Kuidas vastata rikkumisest teatamisele

Eelmisel reedel võttis Peter nimega lugeja minuga ühendust teatega, mis ilmus, kui ta üritas oma Marriott Rewards kontole sisse logida. Teade näitas, et keegi võib olla püüdnud kontot häkkida ja ta peaks oma parooli muutma. Peter algatas Marriott'i abitekstiga live-vestluse ja talle öeldi järgmist:

"Hiljuti on tehtud katseid saada volitamata juurdepääs väikese arvu kasutajate online-kontodele. Soovitan teil külastada Marriott.com'i ja muuta oma parooli nii kiiresti kui võimalik, et aidata meil oma konto turvalisust tagada."

Kui Peter küsis agendilt, kas tema konto oli ohustatud, siis agent keeldus täiendavatest üksikasjadest. See pani Peetruse kahtlaseks ja õigustatult. Oleme harjunud andmepüügipettustega, mis püüavad meid lüüa oma sisselogimis-ID-de ja paroolide muutmisel, et andmepüügijad saaksid neid lüüa ja seejärel varastada meie andmed.

Tehke algatus, kui kahtlustate, et teie isikuandmed on ohus

Peter vastas Marriott.comi turvalisuse teatele täpselt nii, nagu eksperdid soovitavad: enne konto ID või parooli muutmist kinnitage teate autentsust. Nagu Dennis Schaal sel kuul Skifri reisilehel teatas, katkestas Marriott mobiilseadmetelt juurdepääsu Marriott Rewards kontodele, kuni liikmed olid oma paroole muutnud.

Schaal tsiteerib Marriotti pressiesindajat, kes ei väitnud, et krediitkaart või sotsiaalkindlustuse numbrid olid rünnakukatsete tõttu ohustatud, kuigi ta ütles, et ettevõttel oli "peaaegu võimatu" kindlaks teha, kas kontosid on rikutud ja kui on, siis millised.

Kust see Peterist ja teistest Marriott Rewards'i liikmetest lahkub? Vähemalt nad teavad, et hoiatus oli õigustatud, kuid nad ei tea, kas nad peavad võtma ettevaatusabinõusid peale lihtsalt oma Marriott.com salasõna muutmise.

Isegi ilmne esimene samm potentsiaalselt ohustatud konto parooli muutmiseks võib olla keerulisem kui ilmub. Kui olete seadistanud oma brauseri oma paroolide mällu, salvestanud oma paroolid paberil või andmefailis või kasutanud paroolihaldurit, tuleb need nimekirjad samuti uuendada.

Kuigi paljud eksperdid soovitavad kasutada paroolihaldustoodet nagu LastPass, ei müü seda kontseptsiooni. Minu jaoks loob sellised teenused häkkeritele veel ühe võimaliku sihtmärgi. Paroolide kirjutamine tekitab ka probleeme. (Eelmise aasta oktoobris selgitasin „Sinu paroolide turvaliseks kirjutamise viisiks”.)

2001. aasta detsembri ametikohal pealkirjaga „Paroolide kunsti omandamine” arutati paroolide haldajate plusse ja miinuseid. See postitus kirjeldas minu lemmikparooli loomise tehnikat, mis ei nõua eraldi programmi kasutamist või paroolide kirjutamist paberil.

Alustage midagi, mida olete juba mäletanud, näiteks laulu lüüri, luulest pärineva rea ​​või vendade, sugulaste või sõprade nimed. Seejärel kasutage oma sõnamärgina nende sõnade teist, kolmandat või viimast tähte.

Näiteks kui valite lasteaia-riimijoone "Hickory dickory dock, hiir jooksis üles kella, " ühendage iga sõna kolmandad tähed (või kolmest tähest lühemate sõnade viimane täht) oma parooli loomiseks: "ccceunpeo . " Täiendava kaitse saamiseks alustage kolmanda tähe järjestust rea viimase sõnaga ja lõpeta esimese sõnaga.

Turvalisuse eksperdid soovitavad, et kasutate igas sagedasel saidil teistsugust parooli. Ülaltoodud mnemonomeetiline meetod võimaldab unikaalsete paroolide kasutamist erinevates kohtades: algab või lõpetab kirjajärjestuse sama teenuse sama numbriga. Näiteks Amazonis oleks ülalkirjeldatud parool "accceunpeo" (alustades sõna "Amazon" kolmandast kirjast).

Jälgige tähelepanelikult oma krediiditegevust

Pärast parooli muutmist on järgmine samm määrata kindlaks, millised andmed on ohustatud. Peetruse puhul on võimalik, et häkkerid pääsevad juurde oma Marriott Rewards kontoga seotud krediitkaardile. Ilmselge vastus on jälgida selle konto tulevasi avaldusi, et tagada volitamata tasude ilmumine.

Kui teil on konto aktiivsusele juurdepääs, saate kontrollida võltsitud tasusid, ilma et peaksite ootama, kuni avaldus saabub. Paljud krediitkaardifirmad lubavad teil registreeruda e-posti või tekstisõnumite jaoks, kui toimub konkreetne tehing.

Privaatsuse õiguste teabevõrgustiku "Turvalisuse rikkumisega tegelemise" leheküljel rõhutatakse, kui oluline on kohe pettusega seotud maksud vaidlustada. Kui vaidlustate tasu, tühistab ettevõte tõenäoliselt jooksva konto ja väljastab teile uue kaardi ja konto numbri.

Õigeaegne aruandlus on veelgi olulisem, kui tasu kuulub deebetkaardi kontole, nagu on selgitatud Privaatsusõiguste teabevõrgu "Paber või plast: mida sa pead kaotama?" lehel. (Hiina Rahvavabariik soovitab, et te ei kasuta ega võta isegi deebetkaarte, sest neil puudub krediitkaartide kaitse.)

Kui on olemas võimalus, et teie sotsiaalkindlustuse number on varastatud, võivad vargad kasutada SSN-i, et avada oma nimel uusi krediidi kontosid. Sellepärast peate oma kontodesse panema pettuse hoiatuse ühe kolmest krediidiandmete esitamise asutusest. Samuti peate regulaarselt jälgima oma krediidiraportit.

Täiendava kaitse taseme tagamiseks saate oma krediidi kontodesse kanda julgestuse külmutamise, mis takistab kellelgi juurdepääsu teie krediidiandmetele, kui te seda selgesõnaliselt lubate. HRV julgeolekualase rikkumise teabelehel on teavet, kuidas võtta ühendust krediidiasutustega, et taotleda pettuse hoiatusteavet ja registreeruda või turva külmutada.

Kui te taotlete ühe aruandva asutuse pettuse hoiatusteavet, võtab see ettevõte teiega ühendust kahe teise asutusega. Hoiatus kehtib 90 päeva, kuigi saate selle igal ajal tühistada või pikendada seitse aastat.

Turvalisuse külmutamine maksab tavaliselt $ 5 kuni $ 10, et paigutada ja eemaldada, kuigi Kalifornias ja mõnedes teistes riikides saavad identiteedivarguse ohvrid tasuta külmutada. Kaks ametlikku allikat tasuta aasta krediidi aruanded on USA Federal Trade Commission Free Credit Reports saidi ja AnnualCreditReport.com (877-322-8228).

Kuna te saate iga kolme krediidiasutuse asutuse kohta igal aastal tasuta aruannet esitada, saate iga nelja kuu järel ühe kolmest tasuta aruandest.

Aastaid tagasi olin pettuse katse ohver. Hiljem registreerusin krediidi jälgimise teenuse, mis nõuab aastamaksu. Teenus saadab mulle täielikud aruanded kord kvartalis ja hoiatab, kui organisatsioon taotleb minu andmeid ühelt kolmelt krediidiandmete esitamise asutuselt. Minu jaoks on meelerahu, mida seireteenus pakub, väärt kulusid, kuigi paljud inimesed leiavad, et selline krediidikontroll ei ole vajalik.

Equifaxi rahanduse blogi "Identiteedivargus: andmete rikkumisega tegelemine" leheküljel selgitatakse, mis juhtub siis, kui taotlete pettuse hoiatust või turvalisust. Blogi juhib tähelepanu sellele, et häkkerid ei pruugi teie varastatud teavet kasutada aasta või kauem, mistõttu on oluline jätkata oma krediiditegevuse jälgimist.

Millal peavad ettevõtted teavitama kliente andmete rikkumisest?

Marriott'i keeldumine pakkuda Peterburi vastu suunatud võimaliku häkkimise kohta üksikasju ei ole ebatavaline. Tõenäosus, et teiega üldse ühendust võetakse, kui organisatsioon kaotab või on kaotanud oma isiklikud andmed, sõltub teie elukohast.

Vastavalt Open Security Foundationi DataLossDB andmetele on 47 riiki kehtestanud seadused, millega nõutakse, et tarbijaid teavitataks rikkumistest, mis seavad ohtu oma isikuandmed. Ainult 12 riiki ühendavad teavitusnõude avatud dokumendi või teabevabaduse õigusaktidega ja tsentraliseeritud asutusega, nagu näiteks peaprokurör või tarbijakaitse osakond, kellele on teatatud rikkumistest.

Föderaalseadused hõlmavad meditsiiniliste andmete rikkumist. 2009. aasta augustis andis USA tervishoiu- ja inimressursside osakond välja rikkumisest teatamise reegli, millega rakendatakse tervishoiutehnoloogia majandusliku ja kliinilise tervise (HITECH) seaduse osa 13402 ning kohaldatakse HIPAA hõlmatud üksuste ja nende äripartnerite suhtes. (HIPAA on 1996. aasta ravikindlustuse kaasaskantavuse ja vastutuse seadus).

Seotud lood

  • Riiklik julgeolekuasutus rikkus privaatsuseeskirju tuhandeid kordi, audit leiab
  • Hacker ei ole süüdi 160M krediitkaartide varastamisel
  • Hiina silmad IBMile, Oracle'ile, EMC-le võimalike turvaküsimuste üle
  • Deja vu jälle? DOE töötajatele: me oleme häkkinud

Osana 2009. aasta Ameerika reinvesteerimise ja sissenõudmise seadusest andis USA föderaalne kaubanduskomisjon välja elektroonilise tervisealase teabe lõpliku rikkumisest teatamise reegli, mis kehtib „müüjate kohta, kes pakuvad online-hoidlaid, mida inimesed saavad kasutada oma tervisealase teabe jälgimiseks ja üksused, mis pakuvad kolmandate isikute taotlusi isiklike terviseandmete jaoks. "

Ei ole föderaalset nõuet, et teised avalik-õiguslikud ja eraorganisatsioonid teavitaksid tarbijaid, kui nende isikuandmeid on kahjustatud. Kongressi uurimisteenistuse 2010. aasta aruandes pealkirjaga "Federal Information Security ja Data Breach Notification Laws" (PDF) märgitakse, et riiklikud eraelu puutumatust käsitlevad õigusaktid nõuavad palju suuremat tõenäosust, et avalik-õiguslikud ja eraõiguslikud üksused teavitavad tarbijaid, keda andmete rikkumine mõjutas.

Riikliku seadusandjate nõukogu annab ülevaate riigi julgeoleku rikkumisest teatamise seadustest. Intersections Consumer Notification Guide (PDF) selgitab iga riigi teavitamisnõuete üksikasju.

Eelmisel kuul Sophos Naked Security blogis Chester Wisniewski uuris hiljutisi muudatusi riigi andmete rikkumise teatamise seadustes, mõned muudatused paremaks ja mõned halvemaks.

Pärast nelja ebaõnnestunud katset, mis pärinesid aastast 2005, näib kongress olevat valmis tegema veel ühe katse läbida laiaulatuslik rikkumisest teatamise seadus. Victor Li selgitab Legal Intelligencer saidil, et House Energy and Commerce komitee kaubanduse allkomitee asus asja arutama eelmisel kuul toimunud kuulamisel, kus tunnistasid mitmed tööstuse esindajad ja eraelu puutumatuse eksperdid.

Üks peamisi lahendamata küsimusi on see, kas föderaalse teatamise seadus asendab riiklikke seadusi või täiendab olemasolevaid riigi teavitamise nõudeid. Ühest küljest tekitab mitmesuguste äriühingute jaoks bürokraatlik õudusunenägu erinevate riikliku teavitamise seaduste järgimine. Teisest küljest kardavad privaatsuse kaitsjad, et ühtne föderaalne määrus hävitaks mõned olemasolevad riigi poolt volitatud tarbijakaitse.

 

Jäta Oma Kommentaar