Hogyan válaszoljon az adatvesztési értesítésre?

Múlt pénteken egy Peter nevű olvasó kapcsolatba lépett velem egy olyan értesítéssel kapcsolatban, amely akkor jelentkezett, amikor megpróbálta bejelentkezni a Marriott Rewards számlájára. A közlemény jelezte, hogy valaki megpróbálhatta a fiókot, és meg kell változtatnia a jelszavát. Peter egy élő beszélgetést kezdeményezett a Marriott ügyfélszolgálattal, és azt mondta:

"A közelmúltban kísérleteket tettek arra, hogy jogosulatlan hozzáférést kapjanak néhány tag online számlájához. Javasoljuk, hogy látogasson el a Marriott.com oldalra, és a lehető leghamarabb változtassa meg a jelszavát, hogy segítsen nekünk a fiók biztonságának biztosításában."

Amikor Péter megkérdezte az ügynököt, hogy a számlája sérült-e, az ügynök megtagadta a további részleteket. Ez gyanúsnak tette Peteret, és helyesen. Szoktunk hozzászokni az adathalász-csalásokhoz, amelyek megpróbálják megragadni a bejelentkezési azonosítóink és jelszavunk megváltoztatását, hogy az adathalászok képesek legyenek megragadni őket, és ellopják az adatainkat.

Vigye fel a kezdeményezést, ha gyanítja, hogy személyes adatai veszélyben vannak

Peter pontosan válaszolt a Marriott.com biztonsági értesítésére, ahogyan azt a szakértők javasolják: mielőtt módosítaná a fiók azonosítóját vagy jelszavát, erősítse meg az értesítés hitelességét. Ahogy Dennis Schaal a hónap elején jelentette be a Skift utazási oldalát, a Marriott megszakította a hozzáférést a Marriott Rewards számlákhoz mobil eszközökről, amíg a tagok nem változtatták meg a jelszavukat.

Schaal idéz egy Marriott szóvivőjét, aki azt állította, hogy a hitelkártya vagy a társadalombiztosítási számok veszélyeztetették a hack-próbálkozásokat, bár azt mondta, hogy „gyakorlatilag lehetetlen” a vállalat számára annak eldöntésére, hogy bármilyen fiókot megsértették, és ha igen, melyik.

Hol hagyja el Peteret és más Marriott Rewards tagokat? Legalábbis tudják, hogy a riasztás törvényes volt, de nem tudják, hogy szükségük van-e az óvintézkedésekre, mint a Marriott.com jelszavának megváltoztatása.

Még a nyilvánvaló első lépés a potenciálisan veszélyeztetett fiók jelszavának megváltoztatásában is bonyolultabb lehet, mint amilyennek megjelenik. Ha be van állítva a böngészője, hogy emlékezzen a jelszavára, rögzítse a jelszavakat papíron vagy adatfájlban, vagy jelszókezelőt használjon, akkor ezeket a listákat is frissíteni kell.

Bár sok szakértő azt javasolja, hogy használjon olyan jelszókezelő terméket, mint a LastPass, nem adom el a koncepciót. Számomra az ilyen szolgáltatások újabb potenciális célt jelentenek a hackerek számára. A jelszavak írása is problémákat okoz. (Tavaly októberben elmondtam, hogy "A biztonságos módja annak, hogy felírja a jelszavakat.")

A 2001. decemberi "A jelszavak művészete" címmel ellátott hozzászólás a jelszókezelők előnyeiről és hátrányairól beszélt. Ez a hozzászólás a kedvenc jelszó-létrehozási technikámat írta le, amely nem igényel külön programot, vagy papírra írja a jelszavakat.

Kezdje el valamit, amit már emlékezett, mint például egy dalszöveg, egy vers a versből, vagy a testvérek, unokatestvérek vagy barátok neve. Ezután a szavak második, harmadik vagy utolsó betűit használjuk jelszóként.

Például, ha a "Hickory dickory dokkolót választja az óvoda-rím ​​vonalra, az egér az órát felemelte", az egyes szó harmadik betűit (vagy a három betűnél rövidebb szavak utolsó betűjét) kombinálja a jelszó létrehozásához: "ccceunpeo .” A további védelem érdekében indítsa el a harmadik betűs sorozatot a sor utolsó szavával, és fejezze be az első szót.

A biztonsági szakértők azt javasolják, hogy minden gyakori helyszínen más jelszót használjon. A fenti mnemonikus módszer megkönnyíti az egyedi jelszavak használatát a különböző helyszíneken: elindítja vagy fejezi be a betűsorrendet az adott szolgáltatás azonos számával. Így például az Amazon-ban a fenti jelszó "accceunpeo" lesz (az "Amazon" szó harmadik betűjével kezdődik).

Tartsa szoros figyelemmel a hitelezési tevékenységét

Miután megváltoztatta a jelszavát, a következő lépés annak meghatározása, hogy milyen adatok kerültek veszélybe. Péter esetében lehetséges, hogy a hackerek hozzáférjenek a Marriott Rewards számlájához kapcsolódó hitelkártyához. A nyilvánvaló válasz az, hogy figyelemmel kísérje az adott fiók jövőbeni nyilatkozatait annak biztosítása érdekében, hogy nem jelennek meg illetéktelen díjak.

Ha online hozzáférést biztosít a fiók tevékenységéhez, ellenőrizheti a hamis díjakat anélkül, hogy várnia kellene a nyilatkozat megérkezését. Számos hitelkártya-társaság lehetővé teszi az e-mailek vagy szöveges figyelmeztetések bejelentkezését, amikor bizonyos tranzakciók megtörténnek.

Az Adatvédelmi Jogok Nyilvántartójának "Hogyan kezeljünk egy biztonsági szabálysértést" oldalt, hangsúlyozza, hogy azonnal fontos a csalárd díjak vitatása. Ha vitatja a díjat, a cég valószínűleg megszünteti a folyószámlát, és új kártyát és számlaszámot ad ki Önnek.

Az időben történő jelentéstétel még fontosabb, ha a terhelés egy betéti kártya számlára vonatkozik, amint azt az Adatvédelmi Jogi Nyilvántartó "Papír vagy műanyag: mit kell elveszítenie?" oldalt. (A Kínai Népköztársaság ajánlja, hogy soha ne használjon és ne szállítson bankkártyákat, mert hiányoznak a hitelkártyák védelme.)

Ha esély van a társadalombiztosítási szám ellopására, a tolvajok az SSN-t használhatják új hitelszámlák megnyitásához az Ön nevében. Éppen ezért szükség van egy csalási riasztás elhelyezésére a három bankszámláló ügynökség egyikében. Rendszeresen figyelnie kell a hiteljelentését.

A védelem további szintje érdekében biztonsági befagyasztást helyezhet el a bankszámláján, amely megakadályozza, hogy bárki hozzáférhessen a hitelinformációihoz, kivéve, ha ezt kifejezetten engedélyezi. A KNK Biztonsági megsértésének ténylapja olyan információkat tartalmaz, amelyekkel kapcsolatba léphet a hitelintézetekkel, hogy csalási riasztást kérjenek, illetve hogy bejelentkezzenek vagy biztonsági befagyasztásra kerüljenek.

Ha egy jelentéstevő ügynökségtől csalási riasztást kér, a vállalat kapcsolatba lép a másik két ügynökséggel. A riasztás 90 napig lesz érvényben, bár bármikor törölheti, vagy akár hét évig is meghosszabbíthatja azt.

A biztonsági befagyasztás általában 5 és 10 dollár között kerül elhelyezésre és eltávolításra, bár Kaliforniában és néhány más államban a személyazonosság-lopás áldozatai biztonságosan befagyhatnak. Az ingyenes éves hiteljelentések két hivatalos forrása az Egyesült Államok Szövetségi Kereskedelmi Bizottságának Free Credit Reports honlapja és a AnnualCreditReport.com (877-322-8228).

Mivel évente egyszer kérhet ingyenes jelentést a három hitelminősítő ügynökségtől, három hónaponként ingyenes jelentést kaphat a három közül.

Évekkel ezelőtt csalás kísérletének áldozata volt. Később feliratkoztam egy hitelfelügyeleti szolgáltatásra, amely éves díjat számít fel. A szolgáltatás negyedévente teljes jelentéseket küld, és értesítéseket küld, ha egy szervezet a három hitelnyilvántartó ügynökség egyikétől kéri az adataimat. Számomra a megfigyelési szolgáltatás által kínált nyugalom megéri a költséget, bár sokan ezt a hitelminősítést nem tartják szükségesnek.

Az Equifax Pénzügyi Blog "Identity Theft: Adat megsértésének kezelése" oldalon elmagyarázza, mi történik, ha csalásjelzést vagy biztonsági befagyasztást kér. A blog rámutat, hogy ellopott adatait nem használhatja fel a hackerek egy évig vagy annál hosszabb ideig, ezért elengedhetetlen, hogy továbbra is figyelemmel kísérje a hitel tevékenységét.

Mikor van szükség arra, hogy a vállalatok értesítsék az ügyfeleket az adatok megsértéséről?

A Marriott megtagadása, hogy semmilyen részletet ne tudjon nyújtani a Péter elleni lehetséges hack-kísérletekről, nem szokatlan. Az a valószínűsége, hogy kapcsolatba lép egyáltalán, ha egy szervezet elveszíti vagy elveszíti a személyes adatait, attól függ, hogy hol él.

A Nyílt Biztonsági Alapítvány DataLossDB szerint 47 állam jogszabályokat vezetett be, amelyek előírják, hogy a fogyasztókat értesítsék a személyes adatok veszélyeztetettségéről. Mindazonáltal mindössze 12 állam egyesíti a bejelentési kötelezettséget a nyílt nyilvántartással vagy az információs szabadsággal kapcsolatos jogszabályokkal és egy központi hatósággal, mint például a főügyész vagy a fogyasztóvédelmi részleggel, amelyre bejelentették a jogsértéseket.

A szövetségi szabályozás az orvosi adatok megsértésére vonatkozik. 2009 augusztusában az Egyesült Államok Egészségügyi és Emberi Szolgálati Minisztériuma kiadta a Breach Notification szabályt, amely végrehajtja az egészségügyi információs technológia a gazdasági és klinikai egészségre (HITECH) törvény 13402. szakaszait, és vonatkozik a "HIPAA hatálya alá tartozó szervezetekre és üzleti partnereikre". (A HIPAA az 1996. évi egészségbiztosítási hordozhatósági és elszámoltathatósági törvény).

Kapcsolódó történetek

  • Az NSA többször is megsértette az adatvédelmi szabályokat
  • A Hacker nem bűnös 160M hitelkártya lopásában
  • Kína az IBM-t, az Oracle-t, az EMC-t szemléli a lehetséges biztonsági kérdésekben
  • Deja vu újra? DOE a munkavállalóknak: Elrontottak

A 2009-es amerikai újrabefektetési és helyreállítási törvény részeként az Egyesült Államok Szövetségi Kereskedelmi Bizottsága kiadott egy végső megsértési értesítési szabályt az elektronikus egészségügyi információkra vonatkozóan, amely vonatkozik azokra az „értékesítőkre, amelyek online tárolókat biztosítanak, amelyek segítségével az emberek nyomon követhetik az egészségügyi információkat és olyan egységek, amelyek harmadik féltől származó alkalmazásokat kínálnak a személyes egészségügyi nyilvántartásokhoz. "

Nincs olyan szövetségi követelmény, hogy más köz- és magánszervezetek értesítsék a fogyasztókat, ha személyes adataik veszélybe kerültek. A Kongresszusi Kutatási Szolgálat 2010-es "Szövetségi információbiztonsági és adatvédelmi bejelentési törvények" című jelentése (PDF) rámutat arra, hogy az állami adatvédelmi jogszabályok sokkal nagyobb valószínűséggel követelik meg, hogy az állami és magánszemélyek értesítsék azokat a fogyasztókat, akiket esetleg érintett az adatszegés.

Az Állami Államtanácsok Országos Tanácsa áttekintést nyújt az állami biztonsági jogsértésekről szóló törvényekről. A kereszteződéses fogyasztói értesítési útmutató (PDF) magyarázza az egyes államok értesítési követelményeinek részleteit.

A múlt hónapban a Sophos Naked Security blogon Chester Wisniewski a közelmúltbeli változásokat vizsgálta az állami adatvédelmi bejelentési törvényekben, néhány változtatást a jobb és néhány rosszabbra.

A 2005-ös évig négy sikertelen kísérlet után a kongresszus úgy tűnik, hogy egy újabb kísérletet tesz egy átfogó jogsértési törvény elfogadására. Victor Li elmagyarázza a Jogi Intelligencer oldalon, hogy a Ház Energiaügyi és Kereskedelmi Bizottságának kereskedelmi albizottsága az elmúlt hónapban meghallgatta az ügyet, amelyben számos iparági képviselő és magánéleti szakértő tanúskodott.

Az egyik legfontosabb megoldatlan kérdés, hogy egy szövetségi bejelentési törvény felülírja-e az állami törvényeket, vagy kiegészítené a meglévő állami bejelentési követelményeket. Egyrészt a különböző állami bejelentési törvények betartása bürokratikus rémálmat teremt néhány vállalat számára. Másrészről, a magánélet védelmezői félnek, hogy egyetlen szövetségi szabályozás eltörölné a meglévő, államilag megkövetelt fogyasztóvédelmi intézkedéseket.

 

Hagyjuk Meg Véleményét