Geçen Cuma günü Peter adlı bir okuyucu Marriott Ödülleri hesabına giriş yapmaya çalıştığında ortaya çıkan bir bildirim hakkında benimle irtibata geçti. Duyuru, birisinin hesabı kesmeye çalıştığını ve şifresini değiştirmesi gerektiğini belirtti. Peter Marriott yardım masası ile canlı bir sohbet başlattı ve aşağıdakileri söyledi:
"Son zamanlarda az sayıda üyenin çevrimiçi hesabına yetkisiz erişim sağlamak için girişimlerde bulunuldu. Marriott.com'u ziyaret etmenizi ve hesabınızın güvenliğini sağlamada bize yardımcı olmak için en kısa zamanda şifrenizi değiştirmenizi tavsiye ediyorum."Peter, acenteye hesabının riske atılıp atılmadığını sorduğunda, ajan daha fazla ayrıntı vermeyi reddetti. Bu Peter'ı şüpheli kıldı ve haklı olarak. Kimlik avı kimliklerimizi ve şifrelerimizi değiştirmemize bizi kandırmaya çalışan kimlik avı dolandırıcılıklarına alışmış olduk, böylece kimlik avcıları bunları yakalayabilir ve verilerimizi çalabilir.
Kişisel verilerinizin risk altında olduğundan şüpheleniyorsanız inisiyatif al
Peter, Marriott.com'un güvenlik bildirimine uzmanların önerdiği şekilde yanıt verdi: hesap kimliğinizde veya şifrenizde herhangi bir değişiklik yapmadan önce, bildirimin orijinal olduğunu onaylayın. Dennis Schaal'ın bu ayın başlarında Skift seyahat sitesinde bildirdiği gibi Marriott, üyelerin şifrelerini değiştirinceye kadar Marriott Rewards hesaplarına mobil cihazlardan erişimi kesti.
Schaal, kredi kartı veya Sosyal Güvenlik numaralarının hack girişimlerinden taviz vermediğini iddia eden bir Marriott sözcüsünden söz ediyor, ancak şirketin herhangi bir hesabın ihlal edilip edilmediğini ve eğer varsa, hangilerinin ihlal edileceğini belirlemesinin "neredeyse imkansız" olduğunu söyledi.
Bu Peter ve diğer Marriott Rewards üyelerini nerede bırakır? En azından uyarının meşru olduğunu biliyorlar, ancak Marriott.com şifresini değiştirmenin ötesinde herhangi bir önlem almaları gerekip gerekmediğini bilmiyorlar.
Potansiyel olarak tehlikeye düşmüş hesabın şifresini değiştirmenin ilk adımı bile göründüğünden daha karmaşık olabilir. Tarayıcınızı şifrelerinizi hatırlayacak şekilde ayarladıysanız, şifrelerinizi kağıda veya bir veri dosyasına kaydettiyseniz veya bir şifre yöneticisi kullandıysanız, bu listeler de güncellenmelidir.
Pek çok uzman LastPass gibi bir şifre yönetimi ürünü kullanmanızı tavsiye etse de, bu konseptte satılmadım. Benim için bu tür hizmetler bilgisayar korsanları için başka bir potansiyel hedef oluşturuyor. Parolalarınızı not etmek de sorun yaratır. (Geçen ekimde "Parolalarınızı 'yazmanın güvenli yolu" açıkladım.)
Aralık 2001'den itibaren "Parola sanatına hakim olmak" başlıklı bir yazı, parola yöneticilerinin artılarını ve eksilerini tartıştı. Bu yazı, ayrı bir program kullanılmasını veya kağıda şifre yazılmasını gerektirmeyen en sevdiğim şifre oluşturma tekniğimi açıkladı.
Şarkı sözü, şiirden gelen bir çizgi veya kardeşlerin, kuzenlerin veya arkadaşların isimleri gibi zaten ezberlediğiniz bir şeyle başlayın. Ardından bu kelimelerin ikinci, üçüncü veya son harflerini parolanız olarak kullanın.
Örneğin, tekerleme kafesi "Hickory dickory dock, fare saati koştu" satırını seçerseniz, parolanızı oluşturmak için her kelimenin üçüncü harflerini (veya üç harften kısa kelimeler için son harfi) birleştirin: "ccceunpeo ." Daha fazla koruma için, üçüncü harf sırasını satırın son sözcüğü ile başlatın ve ilk sözcüğü ile bitirin.
Güvenlik uzmanları sık kullandığınız her sitede farklı bir parola kullanmanızı önerir. Yukarıdaki anımsatıcı yöntem, çeşitli sitelerde benzersiz parolaların kullanılmasını kolaylaştırır: harf sırasını söz konusu hizmetin aynı sayıda harfiyle başlatmak veya bitirmek. Dolayısıyla, Amazon'da, örneğin, yukarıdaki parola "accceunpeo" ("Amazon" kelimesinin üçüncü harfiyle başlayan) olur.
Kredi aktivitenizi yakından takip edin
Şifrenizi değiştirdikten sonra, bir sonraki adım hangi verilerin tehlikeye girebileceğini belirlemektir. Peter'ın durumunda, bilgisayar korsanlarının Marriott Rewards hesabı ile ilişkili kredi kartına erişmesi mümkündür. Açık bir cevap, yetkisiz ödemelerin görünmemesini sağlamak için bu hesap için gelecekteki beyanları izlemektir.
Hesap etkinliğine çevrimiçi olarak erişebiliyorsanız, bildirimin gelmesini beklemeden sahte ödemeleri kontrol edebilirsiniz. Birçok kredi kartı şirketi, belirli işlemler gerçekleştiğinde e-posta veya metin uyarıları için kaydolmanıza izin verir.
Gizlilik Hakları Takas Merkezi'nin "Güvenlik İhlaliyle Nasıl Başa Çıkılır" sayfası, dolandırıcılık suçlamalarına hemen itiraz etmenin önemini vurgulamaktadır. Bir masrafı itiraz ettiğinizde, şirket muhtemelen cari hesabı iptal eder ve size yeni bir kart ve hesap numarası verir.
Gizlilik Hakları Takasevinin "Kağıt veya Plastik: Kaybedecek Neyin Var?" Da açıklandığı gibi, ödeme bir banka kartı hesabındaysa, zamanında raporlama daha da önemlidir. sayfa. (PRC, kredi kartlarını koruyamadıkları için banka kartlarını asla kullanmamanızı ve hatta taşımamanızı önerir.)
Sosyal Güvenlik numaranızın çalınması olasılığı varsa, hırsızlar adınıza yeni kredi hesapları açmak için SSN'yi kullanabilir. Bu nedenle, üç kredi bildiren kuruluştan biriyle hesaplarınızda dolandırıcılık uyarısı koymanız gerekir. Ayrıca kredi raporunuzu düzenli olarak izlemeniz gerekir.
Ek bir koruma düzeyi için, açıkça izin vermediğiniz sürece, kredi bilgilerinize kimsenin kredi bilgilerinize erişmesini önleyen bir güvenlik dondurması koyabilirsiniz. PRC'nin Güvenlik İhlali bilgi sayfası, dolandırıcılık uyarısı istemek ve kaydolmak ya da bir güvenlik dondurması için kredi bürolarıyla iletişim kurmak için bilgi içerir.
Bir raporlama ajansından dolandırıcılık uyarısı isteğinde bulunduğunuzda, bu şirket sizin için diğer iki ajansla iletişim kuracaktır. Uyarı, herhangi bir zamanda iptal edebilmeniz veya yedi yıla kadar uzatabilmenize rağmen, 90 gün boyunca geçerli olacaktır.
Güvenlik dondurması genellikle yerleştirmek ve çıkarmak için 5 ila 10 dolar arasındadır, ancak Kaliforniya ve diğer bazı eyaletlerde kimlik hırsızlığı mağdurları ücretsiz olarak bir güvenlik dondurması alabilir. Yıllık ücretsiz kredi raporları için iki resmi kaynak ABD Federal Ticaret Komisyonu'nun Ücretsiz Kredi Raporları sitesi ve AnnualCreditReport.com'dur (877-322-8228).
Her üç kredi raporlama kurumundan yılda bir kez ücretsiz rapor isteyebildiğiniz için, her üç ayda bir ücretsiz rapor alabilirsiniz.
Yıllar önce, dolandırıcılık girişiminin kurbanı oldum. Daha sonra yıllık ücret talep eden bir kredi izleme hizmeti için kaydoldum. Hizmet bana üç ayda bir eksiksiz raporlar gönderiyor ve bir kuruluş verilerimi üç kredi bildiren kuruluştan birinden talep ettiğinde uyarıyor. Benim için, izleme hizmetinin sunduğu gönül rahatlığı masrafa değer, ancak birçok kişi bu tür kredi izlemelerini gereksiz buluyor.
Equifax Finance Blog'un "Kimlik Hırsızlığı: Veri İhlaliyle Başa Çıkma" sayfası, bir dolandırıcılık uyarısı veya güvenlik dondurması istediğinde ne olacağını açıklar. Blog, çalınan bilgilerinizin bilgisayar korsanları tarafından bir yıl veya daha uzun süre kullanılmayabileceğinin altını çiziyor, bu nedenle kredi faaliyetlerinizi izlemeye devam etmek zorunludur.
Şirketler ne zaman müşterilere veri ihlallerini bildirmek zorundadır?
Marriott, Peter'a karşı olası saldırı girişimi hakkında herhangi bir ayrıntı vermeyi reddetmesi olağandışı değil. Bir kuruluşun kaybettiği veya özel verilerinizi kaybettiği zaman sizinle temasa geçme olasılığı, nerede yaşadığınıza bağlıdır.
Açık Güvenlik Vakfı'nın DataLossDB'sine göre, 47 eyalet, tüketicilerin kişisel bilgilerini riske sokan ihlallerden haberdar edilmelerini gerektiren yasaları yürürlüğe koydu. Bununla birlikte, yalnızca 12 ülke, bildirim gerekliliğini açık kayıt veya bilgi özgürlüğü yasasıyla ve ihlallerin bildirildiği Genel Avukat veya tüketici koruma bölümü gibi merkezi bir otorite ile birleştirmektedir.
Federal yönetmelikler tıbbi verilerin ihlallerini kapsar. Ağustos 2009'da ABD Sağlık ve İnsan Hizmetleri Bakanlığı, Ekonomik ve Klinik Sağlık için Sağlık Bilgi Teknolojisi (HITECH) Yasası'nın 13402'sini uygulayan ve "HIPAA kapsamındaki kuruluşlar ve iş ortakları" için geçerli olan İhlal Bildirim Kuralını yayınladı. (HIPAA, 1996 tarihli Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasasıdır.)
İlgili Öyküler
- NSA, gizlilik kurallarını binlerce kez ihlal etti
- Hacker, 160M kredi kartlarını çalmaktan suçlu bulunmadığını ileri sürdü
- Çin, olası güvenlik konularında IBM, Oracle ve EMC’ye göz attı
- Yine Deja vu mu? İşçilere DOE: Biz saldırıya uğradık
2009 tarihli Amerikan Yeniden Toplama ve Geri Kazanma Yasası'nın bir parçası olarak, ABD Federal Ticaret Komisyonu, insanların sağlık bilgilerini takip etmek için kullanabilecekleri çevrimiçi depolar sağlayan "satıcılar ... için geçerli olan Elektronik Sağlık Bilgileri için Son İhlal Bildirimi Kuralı yayınladı. ve kişisel sağlık kayıtları için üçüncü taraf uygulamaları sunan kuruluşlar. "
Diğer kamu ve özel kuruluşların, kişisel verilerinden ödün verildiğinde tüketicileri bilgilendirmeleri için federal bir gereklilik yoktur. Kongre Araştırma Hizmeti'nin 2010 tarihli "Federal Bilgi Güvenliği ve Veri İhlali Bildirimi Yasası" (PDF) raporu, devlet gizliliği yasalarının, kamuoyundaki ve özel kuruluşların veri ihlallerinden etkilenmiş olan tüketicilere bildirimde bulunmalarını gerektirme ihtimalinin çok daha yüksek olduğunu belirtmektedir.
Ulusal Devlet Yasama Konseyi, devlet güvenlik ihlali bildirim yasalarına genel bir bakış sunar. Kavşak Tüketici Bildirim Rehberi (PDF), her bir durumun bildirim gereksinimlerinin özelliklerini açıklar.
Sophos Naked Security blogunda geçen ay, Chester Wisniewski, eyalet veri ihlali bildirim yasalarında yapılan son değişiklikleri, bazılarını daha iyi, bazılarını daha da kötüye götürdüğünü inceledi.
2005 yılına dayanan dört başarısız girişimden sonra, Kongre, kapsamlı bir ihlali bildirme yasasını geçirme konusunda başka bir girişimde bulunmaya hazır görünüyor. Victor Li, Legal Intelligencer sitesinde, House Enerji ve Ticaret Komitesinin ticaret alt komitesinin geçen ay birkaç endüstri temsilcisinin ve gizlilik uzmanının tanıklık ettiği bir duruşmada konuyu ele aldığını açıkladı.
Belgelenmemiş en önemli sorunlardan biri, bir federal bildirim yasasının eyalet yasalarının yerine geçmesi veya mevcut devlet bildirimi gerekliliklerini yerine getirmesidir. Bir yandan, çeşitli devlet bildirim yasalarına uymak, bazı şirketler için bürokratik bir kabus yaratır. Öte yandan, mahremiyet savunucuları, tek bir federal düzenlemenin mevcut bazı devlet zorunlu tüketici korumasını ortadan kaldıracağından korkuyor.
Yorumunuzu Bırakın