílejte a přistupujte k souborům Android z libovolného místa pomocí služby Shynk

25 věcí, které ve skutečnosti nemusíte držet v chladničce

Rozšiřte své zábavní obzory pomocí TasteKid

Unified Remote změní váš Android na řadič PC

Uložte soubory do Disku Google pomocí doplňku Chrome uložit do Disku

 

Zanechte Svůj Komentář