Come rispondere a una notifica di violazione dei dati

Venerdì scorso, un lettore di nome Peter mi ha contattato per un avviso apparsi quando ha tentato di accedere al suo account Marriott Rewards. L'avviso indicava che qualcuno avrebbe potuto tentare di hackerare l'account e che avrebbe dovuto cambiare la sua password. Peter ha avviato una chat dal vivo con l'help desk Marriott e gli è stato detto quanto segue:

"Recentemente sono stati fatti tentativi per ottenere l'accesso non autorizzato a un numero limitato di account online dei membri. Vi incoraggio a visitare Marriott.com e a cambiare la vostra password il prima possibile per aiutarci a garantire la sicurezza del vostro account."

Quando Peter ha chiesto all'agente se il suo account fosse stato compromesso, l'agente si è rifiutato di fornire ulteriori dettagli. Questo ha reso Peter sospettoso, e giustamente. Ci siamo abituati alle truffe di phishing che tentano di indurci a modificare i nostri ID di accesso e le password in modo che i phisher possano catturarli e quindi rubare i nostri dati.

Prendi l'iniziativa quando sospetti che i tuoi dati personali siano a rischio

Peter ha risposto alla notifica di sicurezza di Marriott.com esattamente come gli esperti raccomandano: prima di apportare modifiche all'ID o alla password del tuo account, conferma l'autenticità della notifica. Come riportato da Dennis Schaal all'inizio di questo mese sul sito di viaggi di Skift, Marriott ha interrotto l'accesso agli account di Marriott Rewards dai dispositivi mobili fino a quando i membri non hanno cambiato le loro password.

Schaal cita una portavoce della Marriott che ha affermato che nessun numero di carta di credito o di previdenza sociale è stato compromesso dai tentativi di hacking, sebbene abbia affermato che è "praticamente impossibile" per la società determinare se eventuali account sono stati violati e, in tal caso, quali.

Dove lascia Peter e altri membri del Marriott Rewards? Almeno sanno che l'avviso era legittimo, ma non sanno se devono prendere delle precauzioni oltre a cambiare semplicemente la loro password di Marriott.com.

Anche l'ovvio primo passaggio per modificare la password dell'account potenzialmente compromesso potrebbe essere più complicato di quanto non appaia. Se hai impostato il browser per ricordare le tue password, registrato le tue password su carta o in un file di dati, o utilizzare un gestore di password, tali elenchi dovranno essere aggiornati.

Mentre molti esperti raccomandano l'uso di un prodotto di gestione delle password come LastPass, non sono venduto sul concetto. Per me, questi servizi creano un altro potenziale obiettivo per gli hacker. Scrivere le tue password presenta anche dei problemi. (Lo scorso ottobre, ho spiegato "Il modo sicuro per scrivere le tue password".)

Un post dal dicembre 2001 intitolato "Padroneggiare l'arte delle password" ha discusso i vantaggi e gli svantaggi dei gestori di password. Quel post descriveva la mia tecnica di creazione di password preferita, che non richiede l'utilizzo di un programma separato o la scrittura di password su carta.

Inizia con qualcosa che hai già memorizzato, come un testo di una canzone, una battuta di un poema o i nomi di fratelli, cugini o amici. Quindi usa la seconda, terza o ultima lettera di quelle parole come passphrase.

Ad esempio, se si sceglie la linea nursery-rhyme "Hickory dickory dock, il mouse ha funzionato fino all'orologio", combina le terze lettere di ogni parola (o l'ultima lettera per le parole più brevi di tre lettere) per creare la passphrase: "ccceunpeo ". Per una maggiore protezione, avviare la sequenza di terza lettera con l'ultima parola della riga e terminare con la prima parola.

Gli esperti di sicurezza consigliano di utilizzare una passphrase diversa in ogni sito che frequenti. Il suddetto metodo mnemonico facilita l'uso di passphrase uniche in vari siti: inizia o termina la sequenza di lettere con la stessa lettera di quel particolare servizio. Ad Amazon, ad esempio, la passphrase di cui sopra sarebbe "accceunpeo" (a partire dalla terza lettera della parola "Amazon").

Tieni d'occhio la tua attività di credito

Dopo aver modificato la password, il passaggio successivo consiste nel determinare quali dati potrebbero essere stati compromessi. Nel caso di Peter, è possibile che gli hacker abbiano effettuato l'accesso alla carta di credito associata al proprio account Marriott Rewards. La risposta ovvia è di monitorare le dichiarazioni future per quell'account per garantire che non vengano visualizzati addebiti non autorizzati.

Se si dispone dell'accesso online all'attività dell'account, è possibile verificare la presenza di addebiti fasulli senza dover attendere l'arrivo di una dichiarazione. Molte società di carte di credito ti consentono di registrarti per e-mail o avvisi di testo ogni volta che si verificano particolari transazioni.

La pagina "Come gestire una violazione di sicurezza" della Privacy Clearinghouse sottolinea l'importanza di contestare le accuse fraudolente immediatamente. Quando contestate un addebito, la società probabilmente annullerà l'account corrente e vi rilascerà una nuova carta e un nuovo numero di conto.

La segnalazione tempestiva è ancora più importante se l'addebito riguarda un conto con carta di debito, come spiegato nella "Carta o plastica: cosa hai dovuto perdere? pagina. (La RPC raccomanda di non utilizzare mai o addirittura di portare con sé carte di debito perché mancano le protezioni delle carte di credito).

Se c'è una possibilità che il tuo numero di previdenza sociale sia stato rubato, i ladri possono usare l'SSN per aprire nuovi account di credito a tuo nome. Ecco perché è necessario inserire un avviso di frode sui propri conti con una delle tre agenzie di segnalazione dei crediti. È inoltre necessario monitorare regolarmente il rapporto di credito.

Per un ulteriore livello di protezione, è possibile inserire un blocco di sicurezza sui propri conti di credito che impedisce a chiunque di accedere ai dati di credito, a meno che non lo consenta esplicitamente. La scheda informativa sulla violazione della sicurezza della RPC contiene informazioni per contattare le agenzie di credito per richiedere un avviso di frode e per la registrazione o un blocco della sicurezza.

Quando si richiede un avviso di frode da un'agenzia di segnalazione, tale società contatterà le altre due agenzie per conto dell'utente. L'avviso verrà applicato per 90 giorni, sebbene sia possibile annullarlo in qualsiasi momento o estenderlo fino a sette anni.

Un blocco della sicurezza generalmente costa da $ 5 a $ 10 per collocare e rimuovere, anche se in California e in altri stati, le vittime di furto di identità possono ottenere un blocco della sicurezza gratuitamente. Le due fonti ufficiali per i rapporti annuali di credito gratuiti sono il sito di rapporti di credito gratuito della Federal Trade Commission statunitense e AnnualCreditReport.com (877-322-8228).

Poiché è possibile richiedere una relazione gratuita da ciascuna delle tre agenzie di segnalazione di credito una volta all'anno, è possibile ottenere un rapporto gratuito da uno dei tre ogni quattro mesi.

Anni fa, sono stato vittima di un tentativo di frode. Successivamente ho sottoscritto un servizio di monitoraggio del credito che addebita una tariffa annuale. Il servizio mi invia relazioni trimestrali complete e avverte ogni volta che un'organizzazione richiede i miei dati da una delle tre agenzie di segnalazione dei crediti. Per me, la tranquillità che offre il servizio di monitoraggio vale la spesa, anche se molte persone ritengono che tale monitoraggio del credito non sia necessario.

La pagina "Identity Theft: dealing with a Breach" di Equifax Finance Blog spiega cosa succede quando si richiede un allarme di frode o blocco della sicurezza. Il blog sottolinea che le informazioni rubate potrebbero non essere utilizzate dagli hacker per un anno o più, quindi è assolutamente necessario continuare a monitorare la tua attività di credito.

Quando vengono richieste le aziende per informare i clienti di violazioni dei dati?

Il rifiuto di Marriott di fornire dettagli sull'eventuale tentativo di hackeraggio contro Peter non è inusuale. La probabilità che verrai contattato quando un'organizzazione perde o potrebbe aver perso i tuoi dati privati ​​dipende da dove vivi.

Secondo il DataLossDB della Open Security Foundation, 47 stati hanno promulgato leggi che richiedono che i consumatori siano informati di violazioni che mettono a rischio le loro informazioni personali. Tuttavia, solo 12 stati combinano l'obbligo di notifica con una legislazione aperta o sulla libertà di informazione e un'autorità centralizzata, come il Procuratore generale o la divisione tutela dei consumatori, a cui vengono segnalate le violazioni.

Le normative federali riguardano le violazioni dei dati medici. Nell'agosto 2009, il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti ha emesso la regola di notifica delle violazioni, che implementa la sezione 13402 della Legge sulla salute e la salute clinica (HITECH) e si applica alle "entità coperte HIPAA e ai loro soci in affari". (HIPAA è la legge sulla portabilità e responsabilità delle assicurazioni sanitarie del 1996).

Storie correlate

  • L'NSA ha violato le regole sulla privacy migliaia di volte, riscontri di controllo
  • Hacker si dichiara non colpevole di aver rubato le carte di credito 160M
  • China osserva IBM, Oracle, EMC rispetto a possibili problemi di sicurezza
  • Deja vu di nuovo? DOE to workers: Siamo stati hackerati

Nell'ambito dell'American Reinvestment and Recovery Act del 2009, la Federal Trade Commission degli Stati Uniti ha emesso una regola di notifica di violazione definitiva per le informazioni sulla salute elettronica che si applica ai "fornitori ... che forniscono repository online che le persone possono utilizzare per tenere traccia delle proprie informazioni sanitarie e entità che offrono applicazioni di terze parti per la documentazione sanitaria personale. "

Non vi è alcun obbligo federale che altre organizzazioni pubbliche e private informino i consumatori quando i loro dati personali potrebbero essere stati compromessi. Il rapporto del Congressional Research Service del 2010 intitolato "Legge sulla sicurezza delle informazioni e sulla notifica dei dati" (PDF) sottolinea che è molto più probabile che le leggi sulla privacy dello Stato richiedano che enti pubblici e privati ​​informino i consumatori che potrebbero essere stati colpiti da una violazione dei dati.

Le legislature del Consiglio nazionale dello Stato forniscono una panoramica delle leggi sulla notifica di violazione della sicurezza dello Stato. La guida alla notifica dei consumatori di Intersections (PDF) spiega i dettagli dei requisiti di notifica di ogni stato.

Il mese scorso sul blog di Sophos Naked Security, Chester Wisniewski ha esaminato i recenti cambiamenti nelle leggi sulla notifica di violazione dei dati dello stato, alcune modifiche per il meglio e altre per il peggio.

Dopo quattro tentativi falliti risalenti al 2005, il Congresso sembra essere pronto a fare un altro tentativo di passare una legge completa di notifica di violazione. Victor Li spiega sul sito di Legal Intelligencer che la sottocommissione commerciale della Commissione per l'energia e il commercio della Camera ha discusso la questione il mese scorso in cui hanno testimoniato diversi rappresentanti del settore e esperti in materia di privacy.

Uno dei principali problemi non risolti è se una legge di notifica federale sostituisca le leggi statali o completi i requisiti di notifica di stato esistenti. Da un lato, il rispetto di varie leggi di notifica dello stato crea un incubo burocratico per alcune aziende. D'altra parte, i difensori della privacy temono che un singolo regolamento federale possa eliminare alcune delle protezioni esistenti dei consumatori imposti dallo stato.

Messaggi Popolari

Cos'è l'ampia gamma di colori (WCG)?

Tre modi per spostarsi a sinistra sul commutatore di attività

Andare a mani libere con Moto X e i nuovi smartphone Droid

La privacy di Internet in un'epoca di sorveglianza

Riproduci e condividi video musicali su YouTube con Tubalr

Ripristina i contatti su Android dopo la sincronizzazione e-mail di Facebook

 

Lascia Il Tuo Commento