Kā atbildēt uz paziņojumu par datu pārkāpumiem

Pagājušajā piektdienā lasītājs ar nosaukumu Pēteris sazinājās ar mani par paziņojumu, kas parādījās, kad viņš mēģināja pierakstīties savā Marriott Rewards kontā. Paziņojums norādīja, ka kāds varētu mēģināt ienest kontu un viņam ir jāmaina sava parole. Pēteris uzsāka tiešo tērzēšanu ar Marriott palīdzības dienestu un teica:

"Nesen ir mēģināts iegūt nesankcionētu piekļuvi nelielam skaitam dalībnieku tiešsaistes kontu. Es aicinu jūs apmeklēt Marriott.com un pēc iespējas ātrāk nomainīt savu paroli, lai palīdzētu mums nodrošināt jūsu konta drošību."

Kad Pēteris aģents jautāja, vai viņa konts ir apdraudēts, aģents atteicās sniegt sīkāku informāciju. Tas Pēterim radīja aizdomas un pamatoti. Mēs esam pieraduši pie pikšķerēšanas veida izkrāpšanas, kas cenšas mūs aplaupīt, lai mainītu mūsu pieteikšanās ID un paroles, lai pikšķerētāji varētu tos sagūstīt un pēc tam nozagt mūsu datus.

Veikt iniciatīvu, ja jums ir aizdomas par jūsu personas datiem

Pēteris atbildēja uz Marriott.com drošības paziņojumu tieši tā, kā eksperti iesaka: pirms veikt izmaiņas konta ID vai parolē, apstipriniet paziņojuma autentiskumu. Kā Dennis Schaal šajā mēnesī ziņoja par Skift ceļojumu vietni, Marriott pārtrauca piekļuvi Marriott Rewards kontiem no mobilajām ierīcēm, līdz dalībnieki bija mainījuši savas paroles.

Schaal citē Marriott preses sekretāru, kurš apgalvoja, ka kredītkaršu vai sociālā nodrošinājuma numurus neapdraudēja mēģinājumi, lai gan viņa teica, ka uzņēmumam ir "praktiski neiespējami" noteikt, vai ir pārkāpti konti, un, ja tā, tad kādi.

Kur tas atstāj Pēteri un citus Marriott Rewards biedrus? Vismaz viņi zina, ka brīdinājums bija likumīgs, bet viņi nezina, vai viņiem ir jāveic visi piesardzības pasākumi, nevis vienkārši mainīt Marriott.com paroli.

Pat acīmredzams pirmais solis, lai mainītu potenciāli apdraudēto konta paroli, varētu būt sarežģītāks, nekā tas parādās. Ja esat iestatījis pārlūkprogrammu, lai atcerētos paroles, ierakstītu paroles papīra vai datu failā vai izmantotu paroles pārvaldnieku, šie saraksti būs jāatjaunina.

Lai gan daudzi eksperti iesaka izmantot paroles pārvaldības produktu, piemēram, LastPass, es neesmu pārdots par šo koncepciju. Manuprāt, šie pakalpojumi rada vēl vienu potenciālu mērķi hakeriem. Paroles rakstīšana rada arī problēmas. (Pagājušā gada oktobrī es paskaidroju "Drošs veids, kā pierakstīt savas paroles.")

No 2001. gada decembra amatā ar nosaukumu "Paroles mākslas apgūšana" tika apspriesti paroles vadītāju plusi un mīnusi. Šis ieraksts aprakstīja manu iecienītāko paroli veidojošo tehniku, kurai nav nepieciešams izmantot atsevišķu programmu vai rakstīt paroles uz papīra.

Sāciet ar kaut ko, ko esat jau iegaumējis, piemēram, dziesmu dziesmu, rindu no dzejolis vai brāļu un māsu, brālēnu vai draugu vārdus. Pēc tam izmantojiet šo vārdu otro, trešo vai pēdējo burtu kā savu ieejas frāzi.

Piemēram, ja izvēlaties bērnudārza rindu "Hickory dickory dock, pele paceļ pulksteni, " apvienojiet katra vārda trešo burtu (vai pēdējo burtu vārdiem, kas īsāki par trim burtiem), lai izveidotu savu ieejas frāzi: "ccceunpeo . " Lai iegūtu papildu aizsardzību, sāciet trešo burtu secību ar pēdējo rindas vārdu un beidziet ar pirmo vārdu.

Drošības speciālisti iesaka izmantot atšķirīgu ieejas frāzi katrā vietā, kuru bieži izmantojat. Iepriekš minētā mnemoniskā metode atvieglo unikālu ieejas frāžu izmantošanu dažādās vietās: sāk vai beidz burtu secību ar tā paša numura burtu. Tātad, piemēram, Amazon, iepriekš minētais ieejas frāze būtu "accceunpeo" (sākot ar vārda "Amazon" trešo burtu).

Sekojiet līdzi jūsu kredīta aktivitātei

Pēc tam, kad esat nomainījis paroli, nākamais solis ir noteikt, kādi dati var būt apdraudēti. Pētera gadījumā ir iespējams, ka hakeri piekļūst kredītkartei, kas saistīta ar viņa Marriott Rewards kontu. Acīmredzamā atbilde ir pārraudzīt šī konta turpmākos paziņojumus, lai nodrošinātu, ka netiek parādīti neatļautie maksājumi.

Ja jums ir tiešsaistes piekļuve konta aktivitātei, varat pārbaudīt viltus maksājumus, negaidot, līdz tiek saņemts paziņojums. Daudzi kredītkaršu uzņēmumi ļauj reģistrēties e-pasta vai teksta brīdinājumiem, kad notiek konkrēti darījumi.

Konfidencialitātes tiesību noskaidrošanas centra "Kā rīkoties ar drošības pārkāpumu" lapā ir uzsvērts, cik svarīgi ir nekavējoties apstrīdēt krāpnieciskas nodevas. Ja jūs apstrīdat maksu, uzņēmums, visticamāk, atcels pašreizējo kontu un izsniedz jums jaunu karti un konta numuru.

Savlaicīga ziņošana ir vēl svarīgāka, ja maksājums ir debetkartes kontā, kā paskaidrots Privātuma tiesību pārvaldīšanas centra "Papīrs vai plastmasa: ko tu esi zaudējis?" lappuse. (ĶTR iesaka jums nekad neizmantot vai pat nēsāt debetkartes, jo tām trūkst kredītkaršu aizsardzības.)

Ja ir iespēja nozagt jūsu sociālā nodrošinājuma numuru, zagļi var izmantot SSN, lai atvērtu jaunus kredītus jūsu vārdā. Tāpēc jums ir nepieciešams izvietot krāpšanas brīdinājumu savā kontā vienā no trim kredītiestāžu aģentūrām. Jums regulāri jāpārrauga jūsu kredīta ziņojums.

Lai nodrošinātu papildu aizsardzības līmeni, jūs varat iesaldēt jūsu kredīta kontus, kas liedz ikvienam piekļūt jūsu kredītinformācijai, ja vien jūs to nepārprotami atļaujat. ĶTR drošības pārkāpumu faktu lapā ir informācija, kā sazināties ar kredītiestādēm, lai pieprasītu brīdinājumu par krāpšanu, kā arī par reģistrēšanos vai drošības iesaldēšanu.

Pieprasot brīdinājumu par krāpšanu no vienas ziņotāja aģentūras, uzņēmums sazinās ar pārējām divām aģentūrām. Brīdinājums būs spēkā 90 dienas, lai gan to var atcelt jebkurā laikā vai pagarināt, kamēr tas ir septiņi gadi.

Drošības iesaldēšana parasti maksā no 5 līdz 10 ASV dolāriem, lai tos izvietotu un noņemtu, lai gan Kalifornijā un dažās citās valstīs cietušie identitātes zādzībās var saņemt bezmaksas iesaldēšanu. Divi oficiālie bezmaksas ikgadējo kredīta ziņojumu avoti ir ASV Federālās tirdzniecības komisijas bezmaksas kredītu pārskatu vietne un AnnualCreditReport.com (877-322-8228).

Tā kā jūs varat pieprasīt bezmaksas pārskatu no katras no trim kredītreitingu aģentūrām reizi gadā, jūs varat saņemt bezmaksas ziņojumu no viena no trim ik pēc četriem mēnešiem.

Pirms gadiem es biju krāpšanas mēģinājuma upuris. Pēc tam es pieteicos kredīta uzraudzības dienestam, kas iekasē gada maksu. Pakalpojums reizi ceturksnī nosūta man pilnīgus ziņojumus un brīdinājumus, kad organizācija pieprasa datus no vienas no trim kredītiestāžu aģentūrām. Manuprāt, uzraudzības pakalpojumu piedāvājums ir izdevīgs, lai gan daudzi cilvēki uzskata, ka šāda kredīta uzraudzība nav nepieciešama.

Equifax finansu emuāra "Identitātes zādzība: risināšana ar datu pārkāpumu" lapā ir paskaidrots, kas notiek, ja pieprasāt trauksmes brīdinājumu vai drošības iesaldēšanu. Blogs norāda, ka jūsu nozagtā informācija var tikt izmantota hackers vienu gadu vai ilgāk, tāpēc ir obligāti jāturpina uzraudzīt savu kredīta darbību.

Kad uzņēmumiem ir jāpaziņo klientiem par datu pārkāpumiem?

Marriott atteikums piedāvāt detalizētu informāciju par iespējamo mēģinājumu pret Pēteri nav neparasts. Iespēja, ka ar jums sazināsies, kad organizācija zaudēs vai, iespējams, zaudēs jūsu privāto informāciju, ir atkarīga no tā, kur jūs dzīvojat.

Atbilstoši Open Security Foundation DataLossDB datiem 47 valstis ir pieņēmušas likumus, kas nosaka, ka patērētājiem ir jāinformē par pārkāpumiem, kas apdraud viņu personisko informāciju. Tomēr tikai 12 valstis apvieno paziņošanas prasību ar atklātu ierakstu vai informācijas brīvības tiesību aktiem un centralizētu iestādi, piemēram, ģenerālprokuroru vai patērētāju aizsardzības nodaļu, kurai ziņots par pārkāpumiem.

Federālie noteikumi attiecas uz medicīnisko datu pārkāpumiem. 2009. gada augustā ASV Veselības un cilvēkresursu departaments izdeva noteikumu par pārkāpumu, kas īsteno Veselības informācijas tehnoloģijas ekonomiskās un klīniskās veselības (HITECH) likuma 13402. pantu un attiecas uz "HIPAA aptvertajām vienībām un to biznesa partneriem." (HIPAA ir 1996. gada Veselības apdrošināšanas pārnesamības un atbildības likums).

Saistītie stāsti

  • NSA ir pārkāpusi privātuma noteikumus tūkstošiem reižu, audita konstatē
  • Hacker neuzskata par vainīgu 160M kredītkaršu nozagšanā
  • Ķīna acis IBM, Oracle, EMC pārrunā iespējamos drošības jautājumus
  • Deja vu vēlreiz? DOE darbiniekiem: mēs esam hacked

Kā daļa no 2009. gada Amerikas reinvestīciju un atveseļošanas likuma, ASV Federālā tirdzniecības komisija izdeva galīgo pārkāpumu paziņošanas noteikumu par elektronisko veselības informāciju, kas attiecas uz "pārdevējiem ... kas nodrošina tiešsaistes krātuves, kuras cilvēki var izmantot, lai izsekotu viņu veselības informācijai un vienības, kas piedāvā trešo personu pieteikumus personīgajiem veselības reģistriem. "

Nav nekādas federālas prasības, lai citas publiskās un privātās organizācijas informētu patērētājus, ja viņu personas dati varētu būt apdraudēti. Kongresa Pētniecības dienesta 2010. gada ziņojumā ar nosaukumu "Federālie informācijas drošības un datu pārkāpumu paziņošanas likumi" (PDF) norādīts, ka valsts tiesību akti privātuma jomā daudz biežāk pieprasa, lai valsts un privātie uzņēmumi paziņotu patērētājiem, kurus varētu ietekmēt datu aizsardzības pārkāpums.

Valsts likumdošanas padome sniedz pārskatu par valsts drošības pārkāpumu paziņošanas likumiem. Krustojumu patērētāju informēšanas ceļvedis (PDF) izskaidro katras valsts paziņojuma prasības.

Pagājušajā mēnesī Sophos Naked Security emuārā Chester Wisniewski pārbaudīja jaunākās izmaiņas valsts tiesību aktos par datu pārkāpumiem, dažas izmaiņas labākas un dažas sliktākas.

Pēc četriem neveiksmīgiem mēģinājumiem, kas sākās 2005. gadā, kongress šķiet gatavs vēlreiz mēģināt pieņemt visaptverošu tiesību aktu par pārkāpumiem. Viktors Li paskaidro Juridiskās inteliģences vietnē, ka Parlamenta Enerģētikas un tirdzniecības komitejas tirdzniecības apakškomiteja pagājušajā mēnesī uzklausīja šo jautājumu, kurā liecināja vairāki nozares pārstāvji un privātuma eksperti.

Viens no galvenajiem neatrisinātajiem jautājumiem ir tas, vai federālais paziņošanas likums aizstātu valsts likumus vai papildinātu esošās valsts paziņošanas prasības. No vienas puses, dažādu valsts tiesību aktu ievērošana dažiem uzņēmumiem rada birokrātisku murgu. No otras puses, privātuma aizstāvji baidās, ka vienots federālais regulējums iznīcinās dažus esošos valsts aizsargātos patērētāju aizsardzības pasākumus.

Populārākas Posts

Divas lieliskas ieteikumu vietnes iOS lietotnēm

Kā atteikties no Google "viedākas zvanītāja ID"

5 iemesli, kāpēc jums vajadzētu izmantot Spotify darbvirsmas lietotni

MacOS Sierra universālā starpliktuve ir laba

Meklējiet un notīriet pārlūkprogrammas vēsturi pārlūkā Chrome

Kā paslēpt kioska ikonas uz iOS 5

 

Atstājiet Savu Komentāru