Kako odgovoriti na obavijest o kršenju podataka

Prošlog petka, čitatelj po imenu Peter kontaktirao me je za obavijest koja se pojavila kada se pokušao prijaviti na svoj račun za Marriott Rewards. U obavijesti je naznačeno da je netko možda pokušao hakirati račun i da promijeni lozinku. Peter je pokrenuo chat uživo s Marriottovim centrom za pomoć i rekao je sljedeće:

"Nedavno su se pokušavali neovlašteno pristupiti malom broju mrežnih računa članova. Pozivam vas da posjetite Marriott.com i promijenite zaporku što je prije moguće kako biste nam pomogli u osiguravanju sigurnosti vašeg računa."

Kada je Peter pitao agenta je li njegov račun kompromitiran, zastupnik je odbio dati bilo kakve dodatne pojedinosti. Peter je bio sumnjičav i s pravom. Navikli smo se na prevare u svrhu krađe identiteta koje nas pokušavaju prevariti da promijenimo naše ID-ove za prijavu i lozinke kako bi ih fizičari mogli uhvatiti i zatim ukrasti naše podatke.

Poduzmite inicijativu kada sumnjate da su vaši osobni podaci u opasnosti

Peter je odgovorio na sigurnosnu obavijest tvrtke Marriott.com točno onako kako to stručnjaci preporučuju: prije nego što napravite bilo kakve izmjene u ID-u računa ili lozinki, potvrdite autentičnost obavijesti. Kao što je Dennis Schaal ranije ovog mjeseca izvijestio o stranicama Skift travel, Marriott je prekinuo pristup računima Marriott Rewards s mobilnih uređaja sve dok članovi nisu promijenili svoje lozinke.

Schaal citira glasnogovornicu Marriott koja je tvrdila da kreditne kartice ili brojevi socijalnog osiguranja nisu kompromitirani pokušajima hakiranja, iako je rekla da je "gotovo nemoguće" za tvrtku da utvrdi jesu li prekršeni neki računi i, ako da, koji.

Gdje to ostavlja Petra i ostale članove Marriottove nagrade? Barem znaju da je upozorenje legitimno, ali ne znaju trebaju li poduzeti bilo kakve mjere predostrožnosti osim što jednostavno mijenjaju svoju lozinku za Marriott.com.

Čak i očigledan prvi korak promjene zaporke potencijalno ugroženog računa može biti kompliciranija nego što se čini. Ako ste postavili svoj preglednik da zapamti vaše lozinke, zabilježio vaše lozinke na papiru ili u podatkovnoj datoteci ili upotrijebio upravitelja zaporki, te će se popise morati ažurirati.

Dok mnogi stručnjaci preporučuju korištenje proizvoda za upravljanje lozinkama, kao što je LastPass, nisam prodan na konceptu. Za mene, takve usluge stvaraju još jednu potencijalnu metu za hakere. Zapisivanje vaših lozinki također predstavlja problem. (Prošlog listopada, objasnio sam "Siguran način da" zapišete "svoje zaporke.")

Post od prosinca 2001 pod naslovom "Mastering the art of passwords" govorio je o prednostima i manama upravitelja lozinki. Taj post opisuje moju omiljenu tehniku ​​stvaranja lozinke, koja ne zahtijeva korištenje zasebnog programa ili pisanje lozinki na papiru.

Počnite s nečim što ste već zapamtili, kao što su tekst pjesme, redak iz pjesme ili imena braće i sestara, rođaka ili prijatelja. Zatim upotrijebite drugo, treće ili posljednje slovo tih riječi kao svoju zaporku.

Na primjer, ako odaberete liniju za dječju pjesmu "Hickory dickory dock, miš je trčao satom", kombinirajte treća slova svake riječi (ili posljednje slovo za riječi kraće od tri slova) da biste stvorili svoju zaporku: "ccceunpeo „. Za dodatnu zaštitu pokrenite slijed trećeg slova s ​​posljednjom riječju retka i završite s prvom riječju.

Stručnjaci za sigurnost preporučuju da na svakoj web-lokaciji koju često posjećujete koristite drugu zaporku. Navedena mnemonička metoda olakšava korištenje jedinstvenih lozinki na različitim mjestima: započnite ili završite slijed slova s ​​istim brojem slova te određene usluge. Tako na primjer u Amazonu, gornja fraza bi bila "accceunpeo" (počevši od trećeg slova riječi "Amazon").

Pazi na kreditnu aktivnost

Nakon što promijenite zaporku, sljedeći korak je utvrditi koji su podaci možda ugroženi. U slučaju Petera, moguće je da su hakeri pristupili kreditnoj kartici povezanoj s njegovim računom Marriott Rewards. Očigledan odgovor je praćenje budućih izjava za taj račun kako bi se osiguralo da se ne pojavljuju neovlaštene optužbe.

Ako imate mrežni pristup aktivnosti računa, možete provjeriti lažne pristojbe bez čekanja da stignete. Mnoge tvrtke koje se bave kreditnim karticama omogućuju vam da se prijavite za e-poštu ili tekstualna upozorenja kad god se dogode određene transakcije.

Stranica za prava privatnosti Clearinghousea "Kako se nositi s sigurnosnim kršenjem" naglašava važnost osporavanja lažnih optužbi odmah. Kada osporite naknadu, tvrtka će vjerojatno otkazati tekući račun i izdati vam novu karticu i broj računa.

Pravovremeno izvješćivanje je još važnije ako se tereti za račun debitne kartice, kao što je objašnjeno u "Papir ili plastika: što imate izgubiti?" stranica. (PRC preporučuje da nikada ne koristite ili čak nosite debitne kartice jer im nedostaje zaštita kreditnih kartica.)

Ako postoji mogućnost da je vaš broj socijalnog osiguranja ukraden, lopovi mogu koristiti SSN za otvaranje novih kreditnih računa na vaše ime. Zbog toga morate upozoriti na prijevare na svojim računima kod jedne od tri agencije za izvještavanje o kreditima. Također trebate redovito pratiti svoje kreditno izvješće.

Za dodatnu razinu zaštite, možete staviti sigurnosno zamrzavanje na kreditne račune koji sprječava bilo koga da pristupi podacima o Vašoj kreditnoj kartici, osim ako to izričito ne dopustite. PRC's Security Breach Fact Sheet ima informacije za kontaktiranje kreditnih ureda da zatraže upozorenje za prijevaru i za prijavu ili zamrzavanje sigurnosti.

Kada zatražite upozorenje o prijevarama od jedne agencije za izvješćivanje, ta će vam tvrtka kontaktirati druge dvije agencije. Upozorenje će biti na snazi ​​90 dana, iako ga možete otkazati u bilo kojem trenutku ili produžiti za sedam godina.

Sigurnosno zamrzavanje općenito košta od $ 5 do $ 10 do mjesta i uklanjanja, iako u Kaliforniji i nekim drugim državama, žrtve krađe identiteta mogu dobiti besplatno zamrzavanje sigurnosti. Dva službena izvora besplatnih godišnjih kreditnih izvješća su US Federal Trade Commission Free Credit Reports site i AnnualCreditReport.com (877-322-8228).

Budući da možete zatražiti besplatno izvješće svake od tri agencije za izvještavanje o kreditima jednom godišnje, možete dobiti besplatno izvješće od jednog od tri svaka četiri mjeseca.

Prije mnogo godina, bio sam žrtva pokušaja prijevare. Nakon toga sam se prijavio za uslugu kreditnog praćenja koja naplaćuje godišnju naknadu. Usluga mi šalje tromjesečna izvješća i upozorenja kad god organizacija zatraži moje podatke od jedne od tri agencije za izvješćivanje o kreditima. Za mene, mir koji nudi usluga praćenja vrijedi troška, ​​iako bi mnogi smatrali da je takvo praćenje kredita nepotrebno.

Blog "Krađa identiteta: rješavanje problema s podacima" objašnjava što se događa kada zatražite upozorenje o prijevarama ili zamrzavanje sigurnosti. Na blogu se ističe da vaše ukradene informacije hakeri ne smiju koristiti godinu dana ili više, pa je nužno nastaviti s praćenjem vaše kreditne aktivnosti.

Kada su tvrtke obvezne obavijestiti kupce o kršenjima podataka?

Marriottovo odbijanje da ponudi bilo kakve pojedinosti o mogućem pokušaju hakiranja protiv Petera nije neobično. Vjerojatnost da ćete uopće biti kontaktirani kada neka organizacija izgubi ili možda izgubi vaše privatne podatke ovisi o tome gdje živite.

Prema DataLossDB-u Open Security Foundationa, 47 država je donijelo zakone koji zahtijevaju da potrošači budu obaviješteni o kršenjima koja ugrožavaju njihove osobne podatke. Međutim, samo 12 država kombinira zahtjev za obavješćivanjem s otvorenim dokumentima ili zakonodavstvom o slobodi pristupa informacijama i centraliziranom tijelu, kao što je državni odvjetnik ili odjel za zaštitu potrošača, o kojem se izvješćuje o kršenjima.

Federalni propisi pokrivaju kršenje medicinskih podataka. U kolovozu 2009, US Department of Health and Human Services izdao Pravilo kršenja obavijesti, koji provodi odjeljak 13402 Zakona o zdravstvenoj informacijskoj tehnologiji za ekonomsko i kliničko zdravlje (HITECH) i primjenjuje se na "HIPAA pokrivene subjekte i njihove poslovne suradnike". (HIPAA je Zakon o prenosivosti i odgovornosti za zdravstveno osiguranje iz 1996.)

Povezane priče

  • NSA je tisućama puta kršila pravila o privatnosti, otkriva revizor
  • Haker ne priznaje krivnju za krađu kreditnih kartica od 160 milijuna kuna
  • Kina vidi IBM, Oracle, EMC zbog mogućih sigurnosnih pitanja
  • Deja vu sve opet? DOE radnicima: Hakirani smo

Kao dio američkog Zakona o ponovnom ulaganju i oporavku iz 2009. godine, američka savezna komisija za trgovinu izdala je konačno pravilo za kršenje obavijesti o elektroničkim zdravstvenim podacima koje se odnosi na "dobavljače ... koji osiguravaju online repozitorije koje ljudi mogu koristiti za praćenje svojih zdravstvenih informacija i subjekti koji nude aplikacije treće strane za osobne zdravstvene evidencije. "

Ne postoji federalni zahtjev da druge javne i privatne organizacije obavijeste potrošače kada su njihovi osobni podaci možda ugroženi. Izvješće Kongresnog istraživačkog servisa za 2010. pod naslovom "Federalni zakoni o informatičkoj sigurnosti i kršenju obavijesti o podacima" (PDF) ističe da će zakoni o zaštiti privatnosti u zemlji mnogo češće zahtijevati da javni i privatni subjekti obavijeste potrošače koji su možda bili pogođeni povredom podataka.

Nacionalno vijeće državnih zakonodavaca daje pregled zakona o obavješćivanju o kršenjima državne sigurnosti. Vodič za obavješćivanje potrošača (PDF) o raskršću objašnjava pojedinosti zahtjeva za obavješćivanjem svake države.

Prošlog mjeseca na blogu Sophos Naked Security Chester Wisniewski ispitao je nedavne promjene u zakonima o obavješćivanju o kršenju državnih podataka, neke promjene za bolje, a neke za lošije.

Nakon četiri neuspješna pokušaja iz 2005. godine, čini se da je Kongres spreman napraviti još jedan pokušaj donošenja sveobuhvatnog zakona o prijavljivanju kršenja. Victor Li objašnjava na web stranici Legal Intelligencer da je podkomisija Odbora za energetiku i trgovinu kuće razmotrila to pitanje na saslušanju prošlog mjeseca na kojem je svjedočilo nekoliko predstavnika industrije i stručnjaka za privatnost.

Jedno od glavnih neriješenih pitanja je da li će federalni zakon o prijavljivanju zamijeniti državne zakone ili nadopuniti postojeće zahtjeve za obavješćivanjem države. S jedne strane, poštivanje različitih zakona o državnim obavijestima za neke tvrtke stvara birokratsku noćnu moru. S druge strane, zagovornici privatnosti strahuju da bi jedinstvena federalna regulativa izbrisala neke postojeće državne zaštite potrošača.

Popularni Postovi

Neka vaša djeca ne kupuju kroz Amazon Echo

Kako postaviti i optimizirati svoj potpuno novi iPad

Sakrij komentare usluge YouTube s proširenjem za Chrome

Kako dati dar VR

Kako dodati više prostora za pohranu na iPhone ili iPad

Upravljajte animacijama u Keynoteu

 

Ostavite Komentar