วิธีตอบกลับการแจ้งเตือนการละเมิดข้อมูล

เมื่อวันศุกร์ที่แล้วผู้อ่านชื่อปีเตอร์ติดต่อฉันเกี่ยวกับการแจ้งเตือนที่ปรากฏขึ้นเมื่อเขาพยายามลงชื่อเข้าใช้บัญชี Marriott Rewards ของเขา ประกาศระบุว่ามีบางคนอาจพยายามแฮ็คบัญชีและเขาควรเปลี่ยนรหัสผ่าน Peter เริ่มการแชทสดกับฝ่ายช่วยเหลือของ Marriott และได้รับแจ้งต่อไปนี้:

"เมื่อไม่นานมานี้มีความพยายามเข้าถึงบัญชีออนไลน์ของสมาชิกจำนวนเล็กน้อยโดยไม่ได้รับอนุญาตฉันขอแนะนำให้คุณเยี่ยมชม Marriott.com และเปลี่ยนรหัสผ่านของคุณโดยเร็วที่สุดเพื่อช่วยให้เรามั่นใจในความปลอดภัยของบัญชีของคุณ"

เมื่อปีเตอร์ถามตัวแทนว่าบัญชีของเขาถูกบุกรุกหรือไม่ตัวแทนก็ปฏิเสธที่จะให้รายละเอียดเพิ่มเติมใด ๆ สิ่งนี้ทำให้เปโตรต้องสงสัยและถูกต้องเช่นกัน เราคุ้นเคยกับการหลอกลวงแบบฟิชชิ่งที่พยายามหลอกให้เราเปลี่ยนการเข้าสู่ระบบ ID และรหัสผ่านของเราเพื่อให้นักต้มตุ๋นสามารถจับพวกเขาแล้วขโมยข้อมูลของเรา

ใช้ความคิดริเริ่มเมื่อคุณสงสัยว่าข้อมูลส่วนบุคคลของคุณอยู่ในความเสี่ยง

Peter ตอบกลับการแจ้งเตือนความปลอดภัยของ Marriott.com ตามที่ผู้เชี่ยวชาญแนะนำ: ก่อนทำการเปลี่ยนแปลงใด ๆ กับ ID บัญชีหรือรหัสผ่านของคุณให้ยืนยันความถูกต้องของประกาศ ดังที่ Dennis Schaal รายงานเมื่อต้นเดือนที่ผ่านมาในเว็บไซต์การท่องเที่ยว Skift แมริออทตัดสิทธิ์การเข้าถึงบัญชี Marriott Rewards จากอุปกรณ์มือถือจนกว่าสมาชิกจะเปลี่ยนรหัสผ่าน

Schaal อ้างถึงโฆษกของ Marriott ที่อ้างว่าไม่มีหมายเลขบัตรเครดิตหรือประกันสังคมที่ถูกแฮ็กถึงแม้ว่าเธอจะบอกว่าเป็นไปไม่ได้ที่ บริษัท จะตัดสินว่าบัญชีใดมีการละเมิดหรือไม่

สิ่งนี้จะทำให้ปีเตอร์และสมาชิกแมริออทรีวอร์ดอยู่ที่ไหน อย่างน้อยพวกเขาก็รู้ว่าการแจ้งเตือนนั้นถูกต้องตามกฎหมาย แต่พวกเขาไม่รู้ว่าพวกเขาจำเป็นต้องใช้มาตรการป้องกันใด ๆ นอกเหนือจากการเปลี่ยนรหัสผ่าน Marriott.com ของพวกเขาหรือไม่

แม้แต่ขั้นตอนแรกที่ชัดเจนของการเปลี่ยนรหัสผ่านของบัญชีที่ถูกบุกรุกอาจมีความซับซ้อนมากกว่าที่ปรากฏ หากคุณตั้งค่าเบราว์เซอร์ให้จดจำรหัสผ่านบันทึกรหัสผ่านลงในกระดาษหรือในไฟล์ข้อมูลหรือใช้เครื่องมือจัดการรหัสผ่านรายการเหล่านั้นจะต้องได้รับการอัปเดตด้วย

ในขณะที่ผู้เชี่ยวชาญหลายคนแนะนำให้ใช้ผลิตภัณฑ์การจัดการรหัสผ่านเช่น LastPass ฉันไม่ได้ขายตามแนวคิด สำหรับฉันบริการดังกล่าวสร้างเป้าหมายที่เป็นไปได้อีกอย่างสำหรับแฮ็กเกอร์ การจดรหัสผ่านของคุณก็เป็นปัญหาเช่นกัน (เมื่อเดือนตุลาคมที่ผ่านมาฉันอธิบายว่า "วิธีที่ปลอดภัยในการ 'จดบันทึก' รหัสผ่านของคุณ")

โพสต์เมื่อเดือนธันวาคม 2544 หัวข้อ "การควบคุมศิลปะรหัสผ่าน" กล่าวถึงข้อดีข้อเสียของผู้จัดการรหัสผ่าน โพสต์นั้นอธิบายเทคนิคการสร้างรหัสผ่านที่ฉันโปรดปรานซึ่งไม่จำเป็นต้องใช้โปรแกรมแยกต่างหากหรือเขียนรหัสผ่านบนกระดาษ

เริ่มด้วยบางสิ่งที่คุณจำไว้แล้วเช่นบทเพลงแนวจากบทกวีหรือชื่อของพี่น้องญาติหรือเพื่อน จากนั้นใช้ตัวอักษรที่สองสามหรือตัวสุดท้ายของคำเหล่านั้นเป็นข้อความรหัสผ่านของคุณ

ตัวอย่างเช่นหากคุณเลือกบรรทัดสถานรับเลี้ยงเด็ก "Hickory dickory dock เมาส์วิ่งขึ้นนาฬิกา" รวมตัวอักษรตัวที่สามของแต่ละคำ (หรือตัวอักษรตัวสุดท้ายสำหรับคำที่สั้นกว่าสามตัวอักษร) เพื่อสร้างวลีรหัสผ่าน: "ccceunpeo ." สำหรับการป้องกันเพิ่มเติมให้เริ่มลำดับตัวอักษรที่สามด้วยคำสุดท้ายของบรรทัดและลงท้ายด้วยคำแรก

ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้คุณใช้ข้อความรหัสผ่านที่แตกต่างกันในแต่ละเว็บไซต์ที่คุณใช้บ่อย วิธีช่วยในการจำข้างต้นช่วยให้การใช้วลีรหัสผ่านที่ไม่ซ้ำกันในไซต์ต่างๆ: เริ่มต้นหรือสิ้นสุดลำดับตัวอักษรด้วยตัวอักษรหมายเลขเดียวกันของบริการนั้น ๆ ตัวอย่างเช่นที่ Amazon ข้อความรหัสผ่านด้านบนจะเป็น "accceunpeo" (เริ่มต้นด้วยตัวอักษรที่สามของคำว่า "Amazon")

เฝ้าดูกิจกรรมเครดิตของคุณอย่างใกล้ชิด

หลังจากที่คุณเปลี่ยนรหัสผ่านแล้วขั้นตอนต่อไปคือการกำหนดว่าข้อมูลใดบ้างที่อาจถูกบุกรุก ในกรณีของปีเตอร์แฮกเกอร์เข้าถึงบัตรเครดิตที่เชื่อมโยงกับบัญชี Marriott Rewards ของเขา การตอบสนองที่ชัดเจนคือการตรวจสอบแถลงการณ์ในอนาคตสำหรับบัญชีนั้นเพื่อให้แน่ใจว่าไม่มีค่าใช้จ่ายที่ไม่ได้รับอนุญาตปรากฏขึ้น

หากคุณมีการเข้าถึงกิจกรรมบัญชีออนไลน์คุณสามารถตรวจสอบค่าใช้จ่ายปลอมได้โดยไม่ต้องรอคำสั่งให้มาถึง บริษัท บัตรเครดิตหลายแห่งให้คุณสมัครใช้งานอีเมลหรือข้อความแจ้งเตือนเมื่อมีการทำธุรกรรมโดยเฉพาะ

หน้า "วิธีจัดการกับการละเมิดความปลอดภัย" ของ Clearinghouse เน้นถึงความสำคัญของการโต้แย้งค่าใช้จ่ายที่ฉ้อโกงในทันที เมื่อคุณโต้แย้งการเรียกเก็บเงิน บริษัท อาจยกเลิกบัญชีปัจจุบันและออกบัตรใหม่และหมายเลขบัญชีใหม่ให้คุณ

การรายงานทันเวลามีความสำคัญยิ่งขึ้นหากการเรียกเก็บเงินไปยังบัญชีบัตรเดบิตตามที่อธิบายไว้ในหัวข้อ "กระดาษหรือพลาสติก: สิทธิ์ในการเก็บข้อมูลส่วนบุคคลของ Clearinghouse หน้า. (สาธารณรัฐประชาชนจีนแนะนำให้คุณไม่เคยใช้หรือแม้แต่พกบัตรเดบิตเพราะพวกเขาไม่มีการป้องกันของบัตรเครดิต)

หากมีโอกาสที่หมายเลขประกันสังคมของคุณถูกขโมยขโมยอาจใช้ SSN เพื่อเปิดบัญชีเครดิตใหม่ในชื่อของคุณ นั่นเป็นเหตุผลที่คุณต้องทำการแจ้งเตือนการฉ้อโกงในบัญชีของคุณกับหนึ่งในสามหน่วยงานรายงานเครดิต คุณต้องตรวจสอบรายงานเครดิตของคุณเป็นประจำ

เพื่อเพิ่มระดับการป้องกันคุณสามารถวางการรักษาความปลอดภัยในบัญชีเครดิตของคุณที่ป้องกันไม่ให้ใครก็ตามเข้าถึงข้อมูลเครดิตของคุณเว้นแต่คุณจะอนุญาตอย่างชัดเจน เอกสารข้อเท็จจริงเกี่ยวกับการละเมิดความปลอดภัยของ PRC มีข้อมูลสำหรับการติดต่อสำนักงานเครดิตเพื่อขอการแจ้งเตือนการฉ้อโกงและสำหรับการลงทะเบียนหรือหยุดการรักษาความปลอดภัย

เมื่อคุณร้องขอการแจ้งเตือนการฉ้อโกงจากหน่วยงานการรายงานหนึ่ง บริษัท นั้นจะติดต่ออีกสองหน่วยงานให้คุณ การแจ้งเตือนจะมีผลใน 90 วันแม้ว่าคุณจะสามารถยกเลิกได้ตลอดเวลาหรือขยายเวลานานถึงเจ็ดปี

โดยทั่วไปการรักษาความปลอดภัยจะมีค่าใช้จ่ายตั้งแต่ $ 5 ถึง $ 10 ในการวางและลบแม้ว่าในแคลิฟอร์เนียและรัฐอื่น ๆ เหยื่อการโจรกรรมข้อมูลส่วนตัวสามารถได้รับการรักษาความปลอดภัยได้ฟรี แหล่งที่มาอย่างเป็นทางการสองแหล่งสำหรับรายงานสินเชื่อประจำปีฟรีคือเว็บไซต์รายงานสินเชื่อฟรีของคณะกรรมาธิการการค้าแห่งสหรัฐอเมริกาและ AnnualCreditReport.com (877-322-8228)

เนื่องจากคุณสามารถขอรายงานฟรีจากหน่วยงานรายงานเครดิตสามแห่งต่อปีคุณสามารถรับรายงานฟรีจากหนึ่งในสามของทุก ๆ สี่เดือน

หลายปีก่อนฉันตกเป็นเหยื่อของการฉ้อโกง ต่อมาฉันสมัครใช้บริการตรวจสอบเครดิตซึ่งคิดค่าธรรมเนียมรายปี บริการส่งรายงานที่สมบูรณ์ทุกไตรมาสและแจ้งเตือนเมื่อใดก็ตามที่องค์กรร้องขอข้อมูลของฉันจากหนึ่งในสามหน่วยงานรายงานเครดิต สำหรับฉันความสงบของจิตใจที่บริการตรวจสอบมีค่าใช้จ่ายถึงแม้ว่าหลาย ๆ คนจะพบว่าการตรวจสอบเครดิตดังกล่าวไม่จำเป็น

หน้า "ข้อมูลประจำตัวของการโจรกรรมข้อมูล: การจัดการกับการละเมิดข้อมูล" ของ Equifax บล็อกอธิบายถึงสิ่งที่เกิดขึ้นเมื่อคุณร้องขอการแจ้งเตือนการฉ้อโกงหรือการรักษาความปลอดภัยแช่แข็ง บล็อกชี้ให้เห็นว่าข้อมูลที่ถูกขโมยของคุณอาจไม่ถูกใช้โดยแฮ็กเกอร์มาเป็นเวลาหนึ่งปีหรือมากกว่านั้นดังนั้นจึงจำเป็นที่จะต้องติดตามกิจกรรมเครดิตของคุณต่อไป

เมื่อใดที่ บริษัท จำเป็นต้องแจ้งให้ลูกค้าทราบถึงการละเมิดข้อมูล

แมริออทปฏิเสธที่จะเสนอรายละเอียดใด ๆ เกี่ยวกับความพยายามแฮ็คที่อาจเกิดขึ้นกับปีเตอร์ไม่ใช่เรื่องผิดปกติ โอกาสที่คุณจะได้รับการติดต่อเมื่อองค์กรสูญเสียหรืออาจสูญเสียข้อมูลส่วนตัวของคุณขึ้นอยู่กับว่าคุณอาศัยอยู่ที่ไหน

DataLossDB ของ Open Security Foundation ระบุว่ามี 47 รัฐที่ออกกฎหมายกำหนดให้ผู้บริโภคได้รับแจ้งถึงการละเมิดที่ทำให้ข้อมูลส่วนบุคคลตกอยู่ในความเสี่ยง อย่างไรก็ตามมีเพียง 12 รัฐเท่านั้นที่รวมข้อกำหนดการแจ้งเตือนไว้กับบันทึกข้อมูลเสรีหรือเสรีภาพในการออกกฎหมายข้อมูลและหน่วยงานส่วนกลางเช่นสำนักงานอัยการสูงสุดหรือแผนกคุ้มครองผู้บริโภคซึ่งมีการรายงานการละเมิด

ข้อบังคับของรัฐบาลกลางครอบคลุมถึงการละเมิดข้อมูลทางการแพทย์ ในเดือนสิงหาคม 2009 กระทรวงสาธารณสุขและบริการมนุษย์ของสหรัฐอเมริกาได้ออกกฎการแจ้งเตือนการละเมิดซึ่งใช้มาตรา 13402 ของเทคโนโลยีสารสนเทศด้านสุขภาพสำหรับเศรษฐกิจและคลินิกสุขภาพ (HITECH) และใช้กับ "HIPAA ครอบคลุมหน่วยงานและผู้ร่วมธุรกิจ" (HIPAA เป็นพระราชบัญญัติประกันสุขภาพพกพาและพระราชบัญญัติความรับผิดชอบปี 1996)

เรื่องราวที่เกี่ยวข้อง

  • NSA ละเมิดกฎความเป็นส่วนตัวหลายพันครั้งการตรวจสอบพบว่า
  • Hacker ขอร้องไม่ผิดที่จะขโมยบัตรเครดิต 160 ล้านใบ
  • ประเทศจีนมองเห็น IBM, Oracle, EMC เกี่ยวกับปัญหาด้านความปลอดภัยที่อาจเกิดขึ้น
  • เดชาวูอีกครั้งเหรอ? สำหรับคนงาน: เราถูกแฮ็ก

ในฐานะที่เป็นส่วนหนึ่งของพระราชบัญญัติการลงทุนใหม่และการฟื้นฟูอเมริกาปี 2009 คณะกรรมาธิการการค้าแห่งสหรัฐอเมริกา (US Federal Trade Commission) ได้ออกกฎการแจ้งเตือนการละเมิดขั้นสุดท้ายสำหรับข้อมูลด้านสุขภาพอิเล็กทรอนิกส์ที่ใช้กับ "ผู้ขาย ... ซึ่งเป็นแหล่งเก็บข้อมูลออนไลน์ และเอนทิตีที่นำเสนอแอปพลิเคชันบุคคลที่สามสำหรับบันทึกสุขภาพส่วนบุคคล "

ไม่มีข้อกำหนดของรัฐบาลกลางที่องค์กรภาครัฐและเอกชนอื่นแจ้งผู้บริโภคเมื่อข้อมูลส่วนบุคคลของพวกเขาอาจถูกบุกรุก รายงานการวิจัยของรัฐสภาในปี 2010 เรื่อง "ความปลอดภัยข้อมูลของรัฐบาลกลางและกฎหมายแจ้งเตือนการละเมิดข้อมูล" (PDF) ชี้ให้เห็นว่ากฎหมายความเป็นส่วนตัวของรัฐมีแนวโน้มที่จะกำหนดให้หน่วยงานภาครัฐและเอกชนแจ้งผู้บริโภคที่อาจได้รับผลกระทบจากการละเมิดข้อมูล

Legislatures สภาแห่งชาติให้ภาพรวมของกฎหมายการแจ้งเตือนการละเมิดความมั่นคงของรัฐ คู่มือการแจ้งเตือนผู้บริโภคทางแยก (PDF) อธิบายรายละเอียดของข้อกำหนดการแจ้งเตือนของแต่ละรัฐ

เมื่อเดือนที่แล้วในบล็อก Sophos Naked Security Chester Wisniewski ตรวจสอบการเปลี่ยนแปลงล่าสุดในกฎหมายแจ้งเตือนการละเมิดข้อมูลการเปลี่ยนแปลงบางอย่างให้ดีขึ้นและแย่ลง

หลังจากความพยายามที่ล้มเหลวสี่ครั้งย้อนหลังไปถึงปี 2005 สภาคองเกรสดูเหมือนจะพร้อมที่จะพยายามอีกครั้งในการผ่านกฎหมายการแจ้งเตือนการละเมิดที่ครอบคลุม วิคเตอร์ลี่อธิบายเกี่ยวกับเว็บไซต์นักกฎหมายด้านกฎหมายว่าคณะอนุกรรมการการค้าของคณะกรรมการพลังงานและพาณิชย์ได้รับเรื่องนี้เมื่อเดือนที่แล้วซึ่งตัวแทนอุตสาหกรรมและผู้เชี่ยวชาญด้านความเป็นส่วนตัวหลายคนให้การเป็นพยาน

หนึ่งในปัญหาที่ไม่แน่นอนที่สำคัญคือว่ากฎหมายการแจ้งเตือนของรัฐบาลกลางจะเข้ามาแทนที่กฎหมายของรัฐหรือเสริมข้อกำหนดการแจ้งเตือนของรัฐที่มีอยู่ ในอีกด้านหนึ่งการปฏิบัติตามกฎหมายการแจ้งเตือนของรัฐต่าง ๆ สร้างฝันร้ายของระบบราชการสำหรับบาง บริษัท ในทางกลับกันผู้สนับสนุนความเป็นส่วนตัวกลัวว่ากฎระเบียบของรัฐบาลกลางเดียวจะกำจัดการคุ้มครองผู้บริโภคที่ได้รับคำสั่งจากรัฐ

โพสต์ยอดนิยม

วิธีเดินทางด้วย iPad Wi-Fi เท่านั้น

วิธีการเปิดใช้งานการประหยัดแบตเตอรี่บน Android 5.0 Lollipop

แอพ Android ที่จำเป็นห้าประการสำหรับผู้ดูคอนเสิร์ต

เริ่มต้นใช้งาน Facebook Save

การสำรองข้อมูลที่ดีที่สุดเป็นไปโดยอัตโนมัติ

ราคาของ iPhone จะลดลงเมื่อใด

 

แสดงความคิดเห็นของคุณ