Kaip reaguoti į pranešimą apie pažeidimą

Praėjusį penktadienį skaitytojas Peteris susisiekė su manimi apie pranešimą, kuris pasirodė, kai jis bandė prisijungti prie „Marriott Rewards“ paskyros. Pranešime nurodyta, kad kažkas galėjo bandyti įsilaužti sąskaitą ir jis turėtų pakeisti savo slaptažodį. Petras pradėjo pokalbį su „Marriott“ pagalbos tarnyba ir jam pranešė:

„Neseniai buvo bandoma gauti neteisėtą prieigą prie nedidelio narių narių paskyrų skaičiaus. Raginu jus aplankyti„ Marriott.com “ir kuo greičiau pakeisti slaptažodį, kad padėtų mums užtikrinti paskyros saugumą.“

Kai Petras paklausė agento, ar jo sąskaita buvo pažeista, agentas atsisakė pateikti daugiau informacijos. Dėl to Petras įtartinas ir teisingai. Mes pripratome prie sukčiavimo sukčiavimo, kuris bando mus apgauti, kad galėtume pakeisti mūsų prisijungimo ID ir slaptažodžius, kad sukčiai galėtų juos užfiksuoti ir tada pavogti mūsų duomenis.

Imtis iniciatyvos, kai įtariate, kad jūsų asmens duomenys yra pavojingi

Peter atsakė į „Marriott.com“ saugumo pranešimą, kaip rekomendavo ekspertai: prieš atlikdami bet kokius paskyros ID ar slaptažodžio pakeitimus, patvirtinkite pranešimo autentiškumą. Kaip Dennis Schaal šį mėnesį pranešė apie „Skift“ kelionių svetainę, „Marriott“ nutraukė prieigą prie „Marriott Rewards“ sąskaitų iš mobiliųjų įrenginių, kol nariai pakeitė savo slaptažodžius.

Schaal cituoja „Marriott“ atstovę spaudai, kuris teigė, kad kredito kortelės ar socialinio draudimo numeriai nebuvo pažeisti, nors ji sakė, kad „praktiškai neįmanoma“ nustatyti, ar buvo pažeistos sąskaitos, ir jei taip, kokie.

Kur tai palieka Petrą ir kitus „Marriott Rewards“ narius? Bent jau jie žino, kad perspėjimas buvo teisėtas, tačiau jie nežino, ar jiems reikia imtis atsargumo priemonių, o ne tik pakeisti „Marriott.com“ slaptažodį.

Net ir akivaizdus pirmasis žingsnis keičiant potencialiai pažeistą paskyros slaptažodį gali būti sudėtingesnis nei atrodo. Jei nustatėte naršyklę, kad prisimintumėte savo slaptažodžius, įrašėte slaptažodžius popieriuje arba duomenų faile arba naudosite slaptažodžių valdytoją, šie sąrašai taip pat turės būti atnaujinti.

Nors daugelis ekspertų rekomenduoja naudoti slaptažodžių valdymo produktą, pvz., „LastPass“, nesu parduodamas šioje koncepcijoje. Man tokios paslaugos sukuria dar vieną galimą tikslą įsilaužėliams. Slaptažodžių rašymas taip pat kelia problemų. (Praėjusių metų spalio mėn. Paaiškinau „Saugus būdas„ užsirašyti “slaptažodžius.)

Nuo 2001 m. Gruodžio mėn. Paskelbtas pranešimas „Slaptažodžių meno įsisavinimas“ aptarė slaptažodžių valdytojų privalumus ir trūkumus. Šis pranešimas apibūdino mano mėgstamą slaptažodžių kūrimo techniką, kuriai nereikia naudoti atskiros programos arba rašyti slaptažodžius popieriuje.

Pradėkite nuo to, ką jau įsiminėte, pvz., Dainų tekstą, eilutę iš eilėraščio arba brolių ir seserų, pusbrolių ar draugų vardus. Tada naudokite antrą, trečią ar paskutinę šių žodžių raides kaip slaptafrazę.

Pvz., Jei pasirenkate „Hickory dickory dock, medžioklės laikrodžio liniją, pelė bėga iki laikrodžio, “ sujunkite kiekvieno žodžio trečiąsias raides (arba paskutinę raidę trumpesnėms nei trijoms raidėms), kad sukurtumėte slaptafrazę: „ccceunpeo . " Norėdami gauti papildomą apsaugą, paleiskite trečiosios raidės seką su paskutiniu eilutės žodžiu ir baigkite pirmuoju žodžiu.

Saugumo ekspertai rekomenduoja, kad kiekvienoje vietoje, kurioje dažnai lankotės, naudojate kitą slaptafrazę. Pirmiau minėtas metodas padeda naudoti unikalias slaptažodžius įvairiose vietose: pradėkite arba nutraukite raidžių seką su tos pačios paslaugos tos pačios numerio raidėmis. Pavyzdžiui, „Amazon“, pirmiau minėta slaptafrazė būtų „accceunpeo“ (pradedant nuo trečiosios raidės „Amazon“).

Stebėkite savo kredito veiklą

Pakeitus slaptažodį, kitas žingsnis yra nustatyti, kokie duomenys gali būti pažeisti. Petro atveju gali būti, kad įsilaužėliai pasiekė kredito kortelę, susijusią su jo „Marriott Rewards“ paskyra. Akivaizdus atsakymas yra stebėti būsimus šios paskyros pareiškimus, siekiant užtikrinti, kad nebūtų rodomi neteisėti mokesčiai.

Jei turite prieigą prie paskyros paskyros, galite patikrinti, ar nėra klaidingų mokesčių, nelaukiant, kol bus gautas pareiškimas. Daugelis kredito kortelių kompanijų leidžia jums užsiregistruoti el.

„Privacy Rights Clearinghouse“ puslapyje „Kaip elgtis su saugumo pažeidimų“ pabrėžiama, kad svarbu nedelsiant ginčyti apgaulingus mokesčius. Ginčydami mokestį, bendrovė tikriausiai panaikins einamąją sąskaitą ir išduos naują kortelę bei sąskaitos numerį.

Savalaikis ataskaitų teikimas yra dar svarbesnis, jei mokestis yra debetinės kortelės sąskaitoje, kaip paaiškinta „Privacy Rights Clearinghouse“ „Paper and Plastic: Ką turėjote prarasti“? puslapyje. (KLR rekomenduoja niekada nenaudoti ar net nešioti debeto kortelių, nes trūksta kredito kortelių apsaugos.)

Jei yra pavojus, kad jūsų socialinio draudimo numeris buvo pavogtas, vagys gali naudoti SSN, kad jūsų vardu būtų atidarytos naujos kredito sąskaitos. Štai kodėl jums reikia pateikti įspėjimą apie sukčiavimą vienoje iš trijų kredito agentūrų. Jūs taip pat turite reguliariai stebėti savo kredito ataskaitą.

Jei norite užtikrinti papildomą apsaugos lygį, savo kredito sąskaitose galite užšaldyti apsaugą, kad niekas negalėtų pasiekti kredito informacijos, nebent tai aiškiai leisite. KLR saugumo pažeidimo informaciniame lape pateikiama informacija, kaip susisiekti su kredito biurais, kad būtų prašoma įspėti apie sukčiavimą ir užsiregistruoti arba užšaldyti.

Kai prašote pranešti apie sukčiavimo atvejį iš vienos atskaitingos agentūros, ta bendrovė susisieks su kitomis dviem agentūromis. Įspėjimas bus įvestas 90 dienų, tačiau galite jį bet kada atšaukti arba pratęsti iki septynerių metų.

Apsaugos įšaldymas paprastai kainuoja nuo 5 iki 10 JAV dolerių, kad jas būtų galima išimti ir pašalinti, nors Kalifornijoje ir kai kuriose kitose valstybėse tapatybės vagystės aukos gali nemokamai užšaldyti. Du oficialūs nemokamų metinių kredito ataskaitų šaltiniai yra JAV federalinės prekybos komisijos nemokamų kreditų ataskaitų svetainė ir AnnualCreditReport.com (877-322-8228).

Kadangi jūs galite paprašyti nemokamos ataskaitos iš kiekvienos iš trijų kredito ataskaitų teikėjų, kartą per metus, galite gauti nemokamą ataskaitą iš vieno iš trijų kas keturių mėnesių.

Prieš metus buvau sukčiavimo bandymo auka. Vėliau užsiregistravau kredito stebėjimo tarnybai, kuri ima mokestį už metinį mokestį. Paslauga siunčia man išsamias ataskaitas kas ketvirtį ir įspėjimus, kai organizacija mano duomenis pateikia iš vienos iš trijų kredito ataskaitų teikėjų. Mano nuomone, stebėjimo paslaugų teikimo ramybė yra vertinga, nors daugelis žmonių mano, kad toks kredito stebėjimas yra nereikalingas.

„Equifax Finance“ interneto dienoraščio „Identity Theft: Duomenų pažeidimo sprendimas“ paaiškinama, kas atsitinka, kai prašote įspėjimo apie sukčiavimą arba užšaldyti. Dienoraštyje nurodoma, kad jūsų pavogta informacija gali būti naudojama ne vienerius metus ar ilgiau, todėl būtina toliau stebėti savo kredito veiklą.

Kada įmonės privalo informuoti vartotojus apie duomenų pažeidimus?

„Marriott“ atsisakymas pasiūlyti bet kokią informaciją apie galimą „Peterio“ bandymą įsilaužti nėra neįprasta. Tikimybė, kad su jumis susisieksime, kai organizacija neteks ar gali prarasti savo asmeninius duomenis, priklauso nuo to, kur gyvenate.

Atvirojo saugumo fondo „DataLossDB“ duomenimis, 47 valstybės priėmė įstatymus, kuriais reikalaujama, kad vartotojai būtų informuoti apie pažeidimus, kurie kelia pavojų jų asmeninei informacijai. Tačiau tik 12 valstybių suderina pranešimo reikalavimą su atviro įrašo ar informacijos laisvės teisės aktais ir centralizuota institucija, pavyzdžiui, generaliniu prokuroru arba vartotojų apsaugos padaliniu, apie kurį pranešama apie pažeidimus.

Federaliniai reglamentai apima medicininių duomenų pažeidimus. 2009 m. Rugpjūčio mėn. JAV Sveikatos ir žmogiškųjų paslaugų departamentas paskelbė pažeidimo pranešimo taisyklę, kuri įgyvendina Sveikatos informacinių technologijų ekonominei ir klinikinei sveikatai (HITECH) įstatymo 13402 skirsnį ir taikoma „HIPAA subjektams ir jų verslo partneriams“. (HIPAA yra 1996 m. Sveikatos draudimo perkėlimo ir atskaitomybės aktas).

Susijusios istorijos

  • NSA pažeidė privatumo taisykles tūkstančius kartų
  • „Hacker“ teigia, kad nėra kaltas pavogti 160M kredito korteles
  • Kinija akis IBM, „Oracle“, „EMC“ galimas saugumo problemas
  • Deja vu vėl? DOE darbuotojams: mes buvome nulaužti

2009 m. Amerikos reinvesticijų ir atkūrimo įstatymo dalis, JAV Federalinė prekybos komisija paskelbė galutinę pranešimo apie pažeidimą taisyklę, skirtą elektroninei sveikatos informacijai, kuri taikoma „tiekėjams ... kurie teikia internetines saugyklas, kurias žmonės gali naudoti, kad galėtų stebėti savo sveikatos informaciją ir subjektai, teikiantys trečiųjų šalių paraiškas asmeniniams sveikatos įrašams. “

Nėra jokio federalinio reikalavimo, kad kitos viešosios ir privačios organizacijos praneštų vartotojams, kai jų asmens duomenys gali būti pažeisti. 2010 m. Kongreso tyrimų tarnybos ataskaitoje „Federaliniai informacijos saugumo ir duomenų pažeidimų pranešimo įstatymai“ (PDF) nurodoma, kad valstybės privatumo įstatymai yra labiau linkę reikalauti, kad viešieji ir privatūs subjektai praneštų vartotojams, kuriems galėjo būti padarytas pažeidimas.

Valstybinė valstybės įstatymų taryba pateikia valstybės saugumo pažeidimų pranešimo įstatymų apžvalgą. „Skerspjūvio vartotojų informavimo vadovas“ (PDF) paaiškina kiekvieno valstybės pranešimo reikalavimus.

Praėjusį mėnesį „Sophos Naked Security“ dienoraštyje Chester Wisniewski išnagrinėjo naujausius valstybės duomenų pažeidimo pranešimų įstatymų pakeitimus, kai kurie pakeitimai buvo padaryti geresni ir kai kurie blogesni.

Po keturių nepavykusių bandymų, vykusių 2005 m., Kongresas atrodo pasiruošęs dar kartą bandyti priimti išsamų pažeidimo pranešimo įstatymą. Viktoras Li teisinėje inteligentinėje svetainėje paaiškina, kad Namo Energetikos ir prekybos komiteto prekybos pakomitetis šį klausimą išklausė per praėjusį mėnesį vykusiame posėdyje, kuriame liudijo keli pramonės atstovai ir privatumo ekspertai.

Vienas iš svarbiausių neišspręstų klausimų yra tai, ar federalinis pranešimo įstatymas pakeis valstybės įstatymus arba papildytų esamus valstybės pranešimo reikalavimus. Viena vertus, kai kurių bendrovių teisės aktų laikymasis pagal įstatymus sukuria biurokratinį košmarą. Kita vertus, privatumo gynėjai baiminasi, kad vienintelis federalinis reglamentas panaikintų kai kurias galiojančias vartotojų apsaugos priemones.

Populiarios Temos

Kaip gauti nemokamą „Microsoft“ pagalbą „Windows 10“ ir daugiau

„Google“ nuorodų atidarymas „Chrome“, skirtas „iOS“

Kaip įdiegti ir naudoti „Launcher Pro“ „Android“

Groti „Chrome“ begalinį bėgikų žaidimą, kai neprisijungęs

Kaip įdiegti automatinį „Pro“ automobilį

Pridėkite darbų sąrašą savo pranešimo atspalviui „Android“

 

Palikite Komentarą