Миналия петък един читател на име Питър се свърза с мен за съобщение, което се появи, когато той се опита да влезе в своя Marriott Rewards акаунт. В съобщението се посочва, че някой може да се е опитал да проникне в сметката и да промени паролата си. Петър започна чат на живо с помощта на службата за помощ на Marriott и му казаха следното:
"Напоследък са правени опити за получаване на неоторизиран достъп до малък брой онлайн профили на членове. Препоръчвам ви да посетите Marriott.com и да промените паролата си възможно най-скоро, за да ни помогнете да гарантираме сигурността на профила ви."Когато Питър попита агента дали сметката му е компрометирана, представителят отказва да предостави повече подробности. Това накара Питър подозрително и правилно. Ние сме свикнали с фишинг измами, които се опитват да ни подтикнат да променим нашите идентификационни номера и пароли за влизане, за да могат фийзърите да ги заловят и след това да ни откраднат данните.
Вземете инициативата, когато подозирате, че вашите лични данни са изложени на риск
Питър отговори на уведомяването за сигурност на Marriott.com точно както експертите препоръчват: преди да направите каквито и да е промени в идентификационния номер или паролата на профила си, потвърдете автентичността на съобщението. Както Денис Шаал съобщи по-рано този месец на сайта за пътуване на Skift, Marriott прекъсва достъпа до сметките на Marriott Rewards от мобилни устройства, докато членовете са променили паролите си.
Schaal цитира говорителката на Marriott, която твърди, че няма кредитни карти или социалноосигурителни номера, които са били компрометирани от опитите за хакерство, въпреки че тя каза, че е "почти невъзможно" за компанията да определи дали са били нарушени сметки и ако да, кои.
Къде това оставя Петър и другите членове на Marriott Rewards? Поне знаят, че сигналът е легитимен, но не знаят дали трябва да вземат каквито и да било предпазни мерки, освен просто да променят паролата си Marriott.com.
Дори очевидно първата стъпка от промяната на потенциално компрометираната парола на профила може да бъде по-сложна, отколкото изглежда. Ако сте настроили браузъра си да си спомня паролите, да записвате паролите ви на хартия или в файл с данни, или да използвате мениджър на пароли, тези списъци също ще трябва да се актуализират.
Докато много експерти препоръчват използването на продукт за управление на пароли като LastPass, аз не съм продаден на концепцията. За мен такива услуги създават друга потенциална цел за хакери. Записването на вашите пароли също създава проблеми. (Миналия октомври обясних „Безопасният начин да„ запишете „паролите си“.)
Пост от декември 2001 г., озаглавен "Овладяване на изкуството на паролите", обсъжда предимствата и недостатъците на мениджърите на паролите. Този пост описва любимата ми техника за създаване на пароли, която не изисква използване на отделна програма или писане на пароли на хартия.
Започнете с нещо, което вече сте запомнили, като лиричен текст на песен, ред от стихотворение или имена на братя и сестри, братовчеди или приятели. След това използвайте втората, третата или последната буква от тези думи като парола.
Например, ако изберете линията за детска рима "Hickory dickory dock, мишката върви нагоре по часовника, " комбинирайте третата буква на всяка дума (или последната буква за думи, по-къси от три букви), за да създадете паролата си: "ccceunpeo . " За допълнителна защита започнете последователността на третата буква с последната дума на реда и завършете с първата дума.
Експертите по сигурността препоръчват да използвате различна парола на всеки сайт, който често посещавате. Посоченият по-горе мнемоничен метод улеснява използването на уникални фрази на различни места: започнете или прекратете последователността на буквите с едно и също число от тази конкретна услуга. Така в Amazon, например, горната парола ще бъде "accceunpeo" (започвайки с третата буква на думата "Amazon").
Следете внимателно кредитната си дейност
След като промените паролата си, следващата стъпка е да определите кои данни може да са компрометирани. В случая на Петър е възможно хакери да имат достъп до кредитната карта, свързана с неговия Marriott Rewards. Очевидният отговор е да се наблюдават бъдещи изявления за този профил, за да се гарантира, че не се появяват неоторизирани такси.
Ако имате онлайн достъп до дейността на профила, можете да проверите за фалшиви такси, без да се налага да чакате пристигането на извлечение. Много компании за кредитни карти ви позволяват да се регистрирате за имейли или текстови сигнали, когато се появят конкретни транзакции.
Страницата „Права за нарушаване на сигурността“ на Clearinghouse подчертава важността на незабавното оспорване на измамни такси. Когато оспорвате такса, компанията вероятно ще анулира текущата сметка и ще ви издаде нова карта и номер на сметката.
Своевременното докладване е още по-важно, ако таксата е за сметка на дебитна карта, както е обяснено в „Хартия или пластмаса: Права за защита на личните данни“: Какво имаш да загубиш? страница. (КНР препоръчва никога да не използвате или дори да носите дебитни карти, защото им липсва защита на кредитни карти.)
Ако има вероятност вашият номер на социалното осигуряване да бъде откраднат, крадците могат да използват SSN, за да отворят нови кредитни сметки на ваше име. Ето защо трябва да подадете сигнал за измами по сметките си в една от трите агенции за кредитно отчитане. Също така трябва редовно да следите кредитния си доклад.
За допълнително ниво на защита можете да поставите блокиране на сигурността в кредитните си профили, което не позволява на никой да получи достъп до кредитната ви информация, освен ако изрично не го разрешите. Информационният лист за нарушения на сигурността на КНР съдържа информация за свързване с кредитните бюра за подаване на искане за предупреждение за измами и за записване или замразяване на сигурността.
Когато поискате сигнал за измама от една отчетна агенция, тази компания ще се свърже с вас с другите две агенции. Сигналът ще бъде наличен в продължение на 90 дни, въпреки че можете да го отмените по всяко време или да го удължите до седем години.
Замразяването на сигурността обикновено струва от $ 5 до $ 10 за поставяне и премахване, въпреки че в Калифорния и някои други държави жертвите на кражба на самоличност могат да получат безплатно замразяване на сигурността. Двата официални източника на безплатни годишни кредитни доклади са на свободните кредитни доклади на Федералната търговска комисия на САЩ и на AnnualCreditReport.com (877-322-8228).
Тъй като можете да поискате безплатен доклад от всяка една от трите агенции, отчитащи кредити веднъж годишно, можете да получите безплатен доклад от един от трите на всеки четири месеца.
Преди години бях жертва на опит за измама. Впоследствие се регистрирах за услуга за кредитен мониторинг, която начислява годишна такса. Услугата ми изпраща тримесечни пълни отчети и сигнали, когато организацията изисква моите данни от една от трите агенции за кредитно отчитане. За мен спокойствието, което предлага услугата за мониторинг, си струва разходите, въпреки че много хора смятат, че такъв кредитен мониторинг е ненужен.
Страницата „Кражбата на идентичност: справяне с нарушаване на данните” обяснява какво се случва, когато поискате предупреждение за измама или замразяване на сигурността. В блога се посочва, че откраднатата ви информация може да не се използва от хакерите в продължение на година или повече, така че е наложително да продължите да следите кредитната си дейност.
Кога се изисква дружествата да уведомяват клиентите за нарушения на данните?
Отказът на Marriott да предложи каквито и да е подробности за възможния опит за рана срещу Питър не е необичайно. Вероятността изобщо да се свърже с вас, когато дадена организация загуби или е загубила личните ви данни, зависи от това къде живеете.
Според DataLossDB на Фондация „Отворена сигурност“ 47 държави са приели закони, които изискват потребителите да бъдат уведомявани за нарушения, които излагат на риск личната им информация. Въпреки това, само 12 държави съчетават изискването за уведомяване с открито досие или законодателство за свобода на информацията и централизиран орган, като например главния прокурор или отдел за защита на потребителите, към който се докладват нарушения.
Федералните разпоредби обхващат нарушения на медицинските данни. През август 2009 г. Министерството на здравеопазването и човешките ресурси на САЩ издаде Правилото за уведомяване за нарушения, което изпълнява раздел 13402 от Закона за здравните информационни технологии за икономическо и клинично здраве (HITECH) и се прилага към "HIPAA обхванати организации и техните бизнес партньори". (HIPAA е Законът за преносимост и отчетност на здравното осигуряване от 1996 г.)
Свързани истории
- NSA нарушава правилата за поверителност хиляди пъти, констатира одиторът
- Хакерът признава, че не е виновен за кражба на 160 милиона кредитни карти
- Китай гледа на IBM, Oracle, EMC за евентуални проблеми със сигурността
- Deja vu всичко отначало? DOE към работниците: Бяхме хакнати
Като част от американския Закон за реинвестиране и възстановяване от 2009 г. Федералната търговска комисия на САЩ издаде окончателно правило за уведомяване за нарушаване на електронната здравна информация, което се отнася за „доставчици ..., които предоставят онлайн хранилища, които хората могат да използват, за да следят за тяхната здравна информация и организации, които предлагат приложения на трети страни за лични здравни досиета. "
Няма федерално изискване другите публични и частни организации да уведомяват потребителите, когато техните лични данни са били компрометирани. Докладът на Конгресната изследователска служба за 2010 г., озаглавен „Федералните закони за уведомяване за информационна сигурност и нарушаване на данните” (PDF), посочва, че законите за поверителност на държавата са много по-склонни да изискват от публичните и частните организации да уведомяват потребителите, които може да са били засегнати от нарушение на данните.
Националният съвет на държавните законодатели предоставя преглед на законите за уведомяване за нарушения на държавната сигурност. Ръководството за уведомяване на потребителите на Intersections (PDF) обяснява особеностите на изискванията за уведомяване на всяка държава.
Миналия месец на блога на Sophos Naked Security Честър Вишневски разгледа последните промени в законите за уведомяване за нарушения на държавните данни, някои промени за по-добро и някои за по-лошо.
След четири неуспешни опита от 2005 г., Конгресът изглежда е готов да направи още един опит за приемане на всеобхватен закон за нарушения. Виктор Ли обяснява на сайта на Legal Intelligencer, че търговската подкомисия на комисията по енергетика и търговия на сградата е разгледала въпроса в изслушване миналия месец, на което свидетелстваха няколко представители на индустрията и експерти по неприкосновеността на личния живот.
Един от основните неуредени въпроси е дали федералният закон за нотификациите ще замести законите на държавата или ще допълни съществуващите изисквания за държавно уведомяване. От една страна, спазването на различни закони за държавното уведомяване създава бюрократичен кошмар за някои компании. От друга страна, защитниците на неприкосновеността на личния живот се опасяват, че единствената федерална нормативна уредба ще унищожи някои съществуващи държавно-защитени права.
Оставете Коментар