Hur man svarar på en anmälan om uppgiftsbrott

I fredags kontaktade en läsare som heter Peter kontakt med mig om ett meddelande som visade sig när han försökte logga in på sitt Marriott Rewards-konto. Meddelandet visade att någon kan ha försökt hacka kontot och han ska ändra sitt lösenord. Peter inledde en livechatt med Marriotts hjälpdisk och fick veta följande:

"Det har nyligen gjorts försök att få obehörig tillgång till ett litet antal medlemmars onlinekonton. Jag uppmanar dig att besöka Marriott.com och ändra ditt lösenord så snart som möjligt för att hjälpa oss att säkerställa säkerheten för ditt konto."

När Peter frågade agenten om hans konto hade äventyrats, vägrade agenten att lämna ytterligare uppgifter. Detta gjorde Peter misstänkt, och med rätta. Vi har blivit vana vid phishing-bedrägerier som försöker lura oss om att ändra våra inloggnings-ID och lösenord så att phishersna kan fånga dem och sedan stjäla våra data.

Ta initiativet när du misstänker att dina personuppgifter är i fara

Peter svarade på Marriott.coms säkerhetsanmälan exakt som experterna rekommenderar: Innan du ändrar ditt konto-ID eller lösenord, bekräfta meddelandets äkthet. Som Dennis Schaal rapporterade tidigare i månaden på Skift-resebyrån avbröt Marriott tillgången till Marriott Rewards-konton från mobila enheter tills medlemmarna ändrat sina lösenord.

Schaal citerar en Marriott talesman som hävdade att inga kreditkort eller socialförsäkringsnummer hade äventyras av hackförsöket, även om hon sa att det var "praktiskt taget omöjligt" för företaget att avgöra om några konton bryts och i så fall vilka.

Var lämnar Peter och andra Marriott Rewards medlemmar? De vet åtminstone att varningen var legitim, men de vet inte om de behöver vidta några försiktighetsåtgärder utöver att helt enkelt ändra sitt Marriott.com-lösenord.

Även det uppenbara första steget att ändra det potentiellt kompromissade lösenordet kan vara mer komplicerat än det visas. Om du har ställt in din webbläsare för att komma ihåg dina lösenord, spelade in dina lösenord på papper eller i en datafil, eller använd en lösenordshanterare, måste listorna också uppdateras.

Medan många experter rekommenderar att du använder en lösenordshanteringsprodukt som LastPass, säljs jag inte på konceptet. För mig skapar sådana tjänster ett annat potentiellt mål för hackare. Skriva ner dina lösenord presenterar också problem. (I oktober förklarade jag "Det säkra sättet att" skriva ner "dina lösenord.")

Ett inlägg från december 2001 med titeln "Mastering av lösenordet" diskuterade fördelarna och nackdelarna med lösenordsansvariga. Det här inlägget beskriver min favorit lösenordsskapande teknik, som inte kräver att man använder ett separat program eller skriver lösenord på papper.

Börja med något du redan har memorerat, till exempel en låtisk, en linje från en dikt eller namnen på syskon, kusiner eller vänner. Använd sedan de andra, tredje eller sista bokstäverna för dessa ord som ditt lösenfras.

Om du till exempel väljer barnkammaren "Hickory Dickory Dock" körde musen klockan, "kombinera de tre bokstäverna i varje ord (eller den sista bokstaven för ord kortare än tre bokstäver) för att skapa ditt lösenfras:" ccceunpeo ." För extra skydd startar du den tredje bokstäverföljden med det sista ordet av linjen och slutar med det första ordet.

Säkerhetsexperter rekommenderar att du använder en annan lösenordsras på varje webbplats du ofta brukar. Ovanstående mnemoniska metod underlättar användningen av unika lösenordsfraser på olika platser: Börja eller avsluta boksekvensen med samma bokstav för samma tjänst. Så på Amazon, till exempel, ovanstående lösenfras skulle vara "accceunpeo" (börjar med tredje bokstaven i ordet "Amazon").

Håll koll på din kreditaktivitet

När du har ändrat ditt lösenord är nästa steg att avgöra vilka data som kan ha äventyras. I Peters fall är det möjligt att hackare nått kreditkortet i samband med sitt Marriott Rewards-konto. Det uppenbara svaret är att övervaka framtida uttalanden för det kontot för att säkerställa att inga obehöriga avgifter visas.

Om du har onlineåtkomst till kontoaktiviteten kan du kontrollera om de är falska avgifter utan att behöva vänta på att ett uttalande ska komma fram. Många kreditkortsföretag låter dig registrera dig för e-post eller textmeddelanden när särskilda transaktioner inträffar.

Privacy Rights Clearinghouse s "Hur man hanterar en säkerhetsbrott" -sida betonar vikten av att bestrida bedrägliga avgifter direkt. När du bestrider en avgift, kommer företaget troligt att avbryta det aktuella kontot och ge dig ett nytt kort och kontonummer.

Tidig rapportering är ännu viktigare om avgiften är på ett betalkortkonto, som förklarats i Privacy Rights Clearinghouse "Papper eller plast: Vad har du att förlora?" sida. (Kina rekommenderar att du aldrig använder eller ens bär betalkort eftersom de saknar kreditkortskyddet.)

Om det finns en chans att ditt personnummer har blivit stulen, kan tjuvarna använda SSN för att öppna nya kreditkonton i ditt namn. Därför måste du lägga in en bedrägeribekännelse på dina konton hos en av de tre kreditrapporteringsbyråerna. Du måste också övervaka din kreditrapport regelbundet.

För en ökad skyddsnivå kan du placera en säkerhetsfras på dina kreditkonton som hindrar någon från att komma åt din kreditinformation om du inte tillåter det uttryckligen. PRC: s säkerhetsdatablad har information för att kontakta kreditbyråerna för att begära en bedrägeribekännelse och för anmälan eller en säkerhetsfras.

När du begär en bedrägeribekännelse från en rapporterande byrå, kommer det företaget att kontakta de andra två byråerna för dig. Varningen kommer att vara på plats i 90 dagar, även om du kan avbryta det när som helst eller förlänga det så länge som sju år.

En säkerhetsfrysning kostar vanligen från $ 5 till $ 10 för att placera och ta bort, även om i Kalifornien och några andra stater kan identitetsstöldoffer få en säkerhetsfrys gratis. De två officiella källorna till gratis årliga kreditrapporter är US Federal Trade Commissions gratis kreditrapporteringswebbplats och AnnualCreditReport.com (877-322-8228).

Eftersom du kan begära en gratis rapport från var och en av de tre kreditrapporteringsbyråerna en gång om året kan du få en gratis rapport från en av de tre var fjärde månad.

För år sedan blev jag offer för ett bedrägeribesök. Jag anmälde mig senare till en kreditövervakningstjänst som tar ut en årlig avgift. Tjänsten skickar mig fullständiga rapporter kvartalsvis och varnar när en organisation begär mina data från en av de tre kreditrapporteringsbyråerna. För mig är lugn i övervakningstjänsten värt kostnaden, även om många människor skulle hitta sådan kreditövervakning onödig.

Equifax Finance Blogs "Identity Theft: Dealing with a Data Breach" -sidan förklarar vad som händer när du begär en bedrägeribekännelse eller säkerhetsfrysning. Bloggen påpekar att din stulna information kanske inte används av hackarna i ett år eller mer, så det är absolut nödvändigt att fortsätta att övervaka din kreditaktivitet.

När är företag skyldiga att anmäla kunder om överträdelser av uppgifter?

Marriotts vägran att erbjuda några detaljer om det möjliga hackförsöket mot Peter är inte ovanligt. Sannolikheten för att du kommer att kontaktas alls när en organisation förlorar eller kan ha förlorat din privata data beror på var du bor.

Enligt den öppna säkerhetsfondens DataLossDB har 47 stater antagit lagar som kräver att konsumenter meddelas om brott som sätter sin personliga information i fara. Men endast 12 stater kombinerar anmälningskravet med öppen lagring eller informationsfrihetslagstiftning och en central myndighet, till exempel advokat- eller konsumentskyddsavdelningen, vilka överträdelser rapporteras.

Federal bestämmelser omfattar brott mot medicinska uppgifter. I augusti 2009 utfärdade USA: s ministerium för hälsa och mänskliga tjänster anmälningsregeln, som tillämpar avsnitt 13402 i lagen om hälsoinformationsteknologi för ekonomisk och klinisk hälsa (HITECH) och gäller "HIPAA-täckta enheter och deras affärsförbindelser". (HIPAA är lagen om hälso- och sjukvårdsförsörjning och ansvarsskyldighet från 1996.)

Relaterade historier

  • NSA kränkt sekretessregler tusentals gånger, revisionsfynd
  • Hacker påstår sig inte skyldig att stjäla 160M kreditkort
  • Kina ögon IBM, Oracle, EMC över möjliga säkerhetsfrågor
  • Deja vu om igen? DOE till arbetare: Vi har hackats

Som en del av den amerikanska återinvesteringslagen från 2009 utfärdade USA: s federala handelskommission en slutgiltig anmälningsregel för elektronisk hälsoinformation som gäller "leverantörer ... som tillhandahåller onlinebutik som människor kan använda för att hålla reda på deras hälsoinformation och enheter som erbjuder tredjepartsapplikationer för personliga journaler. "

Det finns inget federalt krav att andra offentliga och privata organisationer ska informera konsumenterna om deras personuppgifter kan ha äventyras. Congressional Research Service 2010 års rapport med titeln "Federal Information Security and Data Breach Notification Laws" (PDF) påpekar att lagar om privatlivsskydd är mycket mer benägna att kräva att offentliga och privata enheter meddelar konsumenter som kan ha påverkats av en överträdelse av uppgifter.

Nationella statsrådets lagstiftare ger en översikt över lagar om brott mot lagar om statligt säkerhetsbrott. Intersections Consumer Notification Guide (PDF) förklarar uppgifterna för varje stats anmälningskrav.

Förra månaden på Sophos Naked Security-bloggen undersökte Chester Wisniewski senaste förändringar i lagar om lagring av statliga dataspridningar, vissa ändringar för bättre och för sämre.

Efter fyra misslyckade försök som går tillbaka till 2005, tycks kongressen vara redo att göra ännu ett försök att genomföra en omfattande lag om överträdelseanmälan. Victor Li förklarar på Legal Intelligencer-webbplatsen att House Energy and Commerce Committees handelsunderkommitté tog upp frågan i en utfrågning förra månaden, där flera branschrepresentanter och sekretessexperter förklarade.

En av de viktigaste oroliga problemen är huruvida en federal anmälningslag skulle ersätta statslagar eller komplettera befintliga tillståndskrav. Å ena sidan följer en byråkratisk mardröm för vissa företag i överensstämmelse med olika lagar om statlig anmälan. Å andra sidan fruktar räddningstjänstemän att en enda federal reglering skulle utplåna vissa befintliga tillståndsbeskattade konsumentskydd.

Populära Inlägg

Så här aktiverar du kortkommandon i Gmail

Kickstarter 101: När och hur man kör en crowdfunding-kampanj

Hur man använder Alexas föräldrakontroll

Hur man laddar ner bifogade filer från webmail

Använd Google för att vända ett mynt eller rulla tärningar

Så här byter du namn på filer med Automator i OS X

 

Lämna Din Kommentar