Jak reagować na powiadomienia o naruszeniu ochrony danych

W zeszły piątek czytelnik o imieniu Peter skontaktował się ze mną w sprawie zawiadomienia, które pojawiło się, gdy próbował zalogować się na swoje konto Marriott Rewards. Powiadomienie wskazywało, że ktoś próbował włamać się na konto i powinien zmienić swoje hasło. Peter zainicjował czat na żywo z działem pomocy Marriott i otrzymał następujące informacje:

"Niedawno podjęto próby uzyskania nieautoryzowanego dostępu do niewielkiej liczby kont internetowych członków. Zachęcam do odwiedzenia witryny Marriott.com i jak najszybszej zmiany hasła, aby pomóc nam w zapewnieniu bezpieczeństwa konta."

Gdy Peter zapytał agenta, czy jego konto zostało naruszone, agent odmówił podania dalszych szczegółów. Sprawiło to Peter podejrzliwość i słusznie. Przyzwyczailiśmy się do oszustw phishingowych, które próbują namówić nas do zmiany naszych identyfikatorów logowania i haseł, aby phisherzy mogli je przechwycić, a następnie wykraść nasze dane.

Podejmij inicjatywę, gdy podejrzewasz, że Twoje dane osobowe są zagrożone

Peter odpowiedział na powiadomienie bezpieczeństwa Marriott.com dokładnie tak, jak zalecają eksperci: przed dokonaniem jakichkolwiek zmian w ID konta lub haśle, potwierdź autentyczność zawiadomienia. Jak poinformował Dennis Schaal na początku tego miesiąca na stronie Travel Skift, Marriott odciął dostęp do kont Marriott Rewards z urządzeń mobilnych, dopóki członkowie nie zmienili swoich haseł.

Schaal cytuje rzeczniczkę Marriott, która nie zażądała żadnych kart kredytowych lub numery ubezpieczenia społecznego zostały zagrożone przez próby włamania, chociaż powiedziała, że ​​"praktycznie niemożliwe" dla firmy jest ustalenie, czy jakiekolwiek konta zostały naruszone, a jeśli tak, to które.

Gdzie to pozostawia Petera i innych członków Marriott Rewards? Przynajmniej wiedzą, że alert był zgodny z prawem, ale nie wiedzą, czy muszą podjąć wszelkie środki ostrożności poza zwykłą zmianą hasła do Marriott.com.

Nawet oczywisty pierwszy krok do zmiany hasła potencjalnie zagrożonego konta może być bardziej skomplikowany, niż się wydaje. Jeśli ustawiłeś przeglądarkę tak, aby pamiętała twoje hasła, zapisywała hasła na papierze lub w pliku danych lub używała menedżera haseł, te listy również będą musiały zostać zaktualizowane.

Podczas gdy wielu ekspertów zaleca używanie produktów do zarządzania hasłami, takich jak LastPass, nie jestem sprzedawany na tej koncepcji. Dla mnie takie usługi stanowią kolejny potencjalny cel dla hakerów. Zapisywanie haseł również stanowi problem. (W październiku wyjaśniłem "Bezpieczny sposób na" zapisywanie "swoich haseł.")

Post z grudnia 2001 roku zatytułowany "Mastering the art of passwords" omawia zalety i wady haseł. Ten post opisał moją ulubioną technikę tworzenia hasła, która nie wymaga używania osobnego programu lub pisania haseł na papierze.

Zacznij od czegoś, co już zapamiętałeś, na przykład liryczny utwór, wiersz z wiersza lub nazwiska rodzeństwa, kuzynów lub przyjaciół. Następnie użyj drugiej, trzeciej lub ostatniej litery tych słów jako swojego hasła.

Na przykład, jeśli wybierzesz linię do rymowanek "Hickory dickory dock, mysz uruchomiła zegar", połącz trzecie litery każdego słowa (lub ostatnią literę dla słów krótszych niż trzy litery), aby utworzyć hasło: "ccceunpeo . " Dla dodatkowej ochrony, rozpocznij sekwencję trzeciej litery od ostatniego słowa linii i kończ z pierwszym słowem.

Eksperci ds. Bezpieczeństwa zalecają stosowanie różnych haseł w każdej często odwiedzanej witrynie. Powyższa metoda mnemoniczna ułatwia użycie unikalnych haseł w różnych lokalizacjach: rozpoczynaj lub kończ sekwencję liter z literą o tej samej liczbie dla danej usługi. Na przykład w Amazon, powyższe hasło będzie "accceunpeo" (zaczynając od trzeciej litery słowa "Amazon").

Uważnie obserwuj swoją aktywność kredytową

Po zmianie hasła następnym krokiem jest ustalenie, jakie dane mogły zostać naruszone. W przypadku Petera możliwe, że hakerzy uzyskali dostęp do karty kredytowej powiązanej ze swoim kontem Marriott Rewards. Oczywistą reakcją jest monitorowanie przyszłych wyciągów dla tego konta, aby uniknąć pojawienia się nieautoryzowanych obciążeń.

Jeśli masz dostęp online do aktywności na koncie, możesz sprawdzić fałszywe opłaty bez czekania na nadejście wyciągu. Wiele firm obsługujących karty kredytowe pozwala na rejestrację wiadomości e-mail lub alertów tekstowych, gdy tylko wystąpią określone transakcje.

Strona "Zasady postępowania w przypadku naruszenia zasad bezpieczeństwa" serwisu Privacy Rights Clearinghouse od razu podkreśla wagę kwestionowania nieuczciwych opłat. Kiedy kwestionujesz opłatę, firma prawdopodobnie anuluje bieżące konto i wyda Ci nową kartę i numer konta.

Terminowe raportowanie jest jeszcze ważniejsze, jeśli opłata dotyczy konta karty debetowej, zgodnie z wyjaśnieniem w dokumencie "Privacy and Clearinghouse" w programie Paper Rights: Co masz do stracenia? strona. (ChRL zaleca, aby nigdy nie używać kart debetowych, a nawet ich nie mieć, ponieważ brakuje im zabezpieczeń kart kredytowych).

Jeśli istnieje szansa, że ​​Twój numer ubezpieczenia społecznego został skradziony, złodzieje mogą użyć SSN, aby otworzyć nowe konta kredytowe na twoje nazwisko. Właśnie dlatego musisz umieścić alert oszustwa na swoich kontach w jednej z trzech agencji raportujących. Musisz również regularnie monitorować swój raport kredytowy.

Aby zapewnić wyższy poziom ochrony, możesz zablokować bezpieczeństwo na swoich kontach kredytowych, co uniemożliwi każdemu dostęp do informacji kredytowych, chyba że na to wyraźnie zezwolisz. Arkusz informacyjny Chief Security Breach zawiera informacje umożliwiające skontaktowanie się z biurami kredytowymi w celu zażądania powiadomienia o oszustwie i rejestracji lub zamrożeniu zabezpieczeń.

Gdy zażądasz powiadomienia o oszustwie od jednej agencji raportującej, ta firma skontaktuje się z tobą za pośrednictwem dwóch pozostałych agencji. Powiadomienie będzie obowiązywać przez 90 dni, ale możesz je anulować w dowolnej chwili lub przedłużyć do siedmiu lat.

Zamrożenie zabezpieczeń kosztuje zazwyczaj od 5 do 10 dolarów za umieszczenie i usunięcie, chociaż w Kalifornii i niektórych innych państwach ofiara kradzieży tożsamości może uzyskać zamrożenie bezpieczeństwa za darmo. Dwa oficjalne źródła darmowych rocznych raportów kredytowych to strona raportów kredytowych Federalnej Komisji Handlu Stanów Zjednoczonych oraz AnnualCreditReport.com (877-322-8228).

Ponieważ możesz zamówić bezpłatny raport od każdej z trzech agencji zajmujących się raportami kredytowymi raz w roku, możesz otrzymać bezpłatny raport od jednej z trzech co cztery miesiące.

Wiele lat temu padłem ofiarą próby oszustwa. Następnie podpisałem umowę na usługę monitorowania kredytu, która pobiera roczną opłatę. Usługa wysyła mi pełne raporty kwartalne i alarmuje, gdy organizacja prosi o moje dane z jednej z trzech agencji raportujących. Dla mnie spokój usług monitoringu jest wart wydatku, chociaż wiele osób uznałoby takie monitorowanie kredytu za niepotrzebne.

W artykule "Kradzież tożsamości: poradzenie sobie z naruszeniem danych" na blogu Equifax Finance Blog wyjaśniono, co się stanie, gdy zażądasz ostrzeżenia o oszustwie lub zamrożeniu zabezpieczeń. Blog wskazuje, że twoje skradzione informacje nie mogą być wykorzystywane przez hakerów przez rok lub dłużej, więc konieczne jest dalsze monitorowanie Twojej działalności kredytowej.

Kiedy firmy są zobowiązane do powiadamiania klientów o naruszeniu bezpieczeństwa danych?

Odmowa Marca, by przedstawić jakiekolwiek szczegóły dotyczące możliwej próby włamania się do Petera, nie jest niczym niezwykłym. Prawdopodobieństwo, że skontaktujesz się w ogóle, gdy organizacja utraci lub może utracić prywatne dane, zależy od tego, gdzie mieszkasz.

Według danych DataLossDB Open Security Foundation 47 stanów wprowadziło przepisy wymagające informowania konsumentów o naruszeniach, które narażają ich dane osobowe. Jednak tylko 12 państw łączy wymóg zgłaszania z aktami prawnymi o jawności i wolności informacji oraz scentralizowanym organem, takim jak prokurator generalny lub dział ochrony konsumentów, w którym zgłaszane są przypadki naruszenia.

Przepisy federalne obejmują naruszenia danych medycznych. W sierpniu 2009 r. Departament Zdrowia i Opieki Społecznej USA wydał zasadę powiadamiania o naruszeniach, która wdraża sekcję 13402 ustawy o technologii informacyjnej w zakresie zdrowia i zdrowia klinicznego (HITECH) i ma zastosowanie do "podmiotów objętych HIPAA i ich partnerów biznesowych". (HIPAA to ustawa o przenośności i odpowiedzialności w zakresie ubezpieczeń zdrowotnych z 1996 r.)

Powiązane historie

  • NSA kilkakrotnie narusza zasady prywatności, stwierdza audyt
  • Haker nie przyznaje się do kradzieży 160 milionów kart kredytowych
  • Chiny patrzą na IBM, Oracle, EMC na potencjalne problemy z bezpieczeństwem
  • Deja vu od nowa? DOE dla pracowników: Zostaliśmy zhakowani

W ramach amerykańskiej ustawy o reinwestycji i odzyskiwaniu z 2009 r. Amerykańska Federalna Komisja ds. Handlu wydała ostateczną zasadę powiadamiania o informacjach o zdrowiu, która dotyczy "sprzedawców ..., którzy udostępniają repozytoria online, z których ludzie mogą korzystać w celu śledzenia swoich informacji zdrowotnych oraz podmioty, które oferują aplikacje osób trzecich do osobistej dokumentacji medycznej. "

Nie ma wymogu federalnego, aby inne organizacje publiczne i prywatne powiadomiły konsumentów, gdy ich dane osobowe mogły zostać naruszone. Raport Kongresowej Służby Badawczej z 2010 r. Zatytułowany "Przepisy federalnego bezpieczeństwa informacji i powiadamiania o naruszeniach danych" (PDF) wskazuje, że krajowe przepisy dotyczące prywatności znacznie częściej wymagają, aby podmioty publiczne i prywatne powiadomiły konsumentów, którzy mogli zostać dotknięci naruszeniem bezpieczeństwa danych.

Krajowa Rada Państwowa przedstawia przegląd przepisów dotyczących powiadomień o naruszeniu bezpieczeństwa państwa. W przewodniku powiadomień dla klientów Intersections (PDF) objaśniono szczegóły dotyczące wymagań dotyczących powiadomień każdego państwa.

W zeszłym miesiącu na blogu Sophos Naked Security, Chester Wiśniewski przeanalizował ostatnie zmiany w przepisach dotyczących powiadomień o naruszeniach danych, pewne zmiany na lepsze i inne na gorsze.

Po czterech nieudanych próbach sięgających 2005 r. Kongres wydaje się gotowy do podjęcia kolejnej próby uchwalenia kompleksowej ustawy o naruszaniu prawa. Victor Li wyjaśnia na stronie Legal Intelligencer, że podkomisja ds. Gospodarczych Izb Energetycznych i Handlowych podjęła tę kwestię podczas przesłuchania w zeszłym miesiącu, podczas którego zeznawali przedstawiciele branży i eksperci ds. Prywatności.

Jednym z głównych nierozstrzygniętych kwestii jest to, czy federalna ustawa o notyfikacji zastąpiłaby prawo stanowe lub uzupełniła istniejące wymogi dotyczące powiadomień o stanie. Z jednej strony stosowanie się do różnych przepisów o notyfikacji państwowej stanowi biurokratyczny koszmar dla niektórych firm. Z drugiej strony zwolennicy ochrony prywatności obawiają się, że jedna federalna regulacja wymazałaby niektóre obowiązujące państwowe zabezpieczenia konsumenckie.

Popularne Wiadomości

Najlepsze sposoby na sprzedaż lub handel Wii U lub 3DS

Dziewięć wskazówek, jak unikać snafu

Otwórz URL w Chrome na iOS przy użyciu mobilnego Safari

Przypomnij mi przez Astrid pomaga zaplanować odpowiedzi w Gmailu

5 sposobów na uporządkowanie swojego kanału informacyjnego na Facebooku

Jak terapia światłem może walczyć z jet lag, bezsennością i depresją

 

Zostaw Swój Komentarz