Sådan responderer du på en data-breach notification

I fredags kontaktede en læser ved navn Peter en kontakt til mig om en meddelelse, der viste sig, da han forsøgte at logge ind på sin Marriott Rewards-konto. Meddelelsen viste, at nogen måske har forsøgt at hakke kontoen, og han skal ændre sin adgangskode. Peter indledte en livechat med Marriott-helpdesken og fik besked om følgende:

"Der er for nylig forsøgt at få uautoriseret adgang til et lille antal medlemmer online konti. Jeg opfordrer dig til at besøge Marriott.com og ændre din adgangskode så hurtigt som muligt for at hjælpe os med at sikre sikkerheden for din konto."

Da Peter spurgte agenten, om hans konto var blevet kompromitteret, nægtede agenten at give yderligere oplysninger. Dette gjorde Peter mistænkelig, og med rette. Vi er blevet vant til phishing-svindel, der forsøger at narre os til at ændre vores log-in-id'er og adgangskoder, så phisherne kan fange dem og derefter stjæle vores data.

Tag initiativet, når du har mistanke om, at dine personoplysninger er i fare

Peter reagerede på Marriott.coms sikkerhedsmeddelelse, præcis som eksperterne anbefaler: Før du foretager ændringer i dit kontonavn eller din adgangskode, bekræft bekendtgørelsens ægthed. Som Dennis Schaal rapporterede tidligere i måneden på Skift-rejsesiden, slog Marriott af adgangen til Marriott Rewards-konti fra mobile enheder, indtil medlemmerne havde ændret deres adgangskoder.

Schaal citater en Marriott talskvinde, der hævdede, at kreditkort eller socialsikringsnumre ikke var kompromitteret af hackforsøgene, selvom hun sagde, at det var "næsten umuligt" for virksomheden at afgøre, om nogen konti blev overtrådt, og i bekræftende fald hvilke.

Hvor forlader Peter og andre Marriott Rewards medlemmer? I det mindste ved de, at advarslen var legitim, men de ved ikke, om de skal tage nogen forholdsregler ud over blot at ændre deres Marriott.com kodeord.

Selv det indlysende første trin i at ændre den potentielt kompromitterede kontos adgangskode kan være mere kompliceret, end det fremgår. Hvis du har indstillet din browser til at huske dine adgangskoder, registreret dine adgangskoder på papir eller i en datafil eller bruger en adgangskodeadministrator, skal disse lister også opdateres.

Selvom mange eksperter anbefaler at bruge et kodeordledelsesprodukt som LastPass, sælges jeg ikke på konceptet. For mig skaber sådanne tjenester et andet potentielt mål for hackere. At skrive ned dine adgangskoder præsenterer også problemer. (I oktober forklarede jeg "Den sikre måde at" skrive ned "dine adgangskoder.")

Et indlæg fra december 2001 med titlen "Mastering af adgangskoder" diskuterede fordele og ulemper ved adgangskodeforvaltere. Det indlæg beskrev min foretrukne adgangskode oprettelse teknik, som ikke kræver brug af et særskilt program eller skrive adgangskoder på papir.

Start med noget, du allerede har husket, såsom en sangtekst, en linje fra et digt eller navne på søskende, fætre eller venner. Brug derefter de andre, tredje eller sidste bogstaver af disse ord som din adgangskode.

Hvis du f.eks. Vælger børnehvide-linjen "Hickory Dickory Dock", løber musen døgnet rundt, "kombinerer de tredje bogstaver af hvert ord (eller den sidste bogstav for ord, der er kortere end tre bogstaver) for at oprette din adgangskode:" ccceunpeo ." For at få ekstra beskyttelse, start den tredje bogstavs rækkefølge med det sidste ord i linjen og slut med det første ord.

Sikkerhedseksperter anbefaler at du bruger en anden adgangskode på hvert websted, du hyppigt finder. Den ovennævnte mnemonic metode letter brug af unikke passphrases på forskellige steder: Start eller afslut bogstavsekvensen med samme nummer bogstav for den pågældende tjeneste. Så for eksempel på Amazon, ville ovenstående passord være "accceunpeo" (begyndende med det tredje bogstav i ordet "Amazon").

Hold øje med din kreditaktivitet

Når du har ændret dit kodeord, er det næste skridt at bestemme, hvilke data der muligvis er blevet kompromitteret. I Peters tilfælde er det muligt, at hackere har adgang til kreditkortet i forbindelse med hans Marriott Rewards-konto. Det indlysende svar er at overvåge fremtidige udsagn for denne konto for at sikre, at der ikke vises uautoriserede afgifter.

Hvis du har online adgang til kontoaktiviteten, kan du tjekke for falske afgifter uden at skulle vente på, at en erklæring skal ankomme. Mange kreditkortfirmaer giver dig mulighed for at tilmelde dig e-mail- eller tekstmeddelelser, når bestemte transaktioner opstår.

Privacy Rights Clearinghouse's "Hvordan håndtere en sikkerhedsbrud" side understreger vigtigheden af ​​at bestride svigagtige gebyrer med det samme. Når du bestrider et gebyr, vil firmaet sandsynligvis annullere den aktuelle konto og udstede et nyt kort og kontonummer.

Tidlig rapportering er endnu vigtigere, hvis afgiften er på en debetkortkonto, som forklaret på Privacy Rights Clearinghouse's "Paper eller Plastic: Hvad skal du tabe?" side. (PRC anbefaler, at du aldrig bruger eller endda har betalingskort, fordi de mangler kreditkortbeskyttelse.)

Hvis der er en chance for dit Social Security nummer blevet stjålet, kan tyvene bruge SSN til at åbne nye kreditkonti i dit navn. Derfor er du nødt til at placere en svindelvarsel på dine konti hos et af de tre kreditrapporteringsbureauer. Du skal også overvåge din kredit rapport regelmæssigt.

For et yderligere beskyttelsesniveau kan du stille en sikkerhedsfrys på dine kreditkonti, der forhindrer nogen i at få adgang til dine kreditoplysninger, medmindre du udtrykkeligt tillader det. PRCs datablad for sikkerhedsbrud har oplysninger til at kontakte kreditbureauerne for at anmode om en svindelvarsel og til tilmelding eller en sikkerhedsfrysning.

Når du anmoder om en svindelvarsel fra et rapporterende bureau, vil det pågældende firma kontakte de to andre agenturer for dig. Advarslen vil være på plads i 90 dage, selv om du kan afbryde den til enhver tid eller udvide den så længe som syv år.

En sikkerhedsfrysning koster generelt fra $ 5 til $ 10 for at placere og fjerne, selvom i Californien og nogle andre stater, kan tyveriofre få en sikkerhedsfrys gratis. De to officielle kilder til gratis årlige kreditrapporter er US Federal Trade Commissions gratis kreditrapporteringssted og AnnualCreditReport.com (877-322-8228).

Fordi du kan anmode om en gratis rapport fra hver af de tre kreditrapporteringsagenturer en gang om året, kan du få en gratis rapport fra en af ​​de tre hver fjerde måned.

For mange år siden var jeg offer for et svigforsøg. Jeg har senere tilmeldt mig en kreditovervågningstjeneste, der opkræver et årligt gebyr. Tjenesten sender mig fuldstændige rapporter kvartalsvis og advarsler, når en organisation anmoder om mine data fra et af de tre kreditrapporteringsbureauer. For mig er roen i overvågningsservicen værd at koste, selv om mange mennesker ville finde en sådan kreditovervågning unødvendig.

Equifax Finance Blogs "Identity Theft: Dealing with a Data Breach" side forklarer, hvad der sker, når du anmoder om en svindelvarsel eller sikkerhedsfrysning. Bloggen påpeger, at dine stjålne oplysninger måske ikke bliver brugt af hackerne i et år eller mere, så det er vigtigt at fortsætte med at overvåge din kreditaktivitet.

Hvornår skal virksomheder oplyse kunder om brud på data?

Marriotts afslag på at give detaljer om det mulige hackforsøg mod Peter er ikke usædvanligt. Sandsynligheden for, at du vil blive kontaktet overhovedet, når en organisation mister eller har mistet dine private data afhænger af, hvor du bor.

Ifølge Open Security Foundation's DataLossDB har 47 stater vedtaget love, der kræver, at forbrugerne underrettes om brud, der sætter deres personlige oplysninger i fare. Men kun 12 stater kombinerer anmeldelseskravet med åben registrering eller informationsfrihedslovgivning og en centraliseret myndighed, som f.eks. Advokat- eller forbrugerbeskyttelsesafdelingen, til hvilke overtrædelser der rapporteres.

Føderale bestemmelser dækker brud på medicinske data. I august 2009 udstedte USA's Department of Health and Human Services Breach Notice Rule, som gennemfører afsnit 13402 i Health Information Technology for Economic and Clinical Health (HITECH) Act og gælder for "HIPAA-dækkede enheder og deres forretningsforbindelser." (HIPAA er Health Insurance Portability and Accountability Act fra 1996.)

Relaterede historier

  • NSA overtrådte privatlivets regler tusindvis af gange, revisions fund
  • Hacker anklager sig ikke for at stjæle 160M kreditkort
  • Kina øjne IBM, Oracle, EMC over mulige sikkerhedsspørgsmål
  • Deja vu igen og igen? DOE til arbejdere: Vi er blevet hacket

Som en del af American Reinvestment and Recovery Act fra 2009 udstedte US Federal Trade Commission en endelig meddelelse om brud på elektroniske sundhedsoplysninger, der gælder for "leverandører ..., som leverer onlineregistreringer, som folk kan bruge til at holde styr på deres sundhedsoplysninger og enheder, der tilbyder tredjepartsapplikationer til personlige journaler. "

Der er ikke noget føderalt krav om, at andre offentlige og private organisationer meddeler forbrugerne, når deres personoplysninger kan være blevet kompromitteret. Congressional Research Service's 2010-rapport med titlen "Federal Information Security and Data Breach Notification Laws" (PDF) påpeger, at lovgivningen om privatlivets fred er meget mere tilbøjelige til at kræve, at offentlige og private enheder meddeler forbrugere, der måtte have været ramt af en data brud.

Det nationale rådslovgivende lovgivere giver et overblik over lovgivningen om brud på lovgivningen om statsstøtte. Intersections Consumer Notification Guide (PDF) forklarer detaljerne i hver stats anmeldelseskrav.

I sidste måned på bloggen Sophos Naked Security undersøgte Chester Wisniewski de seneste ændringer i lovgivningsloven om lovgivningen om statlig datafordeling, nogle ændres for bedre og nogle for værre.

Efter fire mislykkede forsøg, der dateres tilbage til 2005, synes kongressen at være klar til at gøre endnu et forsøg på at gennemføre en omfattende lov om krænkelse. Victor Li forklarer på Legal Intelligence site at House Energy and Commerce Udvalgets handelsunderudvalg tog stilling til i en høring i sidste måned, hvor flere industrirepræsentanter og privatlivseksperter vidnede om det.

Et af de største uafklarede spørgsmål er, om en lov om føderal underretning vil erstatte statslovgivningen eller supplere eksisterende krav til statsanmeldelse. På den ene side skaber et bureaukratisk mareridt for nogle virksomheder på den ene side at overholde forskellige lovgivningsmæssige lovgivninger. På den anden side frygter privatlivets advokater, at en enkelt føderal regulering ville udslette nogle eksisterende statslige mandatforbrugerbeskyttelse.

 

Efterlad Din Kommentar