Cách trả lời thông báo vi phạm dữ liệu

Thứ Sáu tuần trước, một độc giả tên Peter đã liên lạc với tôi về một thông báo xuất hiện khi anh ta cố gắng đăng nhập vào tài khoản Marriott Awards của mình. Thông báo chỉ ra rằng ai đó có thể đã cố gắng hack tài khoản và anh ta nên thay đổi mật khẩu của mình. Peter bắt đầu một cuộc trò chuyện trực tiếp với bàn trợ giúp của Marriott và được cho biết như sau:

"Gần đây đã có những nỗ lực nhằm truy cập trái phép vào một số lượng nhỏ tài khoản trực tuyến của thành viên. Tôi khuyến khích bạn truy cập Marriott.com và thay đổi mật khẩu càng sớm càng tốt để hỗ trợ chúng tôi đảm bảo an toàn cho tài khoản của bạn."

Khi Peter hỏi người đại diện liệu tài khoản của anh ta có bị xâm phạm hay không, người đại diện từ chối cung cấp thêm thông tin chi tiết. Điều này khiến Peter nghi ngờ, và đúng như vậy. Chúng ta đã quen với những trò lừa đảo lừa đảo nhằm lừa chúng ta thay đổi ID và mật khẩu đăng nhập để những kẻ lừa đảo có thể bắt giữ chúng và sau đó đánh cắp dữ liệu của chúng ta.

Hãy chủ động khi bạn nghi ngờ dữ liệu cá nhân của mình có nguy cơ

Peter đã trả lời thông báo bảo mật của Marriott.com chính xác như các chuyên gia khuyến nghị: trước khi thực hiện bất kỳ thay đổi nào đối với ID tài khoản hoặc mật khẩu của bạn, hãy xác nhận tính xác thực của thông báo. Như Dennis Schaal đã báo cáo hồi đầu tháng này trên trang web du lịch Skift, Marriott đã cắt quyền truy cập vào tài khoản Marriott Awards từ thiết bị di động cho đến khi các thành viên thay đổi mật khẩu.

Schaal trích dẫn một phát ngôn viên của Marriott, người tuyên bố không có số thẻ tín dụng hoặc An sinh xã hội nào bị xâm phạm bởi các nỗ lực hack, mặc dù cô nói rằng công ty "hầu như không thể" xác định liệu có tài khoản nào bị vi phạm hay không và nếu có thì tài khoản nào.

Trường hợp đó để Peter và các thành viên khác của Marriott Awards? Ít nhất là họ biết cảnh báo là hợp pháp, nhưng họ không biết liệu họ có cần thực hiện bất kỳ biện pháp phòng ngừa nào ngoài việc thay đổi mật khẩu Marriott.com hay không.

Ngay cả bước đầu tiên rõ ràng của việc thay đổi mật khẩu của tài khoản có khả năng bị xâm phạm có thể phức tạp hơn so với mật khẩu. Nếu bạn đã đặt trình duyệt ghi nhớ mật khẩu, ghi lại mật khẩu của mình trên giấy hoặc trong tệp dữ liệu hoặc sử dụng trình quản lý mật khẩu, những danh sách đó cũng sẽ phải được cập nhật.

Mặc dù nhiều chuyên gia khuyên bạn nên sử dụng một sản phẩm quản lý mật khẩu như LastPass, tôi không được bán trên khái niệm này. Đối với tôi, các dịch vụ như vậy tạo ra một mục tiêu tiềm năng khác cho tin tặc. Viết mật khẩu của bạn cũng có vấn đề. (Tháng 10 năm ngoái, tôi đã giải thích "Cách an toàn để 'ghi lại' mật khẩu của bạn.")

Một bài đăng từ tháng 12 năm 2001 có tiêu đề "Làm chủ nghệ thuật mật khẩu" đã thảo luận về ưu và nhược điểm của người quản lý mật khẩu. Bài đăng đó mô tả kỹ thuật tạo mật khẩu yêu thích của tôi, không yêu cầu sử dụng một chương trình riêng hoặc viết mật khẩu trên giấy.

Bắt đầu với một cái gì đó bạn đã ghi nhớ, chẳng hạn như một lời bài hát, một dòng từ một bài thơ, hoặc tên của anh chị em, anh em họ hoặc bạn bè. Sau đó sử dụng các chữ cái thứ hai, thứ ba hoặc cuối cùng của những từ đó làm cụm mật khẩu của bạn.

Ví dụ: nếu bạn chọn dòng vần mẫu giáo "Hickory Dickory dock, chuột chạy lên đồng hồ", kết hợp các chữ cái thứ ba của mỗi từ (hoặc chữ cái cuối cùng cho các từ ngắn hơn ba chữ cái) để tạo cụm mật khẩu của bạn: "ccceunpeo . " Để bảo vệ thêm, bắt đầu chuỗi chữ cái thứ ba với từ cuối cùng của dòng và kết thúc bằng từ đầu tiên.

Các chuyên gia bảo mật khuyên bạn nên sử dụng một cụm mật khẩu khác nhau tại mỗi trang web bạn thường xuyên. Phương pháp ghi nhớ ở trên tạo điều kiện cho việc sử dụng các cụm mật khẩu duy nhất tại các trang web khác nhau: bắt đầu hoặc kết thúc chuỗi ký tự bằng chữ cái cùng số của dịch vụ cụ thể đó. Vì vậy, tại Amazon, ví dụ, cụm mật khẩu ở trên sẽ là "accceunpeo" (bắt đầu bằng chữ cái thứ ba của từ "Amazon").

Theo dõi chặt chẽ hoạt động tín dụng của bạn

Sau khi bạn thay đổi mật khẩu, bước tiếp theo là xác định dữ liệu nào có thể bị xâm phạm. Trong trường hợp của Peter, có thể tin tặc đã truy cập vào thẻ tín dụng được liên kết với tài khoản Phần thưởng Marriott của anh ta. Phản hồi rõ ràng là theo dõi các tuyên bố trong tương lai cho tài khoản đó để đảm bảo không có khoản phí trái phép nào xuất hiện.

Nếu bạn có quyền truy cập trực tuyến vào hoạt động tài khoản, bạn có thể kiểm tra các khoản phí không có thật mà không phải chờ đợi một tuyên bố đến. Nhiều công ty thẻ tín dụng cho phép bạn đăng ký thông báo qua e-mail hoặc văn bản bất cứ khi nào có giao dịch cụ thể xảy ra.

Trang "Cách đối phó với vi phạm an ninh" của Clearinghouse nhấn mạnh tầm quan trọng của việc tranh chấp các khoản phí gian lận ngay lập tức. Khi bạn tranh chấp một khoản phí, công ty có thể sẽ hủy tài khoản hiện tại và cấp cho bạn thẻ và số tài khoản mới.

Báo cáo kịp thời thậm chí còn quan trọng hơn nếu khoản phí được tính vào tài khoản thẻ ghi nợ, như được giải thích trên "Giấy hoặc nhựa:" Bạn có gì để mất? " trang. (PRC khuyến nghị bạn không bao giờ sử dụng hoặc thậm chí mang theo thẻ ghi nợ vì chúng thiếu sự bảo vệ của thẻ tín dụng.)

Nếu có khả năng số An sinh xã hội của bạn đã bị đánh cắp, kẻ trộm có thể sử dụng SSN để mở tài khoản tín dụng mới dưới tên của bạn. Đó là lý do tại sao bạn cần đặt cảnh báo gian lận trên tài khoản của mình với một trong ba cơ quan báo cáo tín dụng. Bạn cũng cần theo dõi báo cáo tín dụng của bạn thường xuyên.

Để có mức bảo vệ bổ sung, bạn có thể đóng băng bảo mật trên các tài khoản tín dụng của mình để ngăn chặn bất kỳ ai truy cập thông tin tín dụng của bạn trừ khi bạn cho phép rõ ràng. Tờ thông tin Vi phạm An ninh của PRC có thông tin liên hệ với văn phòng tín dụng để yêu cầu cảnh báo gian lận và đăng ký hoặc đóng băng bảo mật.

Khi bạn yêu cầu cảnh báo gian lận từ một cơ quan báo cáo, công ty đó sẽ liên hệ với hai cơ quan khác cho bạn. Cảnh báo sẽ được thực hiện trong 90 ngày, mặc dù bạn có thể hủy bỏ nó bất cứ lúc nào hoặc kéo dài nó trong vòng bảy năm.

Một đóng băng an ninh thường có giá từ 5 đến 10 đô la để đặt và loại bỏ, mặc dù ở California và một số tiểu bang khác, nạn nhân trộm cắp danh tính có thể được đóng băng an ninh miễn phí. Hai nguồn chính thức cho các báo cáo tín dụng miễn phí hàng năm là trang web Báo cáo tín dụng miễn phí của Ủy ban thương mại liên bang Hoa Kỳ và thường niên (877-322-8228).

Bởi vì bạn có thể yêu cầu báo cáo miễn phí từ ba trong số ba cơ quan báo cáo tín dụng mỗi năm một lần, bạn có thể nhận được báo cáo miễn phí từ một trong ba cứ sau bốn tháng.

Nhiều năm trước, tôi là nạn nhân của một vụ lừa đảo. Sau đó tôi đã đăng ký một dịch vụ giám sát tín dụng có tính phí hàng năm. Dịch vụ gửi cho tôi các báo cáo đầy đủ hàng quý và thông báo bất cứ khi nào một tổ chức yêu cầu dữ liệu của tôi từ một trong ba cơ quan báo cáo tín dụng. Đối với tôi, sự an tâm mà dịch vụ giám sát cung cấp đáng giá, mặc dù nhiều người sẽ thấy việc theo dõi tín dụng như vậy là không cần thiết.

Trang "Trộm danh tính: Xử lý vi phạm dữ liệu" của Blog Equachus Finance giải thích những gì xảy ra khi bạn yêu cầu cảnh báo gian lận hoặc đóng băng bảo mật. Blog chỉ ra rằng thông tin bị đánh cắp của bạn có thể không được tin tặc sử dụng trong một năm hoặc hơn, do đó bắt buộc phải tiếp tục theo dõi hoạt động tín dụng của bạn.

Khi nào các công ty được yêu cầu thông báo cho khách hàng về vi phạm dữ liệu?

Việc Marriott từ chối cung cấp bất kỳ chi tiết nào về nỗ lực hack có thể chống lại Peter là không bình thường. Khả năng bạn sẽ được liên lạc hoàn toàn khi một tổ chức bị mất hoặc có thể mất dữ liệu riêng tư của bạn tùy thuộc vào nơi bạn sống.

Theo DataLossDB của Tổ chức bảo mật mở, 47 tiểu bang đã ban hành luật yêu cầu người tiêu dùng phải được thông báo về các vi phạm khiến thông tin cá nhân của họ gặp rủi ro. Tuy nhiên, chỉ có 12 tiểu bang kết hợp yêu cầu thông báo với hồ sơ mở hoặc quyền tự do pháp luật thông tin và cơ quan tập trung, chẳng hạn như Tổng chưởng lý hoặc bộ phận bảo vệ người tiêu dùng, theo đó các vi phạm được báo cáo.

Quy định liên bang bao gồm vi phạm dữ liệu y tế. Vào tháng 8 năm 2009, Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ đã ban hành Quy tắc Thông báo Vi phạm, thực hiện phần 13402 của Đạo luật Công nghệ Thông tin Y tế cho Sức khỏe Kinh tế và Lâm sàng (HITECH) và áp dụng cho "các thực thể được bảo hiểm của HIPAA và các đối tác kinh doanh của họ." (HIPAA là Đạo luật Trách nhiệm và Khả năng Giải quyết Bảo hiểm Y tế năm 1996.)

Nhưng câu chuyện liên quan

  • NSA đã vi phạm quy tắc bảo mật hàng ngàn lần, kiểm toán phát hiện
  • Hacker không nhận tội đánh cắp 160 triệu thẻ tín dụng
  • Trung Quốc để mắt tới IBM, Oracle, EMC về các vấn đề bảo mật có thể xảy ra
  • Deja vu hết lần nữa? DOE cho công nhân: Chúng tôi đã bị hack

Là một phần của Đạo luật Tái đầu tư và phục hồi của Mỹ năm 2009, Ủy ban Thương mại Liên bang Hoa Kỳ đã ban hành Quy tắc thông báo vi phạm cuối cùng đối với thông tin sức khỏe điện tử áp dụng cho "các nhà cung cấp ... cung cấp các kho lưu trữ trực tuyến mà mọi người có thể sử dụng để theo dõi thông tin sức khỏe của họ và các thực thể cung cấp các ứng dụng của bên thứ ba cho hồ sơ sức khỏe cá nhân. "

Không có yêu cầu liên bang rằng các tổ chức công cộng và tư nhân khác thông báo cho người tiêu dùng khi dữ liệu cá nhân của họ có thể bị xâm phạm. Báo cáo năm 2010 của Dịch vụ Nghiên cứu Quốc hội có tiêu đề "Luật Thông báo vi phạm dữ liệu và bảo mật thông tin liên bang" (PDF) chỉ ra rằng luật riêng tư của tiểu bang có nhiều khả năng yêu cầu các thực thể công cộng và tư nhân thông báo cho người tiêu dùng có thể bị ảnh hưởng do vi phạm dữ liệu.

Hội đồng Lập pháp Quốc gia cung cấp một cái nhìn tổng quan về luật thông báo vi phạm an ninh nhà nước. Hướng dẫn thông báo người tiêu dùng giao nhau (PDF) giải thích chi tiết về các yêu cầu thông báo của mỗi tiểu bang.

Tháng trước trên blog Sophos Naked Security, Chester Wisniewski đã kiểm tra những thay đổi gần đây trong luật thông báo vi phạm dữ liệu nhà nước, một số thay đổi để tốt hơn và một số thay đổi tồi tệ hơn.

Sau bốn lần thất bại kể từ năm 2005, Quốc hội dường như đã sẵn sàng để thực hiện một nỗ lực khác trong việc thông qua luật thông báo vi phạm toàn diện. Victor Li giải thích trên trang web Trí thông minh pháp lý rằng tiểu ban thương mại của Ủy ban Thương mại và Năng lượng Hạ viện đã đưa ra vấn đề trong phiên điều trần vào tháng trước, tại đó một số đại diện của ngành và các chuyên gia về quyền riêng tư đã làm chứng.

Một trong những vấn đề đáng lo ngại chính là liệu luật thông báo liên bang sẽ thay thế luật tiểu bang hay bổ sung cho các yêu cầu thông báo của tiểu bang hiện có. Một mặt, việc tuân thủ các luật thông báo nhà nước khác nhau tạo ra cơn ác mộng quan liêu cho một số công ty. Mặt khác, những người ủng hộ quyền riêng tư lo ngại một quy định liên bang duy nhất sẽ xóa sạch một số biện pháp bảo vệ người tiêu dùng bắt buộc của nhà nước.

Bài ViếT Phổ BiếN

Các dịch vụ miễn phí giúp Gmail, Google Drive, Google tìm kiếm riêng tư hơn

Viết blog trên iPad: Cách sử dụng BlogPress

Cách tắt Nhắc nhở iCloud trên OS X và iOS

Bạn nên sử dụng ứng dụng nào để duyệt Instagram trên iPad?

Daytona 500: Xem trực tiếp trên TV hoặc trực tuyến

Cách làm: Dọn sạch phần mềm độc hại khỏi PC của bạn

 

Để LạI Bình LuậN CủA BạN