Ako odpovedať na oznámenie o narušení údajov

Minulý piatok sa mi čitateľ Peter spýtal na oznámenie, ktoré sa objavilo, keď sa pokúsil prihlásiť do svojho účtu Marriott Rewards. Oznámenie naznačilo, že sa niekto pokúsil o zničenie účtu a mal by zmeniť svoje heslo. Peter spustil živý rozhovor s pomocníkom Marriott a povedal mu:

"Nedávno sme sa pokúsili o získanie neoprávneného prístupu k malému počtu online účtov členov. Odporúčame Vám navštíviť Marriott.com a čo najskôr zmeniť heslo, ktoré nám pomôže zabezpečiť bezpečnosť Vášho účtu."

Keď sa Peter spýtal agent, či bol jeho účet ohrozený, agent odmietol poskytnúť ďalšie podrobnosti. Toto spôsobilo, že Peter je podozrievavý a správne. Zvykli sme si na podvody typu phishing, ktoré sa nás snažia oklamať zmenou prihlasovacích ID a hesiel, aby ich phiséri mohli zachytiť a potom ukradnúť naše dáta.

Vezmite iniciatívu, keď máte podozrenie, že vaše osobné údaje sú ohrozené

Peter odpovedal na bezpečnostné upozornenie spoločnosti Marriott.com presne tak, ako odborníci odporúčajú: predtým, ako urobíte nejaké zmeny v ID účtu alebo hesle, potvrďte pravosť oznámenia. Ako Dennis Schaal na začiatku tohto mesiaca uviedol na cestovnej kancelárii Skift, spoločnosť Marriott odpojila prístup k účtom Marriott Rewards z mobilných zariadení, až kým ich členovia nezmenia svoje heslá.

Schaal cituje hovorkyňu Marriott, ktorá tvrdila, že žiadna kreditná karta alebo čísla sociálneho zabezpečenia neboli ohrozené pokusmi o hack, hoci uviedla, že je "prakticky nemožné", aby spoločnosť určila, či boli niektoré účty porušené a ak áno, ktoré z nich.

Kde to robí Peter a ostatní členovia Marriott Rewards? Prinajmenšom vedia, že upozornenie bolo legitímne, ale nevedia, či potrebujú prijať nejaké opatrenia, okrem toho, že jednoducho zmenia svoje heslo Marriott.com.

Dokonca aj zrejmý prvý krok zmeny potenciálne ohrozeného hesla účtu môže byť zložitejší, než sa zdá. Ak ste nastavili prehliadač, aby si pamätal heslá, zaznamenal heslá na papieri alebo v dátovom súbore alebo použil správcu hesiel, tieto zoznamy budú musieť byť tiež aktualizované.

Zatiaľ čo mnohí odborníci odporúčajú používať produkt na správu hesiel, ako je LastPass, nie som na koncepte predaný. Pre mňa tieto služby vytvárajú ďalší potenciálny cieľ pre hackerov. Zaznamenávanie hesiel predstavuje aj problémy. (Posledný október som vysvetlil "Bezpečný spôsob, ako si" zapísať "svoje heslá.)

Príspevok z decembra 2001 s názvom "Zvládnutie umenia hesiel" prerokoval klady a zápory správcov hesiel. Tento príspevok opísal moju obľúbenú techniku ​​vytvárania hesiel, ktorá nevyžaduje použitie samostatného programu alebo písanie hesiel na papieri.

Začnite s niečím, čo ste si už zapamätali, ako je textová skladba, linka z básne alebo mená súrodencov, bratrancov alebo priateľov. Potom použite ako svoju prístupovú frázu druhé, tretie alebo posledné písmená týchto slov.

Ak napríklad vyberiete linku pre škôlku "Hickory dickory dock, myš spustí hodiny", kombinujte tretie písmená každého slova (alebo posledné písmeno pre slová kratšie ako tri písmená) a vytvorte si prístupovú frázu: "ccceunpeo . " Pre zvýšenú ochranu spustite tretiu písmenovú sekvenciu s posledným slovom riadku a skončíte prvým slovom.

Odborníci na bezpečnosť odporúčajú, aby ste používali inú prístupovú frázu na každom mieste, ktoré ste často navštevovali. Uvedená mnemotechnická metóda uľahčuje používanie jedinečných prístupových fráz na rôznych miestach: začiatok alebo koniec písmenovej sekvencie s písmenom rovnakého čísla tejto konkrétnej služby. Napríklad v Amazone, vyššie uvedená prístupová fráza by bola "accceunpeo" (začínajúc tretím písmenom slova "Amazon").

Dávajte pozor na vaše kreditné aktivity

Po zmene hesla je ďalším krokom určiť, ktoré údaje mohli byť ohrozené. V prípade Petra je možné, že hackeri pristupovali k kreditnej karte súvisiacej s jeho účtom Marriott Rewards. Zrejmou odpoveďou je sledovanie budúcich výkazov pre tento účet, aby sa zabezpečilo, že sa nezobrazia žiadne neoprávnené poplatky.

Ak máte on-line prístup k aktivite účtu, môžete skontrolovať falošné poplatky bez toho, aby ste čakali na príchod vyhlásenia. Mnohé spoločnosti poskytujúce kreditné karty vám umožňujú prihlásiť sa na e-mailové alebo textové upozornenia vždy, keď sa vyskytnú určité transakcie.

Stránka Clearinghouse "Zásady zabezpečenia ochrany osobných údajov" zdôrazňuje dôležitosť okamžiteho spochybnenia podvodných poplatkov. Keď spochybníte poplatok, spoločnosť pravdepodobne zruší bežný účet a vydá vám novú kartu a číslo účtu.

Včasné oznamovanie je ešte dôležitejšie, ak je poplatok zaúčtovaný na účet debetnej karty, ako je vysvetlené v knihe "Papier alebo plast: Čo máš stratiť?". str. (ČĽR odporúča, aby ste nikdy nepoužili alebo dokonca niesli debetné karty, pretože im chýba ochrana kreditných kariet.)

Ak existuje šanca, že vaše číslo sociálneho poistenia bolo ukradnuté, zlodeji môžu použiť SSN na otvorenie nových kreditných účtov vo vašom mene. Preto musíte na svoje účty podať upozornenie na podvody v jednej z troch agentúr na vykazovanie úverov. Takisto musíte pravidelne monitorovať svoju kreditnú správu.

Ak chcete zvýšiť úroveň ochrany, môžete na svoje kreditné účty zamedziť prístup k vašim kreditným informáciám, pokiaľ to výslovne nepovolíte. Informačný leták o porušovaní bezpečnosti v ČĽR obsahuje informácie na kontaktovanie úverových inštitúcií, aby si vyžiadali upozornenie na podvod a aby sa zaregistrovali alebo zmrazili.

Keď požiadate podozrenie zo spáchania podvodu od jednej spravodajskej agentúry, táto spoločnosť vás bude kontaktovať s ostatnými dvoma agentúrami. Upozornenie bude trvať 90 dní, hoci ho môžete kedykoľvek zrušiť alebo predĺžiť až na sedem rokov.

Bezpečnostné zmrazenie vo všeobecnosti stojí od 5 do 10 dolárov na miesto a odstrániť, aj keď v Kalifornii a niektorých ďalších štátoch, obete identity krádeže môžu získať bezpečné zmrazenie zadarmo. Dva oficiálne zdroje pre bezplatné ročné úverové správy sú stránky americkej Federálnej obchodnej komisie (Free Credit Reports) a AnnualCreditReport.com (877-322-8228).

Pretože môžete požiadať o bezplatnú správu od každej z troch úverových agentúr raz ročne, môžete získať bezplatnú správu od jedného z troch za štyri mesiace.

Pred rokmi som bol obeťou pokusu o podvod. Následne som sa zaregistroval na službu monitorovania úverov, ktorá účtuje ročný poplatok. Služba mi pošle kompletné správy štvrťročne a upozornenia vždy, keď organizácia požiada moje dáta z jednej z troch úverových agentúr. Pre mňa je mier mysle, ktorý ponúka monitorovací servis, stojí za to, hoci mnohí ľudia by zistili, že takéto sledovanie úverov je zbytočné.

Stránky Equifax Finance blogu "Krádež identity: zaobchádzanie s porušením údajov" vysvetľuje, čo sa stane, keď požiadate o podozrenie z podvodu alebo zmrazenie bezpečnosti. Blog upozorňuje na to, že vaše ukradnuté informácie nemusia používať hackeri ani jeden rok alebo viac, takže je nevyhnutné pokračovať v monitorovaní vašej kreditnej činnosti.

Kedy sú spoločnosti povinné informovať zákazníkov o porušeniach údajov?

Odmietanie Marriottu ponúknuť nejaké podrobnosti o možnom pokusu o hack s Petrom nie je nezvyčajné. Pravdepodobnosť, že vás bude kontaktovať vôbec, keď organizácia stratí vaše osobné údaje alebo ich stratila, závisí od toho, kde žijete.

Podľa údajov DataLossDB od Open Security Foundation 47 štátov prijalo zákony vyžadujúce, aby boli spotrebitelia informovaní o porušeniach, ktoré ohrozujú ich osobné informácie. Avšak len 12 štátov spája notifikačnú požiadavku s právnymi predpismi o otvorenej evidencii alebo slobodou informácií a centralizovaným orgánom, ako je generálny prokurátor alebo divízia ochrany spotrebiteľa, na ktoré sa oznamujú porušenia.

Federálne predpisy pokrývajú porušenie zdravotných údajov. V auguste 2009 ministerstvo zdravotníctva a ľudských služieb USA vydalo pravidlo oznamovania porušenia predpisov, ktorým sa vykonáva oddiel 13402 zákona o zdravotníckych informáciách pre hospodárske a klinické zdravie (HITECH) a vzťahuje sa na "subjekty, na ktoré sa vzťahuje HIPAA a ich obchodní partneri". (HIPAA je zákon o prenosnosti a zodpovednosti zdravotného poistenia z roku 1996.)

Súvisiace príbehy

  • NSA porušila pravidlá ochrany osobných údajov tisíckrát, zisťuje audit
  • Hacker sa nehlási za vinné za ukradnutie 160M kreditných kariet
  • Čína očie IBM, Oracle, EMC v súvislosti s možnými bezpečnostnými problémami
  • Deja vu znova? DOE pre pracovníkov: Boli sme zaseknutí

V rámci zákona American Reinvestment and Recovery Act z roku 2009 vydala Federálna obchodná komisia Spojeného kráľovstva konečné oznámenie o porušovaní pravidiel pre elektronické zdravotné informácie, ktoré sa vzťahuje na "dodávateľov ..., ktorí poskytujú online archívy, ktoré môžu ľudia používať na sledovanie svojich zdravotných informácií a subjekty, ktoré ponúkajú aplikácie tretích strán pre osobné zdravotné záznamy. "

Neexistuje žiadna federálna požiadavka, aby iné verejné a súkromné ​​organizácie informovali spotrebiteľov, keď ich osobné údaje mohli byť ohrozené. V správe Kongresovej výskumnej služby za rok 2010 s názvom "Federálne zákony o informačnej bezpečnosti a oznamovaní porušení údajov" (PDF) poukazuje na to, že zákony o ochrane súkromia štátu vyžadujú oveľa väčšiu pravdepodobnosť, že verejné a súkromné ​​subjekty informujú spotrebiteľov, ktorí mohli byť postihnutí porušením údajov.

Národná rada štátnych zákonodarcov poskytuje prehľad zákonov o oznamovaní porušení bezpečnosti štátu. Sprievodca spotrebiteľskými informáciami (PDF) vysvetľuje podrobnosti o požiadavkách na oznamovanie jednotlivých štátov.

Minulý mesiac na blogu Sophos Naked Security Chester Wisniewski skúmal nedávne zmeny zákonov o oznamovaní o narušeniach údajov, niektoré zmeny na lepšie a niektoré na horšie.

Po štyroch neúspešných pokusoch z roku 2005 sa zdá, že Kongres je pripravený urobiť ďalší pokus o prijatie komplexného zákona o oznamovaní porušení. Victor Li vysvetľuje na stránke právneho spravodajcu, že obchodný podvýbor Výboru pre energetiku a obchodné veci sa zaoberal minulý mesiac na vypočutí, na ktorom svedčili viacerí zástupcovia priemyslu a experti na ochranu súkromia.

Jedným z hlavných nevyriešených otázok je, či federálny zákon o oznamovaní nahrádza štátne zákony alebo dopĺňa existujúce požiadavky na oznamovanie štátu. Na jednej strane dodržiavanie rôznych zákonov o štátnom oznamovaní vytvára pre niektoré spoločnosti byrokratickú nočnú moru. Na druhej strane sa obhajcovia ochrany súkromia obávajú, že jediné federálne nariadenie by zničilo niektoré existujúce štátom chránené ochrany spotrebiteľov.

Populárne Príspevky

Performance showdown: Windows 7 vs. Snow Leopard

Ako bezpečne chodiť počas používania zariadenia Android

BlinkMail pomáha usporiadať e-maily z panela s ponukami Mac

Nová ozvena Amazon? 6 základných tipov, ktoré potrebujete vedieť

Ako migrovať svoj bezplatný účet SugarSync do inej služby

Štyri spôsoby, ako bojovať proti novému systému komentárov služby YouTube

 

Zanechajte Svoj Komentár