Kako se odzvati na obvestilo o kršenju podatkov

Prejšnji petek je bralec po imenu Peter stopil v stik z mano o obvestilu, ki se je pojavilo, ko se je hotel prijaviti v svoj račun Marriott Rewards. V obvestilu je navedeno, da je nekdo morda poskušal krampiti račun in da bi moral spremeniti svoje geslo. Peter je sprožil klepet v živo s službo za pomoč uporabnikom Marriott in ji povedal naslednje:

»Pred kratkim so bili poskusi pridobiti nepooblaščen dostop do majhnega števila spletnih računov članov. Priporočamo vam, da obiščete Marriott.com in čim hitreje spremenite svoje geslo, da nam pomagate pri zagotavljanju varnosti vašega računa.«

Ko je Peter vprašal agenta, ali je njegov račun ogrožen, je zastopnik zavrnil posredovanje nadaljnjih podrobnosti. Zaradi tega je bil Peter sumljiv in prav je. Navadili smo se na phishing prevare, ki nas poskušajo prevarati v spreminjanje naših ID-jev za prijavo in gesla, da jih lahko lažnivci ujamejo in nato ukradejo naše podatke.

Prevzemite pobudo, ko sumite, da so vaši osebni podatki ogroženi

Peter se je na varnostno obvestilo podjetja Marriott.com odzval natančno tako, kot priporočajo strokovnjaki: pred spremembo ID-ja ali gesla računa potrdite pristnost obvestila. Kot je Dennis Schaal poročal v začetku tega meseca na potovalni strani Skift, je Marriott preklical dostop do računov Marriott Rewards iz mobilnih naprav, dokler člani niso spremenili svojih gesel.

Schaal navaja predstavnico Marriott, ki je trdila, da kreditne kartice ali številke socialnega zavarovanja niso bile ogrožene zaradi poskusov krampa, čeprav je dejala, da je za podjetje »skoraj nemogoče« ugotoviti, ali so bili računi kršeni in če so, katere.

Kje piše Peter in drugi člani Marriottove nagrade? Vsaj vedo, da je opozorilo legitimno, vendar ne vedo, ali morajo sprejeti kakršne koli previdnostne ukrepe poleg preprostega spreminjanja gesla Marriott.com.

Tudi očiten prvi korak spreminjanja potencialno ogroženega gesla računa je lahko bolj zapleten, kot se zdi. Če ste brskalnik nastavili tako, da si zapomni vaša gesla, zabeležil gesla na papirju ali v podatkovni datoteki ali uporabil upravitelja gesel, bo treba te sezname tudi posodobiti.

Medtem ko mnogi strokovnjaki priporočajo uporabo izdelka za upravljanje gesel, kot je LastPass, se ne prodajam po konceptu. Zame takšne storitve ustvarjajo še eno potencialno tarčo za hekerje. Tudi zapisovanje gesel predstavlja težave. (Oktobra lani sem pojasnil »varen način za zapisovanje gesel«.)

Prispevek iz decembra 2001 z naslovom "Obvladovanje umetnosti gesel" je razpravljal o prednostih in slabostih upraviteljev gesel. Ta post opisuje mojo najljubšo tehniko ustvarjanja gesel, ki ne zahteva uporabe ločenega programa ali pisanja gesel na papirju.

Začnite z nečim, kar ste si zapomnili, kot so besedilo pesmi, vrstica iz pesmi ali imena bratov in sester, bratrancev ali prijateljev. Nato uporabite drugo, tretjo ali zadnjo črko teh besed kot geslo.

Če na primer izberete vrstico za vrtec za rime "Hickory dickory dock, miška je tekla do ure, " združite tretjo črko vsake besede (ali zadnjo črko za besede, krajše od treh črk), da ustvarite geslo: "ccceunpeo . " Za dodatno zaščito začnite zaporedje tretje črke z zadnjo besedo vrstice in končajte z prvo besedo.

Varnostni strokovnjaki priporočajo, da uporabite drugačno geslo na vsakem mestu, ki ga pogosto uporabljate. Zgornja mnemonična metoda omogoča uporabo edinstvenih gesel na različnih mestih: začnite ali končajte zaporedje črk z istim številom črk določene storitve. Tako je na primer pri Amazonu zgornja geslo "accceunpeo" (začenši s tretjo črko besede "Amazon").

Pozorno spremljajte svojo kreditno aktivnost

Po spremembi gesla je naslednji korak določitev, kateri podatki so bili ogroženi. V primeru Petra je možno, da hekerji dostopajo do kreditne kartice, povezane z njegovim računom Marriott Rewards. Očiten odgovor je spremljanje prihodnjih izjav za ta račun, da se zagotovi, da se ne pojavijo nedovoljeni stroški.

Če imate spletni dostop do dejavnosti računa, lahko preverite, ali obstajajo lažne obtožbe, ne da bi morali čakati, da pride do izjave. Mnoga podjetja s kreditnimi karticami vam omogočajo, da se prijavite za e-poštna ali besedilna opozorila vsakič, ko pride do določenih transakcij.

Stran za varstvo zasebnosti Clearinghouse "Kako ravnati z varnostno kršitvijo" poudarja, kako pomembno je takoj izpodbijati goljufive stroške. Ko izpodbijate bremenitev, bo podjetje verjetno preklicalo tekoči račun in vam izdalo novo kartico in številko računa.

Pravočasno poročanje je še pomembnejše, če je bremenitev na računu z debetno kartico, kot je pojasnjeno v dokumentu "Papir ali plastika: kaj imate izgubiti?" stran. (LRK priporoča, da nikoli ne uporabljate ali celo prenašate debetnih kartic, ker nimajo zaščite kreditnih kartic.)

Če obstaja možnost, da je vaša številka socialnega zavarovanja ukradena, lahko tatovi uporabijo SSN za odpiranje novih kreditnih računov na vaše ime. Zato morate opozoriti na goljufije na svojih računih pri eni od treh agencij za poročanje o kreditih. Prav tako morate redno spremljati vašo kreditno poročilo.

Če želite dodatno raven zaščite, lahko na kreditne račune zamrznete varnostno kartico, ki nikomur ne omogoča dostopa do vaših kreditnih podatkov, razen če to izrecno dovolite. Varnostni list PRC v varnostnih kršitvah vsebuje informacije za vzpostavitev stika s kreditnimi uradi, da se zahteva opozorilo o goljufiji in za prijavo ali zamrznitev varnosti.

Ko od ene agencije za poročanje zahtevate opozorilo o goljufiji, se bo podjetje za vas obrnilo na druge dve agenciji. Opozorilo bo veljalo 90 dni, vendar ga lahko kadarkoli prekličete ali podaljšate tako dolgo, kot sedem let.

Varnostne zamrznitve običajno stanejo od 5 do 10 dolarjev do mesta in odstranijo, čeprav lahko žrtve kraje identitete v Kaliforniji in nekaterih drugih državah brezplačno zamrznejo. Dva uradna vira za brezplačno letno kreditno poročilo sta ameriška ameriška zvezna komisija za trgovino in spletna stran AnnualCreditReport.com (877-322-8228).

Ker lahko vsako leto od vsake od treh agencij, ki poročajo o kreditih, zahtevate brezplačno poročilo, lahko dobite brezplačno poročilo iz vsakega od treh mesecev.

Pred leti sem bil žrtev poskusa goljufije. Kasneje sem se prijavil za storitev spremljanja kreditov, ki zaračunava letno pristojbino. Storitev mi pošilja četrtletna popolna poročila in opozorila, kadar organizacija zahteva moje podatke od ene od treh agencij za poročanje o kreditih. Zame je mir, ki ga ponuja služba za spremljanje, vreden stroškov, čeprav bi veliko ljudi menilo, da je takšno spremljanje kreditov nepotrebno.

Blog "Equifax Finance Blog" "Kraja identitete: ravnanje s kršitvijo podatkov" pojasnjuje, kaj se zgodi, ko zahtevate opozorilo o goljufiji ali zamrznitev varnosti. Blog opozarja, da vaši ukradeni podatki hekerji morda ne bodo uporabljali več kot eno leto, zato je nujno, da nadaljujete s spremljanjem vaše kreditne aktivnosti.

Kdaj morajo podjetja obvestiti stranke o kršitvah podatkov?

Marriottova zavrnitev, da bi ponudila kakršne koli podrobnosti o morebitnem poskusu zlomov proti Petru, ni nenavadna. Verjetnost, da se boste sploh obrnili, ko organizacija izgubi ali morda izgubi vaše osebne podatke, je odvisna od tega, kje živite.

V skladu z DataLossDB Open Security Foundation, je 47 držav sprejelo zakone, ki zahtevajo, da so potrošniki obveščeni o kršitvah, ki ogrožajo njihove osebne podatke. Vendar samo 12 držav združi zahtevo po prijavi z odprto evidenco ali zakonodajo o svobodi obveščanja in centraliziran organ, kot je generalni državni tožilec ali oddelek za varstvo potrošnikov, na katerega se poroča o kršitvah.

Zvezni predpisi zajemajo kršitve medicinskih podatkov. Avgusta 2009 je ameriško ministrstvo za zdravje in socialne zadeve izdalo pravilo za obveščanje o kršitvah, ki izvaja oddelek 13402 Zakona o zdravstveni informacijski tehnologiji za gospodarsko in klinično zdravje (HITECH) in se uporablja za "subjekte, zajete v HIPAA in njihove poslovne partnerje." (HIPAA je zakon o prenosljivosti in odgovornosti zdravstvenega zavarovanja iz leta 1996).

Sorodne zgodbe

  • NSA je tisočekrat kršila pravila o zasebnosti, ugotavlja revizor
  • Hacker zagovarja, da ni kriv za krajo kreditnih kartic 160M
  • Kitajska vidi IBM, Oracle, EMC o možnih varnostnih vprašanjih
  • Deja vu vse znova? DOE do delavcev: Vdrli smo se

V okviru ameriškega zakona o ponovnem vlaganju in izterjavi iz leta 2009 je ameriška zvezna komisija za trgovino izdala končno pravilo za obvestilo o kršitvah za elektronske zdravstvene informacije, ki velja za "prodajalce ..., ki zagotavljajo spletna skladišča, ki jih lahko ljudje uporabijo za spremljanje zdravstvenih podatkov in subjekti, ki ponujajo aplikacije tretjih oseb za osebne zdravstvene evidence. "

Ni nobene zvezne zahteve, da bi druge javne in zasebne organizacije obveščale potrošnike, če bi bili njihovi osebni podatki ogroženi. Poročilo kongresne službe za raziskave za leto 2010 z naslovom "Zvezni zakoni o obveščanju o varnosti in kršitvah podatkov" (PDF) poudarja, da bodo državni zakoni o zasebnosti veliko bolj verjetno zahtevali, da javni in zasebni subjekti obveščajo potrošnike, ki so bili prizadeti zaradi kršitve podatkov.

Nacionalni svet zakonodajalcev držav zagotavlja pregled zakonov o obveščanju o kršitvah državne varnosti. Vodnik za obveščanje potrošnikov (Intersections Consumer Notification Guide - PDF) pojasnjuje podrobnosti zahtev za obveščanje vsake države.

Prejšnji mesec na blogu Sophos Naked Security je Chester Wisniewski preučil nedavne spremembe zakonov o obveščanju o kršitvah državnih podatkov, nekatere spremembe za boljše in nekatere za slabše.

Po štirih neuspelih poskusih iz leta 2005 se zdi, da je Kongres pripravljen narediti še en poskus sprejetja celovitega zakona o priglasitvi kršitev. Victor Li na spletnem mestu Legal Intelligencer pojasnjuje, da je trgovski pododbor odbora za energijo in trgovino obravnaval zadevo na zaslišanju prejšnji mesec, ko je pričalo več predstavnikov industrije in strokovnjakov za zasebnost.

Eno od glavnih nerešenih vprašanj je, ali bi zvezni zakon o obvestilih nadomestil državne zakone ali dopolnil obstoječe zahteve glede obveščanja države. Po eni strani je skladnost z različnimi zakoni o uradnih obvestilih za nekatera podjetja birokratska nočna mora. Po drugi strani pa se zagovorniki zasebnosti bojijo, da bi enotna zvezna ureditev izbrisala nekatere obstoječe zaščite potrošnikov, ki jih je določila država.

Priljubljene Objave

Nasveti za boljše, daljše trajanje baterije

Aplikacije za Facebook za film

Kako narediti svoje fotografije za potni list

Kako prenesti podatke Google Zemljevidov v mobilno napravo

Na vašem računalniku Mac morate opozoriti, da morate osvoboditi prostor

Šest nasvetov, da bi dobili največ od Fantastical 2 za Mac

 

Pustite Komentar