Hoe te reageren op een melding wegens inbreuk op de gegevens

Afgelopen vrijdag nam een ​​lezer met de naam Peter contact met me op over een kennisgeving die verscheen toen hij zich probeerde aan te melden bij zijn Marriott Rewards-account. De melding gaf aan dat iemand mogelijk heeft geprobeerd het account te hacken en dat hij zijn wachtwoord moet wijzigen. Peter startte een livechat met de Marriott-helpdesk en kreeg het volgende te horen:

"Onlangs zijn pogingen ondernomen om ongeautoriseerde toegang te krijgen tot een klein aantal online accounts van leden. Ik moedig u aan Marriott.com te bezoeken en uw wachtwoord zo snel mogelijk te wijzigen om ons te helpen de veiligheid van uw account te waarborgen."

Toen Peter de agent vroeg of zijn account was aangetast, weigerde de agent om verdere details te verstrekken. Dit maakte Peter verdacht, en terecht. We zijn gewend geraakt aan phishing-aanvallen die ons proberen te misleiden om onze inlog-ID's en wachtwoorden te wijzigen, zodat de phishers ze kunnen vastleggen en vervolgens onze gegevens kunnen stelen.

Neem het initiatief wanneer u vermoedt dat uw persoonlijke gegevens in gevaar zijn

Peter reageerde op de beveiligingsmelding van Marriott.com precies zoals de experts aanbevelen: voordat u wijzigingen in uw account-ID of wachtwoord aanbrengt, bevestigt u de authenticiteit van de melding. Zoals Dennis Schaal eerder deze maand op de Skift-reissite meldde, verbreek Marriott de toegang tot Marriott Rewards-accounts van mobiele apparaten tot leden hun wachtwoorden hadden gewijzigd.

Schaal citeert een woordvoerster van Marriott die beweerde dat de hackpogingen geen credit card- of sofinummers betroffen, hoewel ze zei dat het "vrijwel onmogelijk" was voor het bedrijf om te bepalen of er accounts werden geschonden en zo ja welke.

Waar blijft Peter en andere Marriott Rewards-leden? Ze weten tenminste dat de waarschuwing legitiem was, maar ze weten niet of ze nog meer voorzorgsmaatregelen moeten nemen dan alleen het wijzigen van hun Marriott.com-wachtwoord.

Zelfs de voor de hand liggende eerste stap van het wijzigen van het wachtwoord van het potentieel gehackte account kan ingewikkelder zijn dan het lijkt. Als u uw browser hebt ingesteld om uw wachtwoorden te onthouden, uw wachtwoorden op papier of in een gegevensbestand heeft vastgelegd of een wachtwoordbeheerder heeft gebruikt, moeten die lijsten ook worden bijgewerkt.

Hoewel veel deskundigen aanraden om een ​​product voor wachtwoordbeheer, zoals LastPass, te gebruiken, word ik niet verkocht op het concept. Voor mij creëren dergelijke services een ander potentieel doelwit voor hackers. Het opschrijven van je wachtwoorden levert ook problemen op. (Afgelopen oktober legde ik uit: "De veilige manier om uw wachtwoorden op te schrijven".)

Een bericht uit december 2001 getiteld "De kunst van het wachtwoord beheersen" besprak de voor- en nadelen van wachtwoordbeheerders. In die post werd mijn favoriete techniek voor het maken van wachtwoorden beschreven, waarvoor geen apart programma of het schrijven van wachtwoorden op papier nodig is.

Begin met iets dat je al hebt onthouden, zoals een songtekst, een regel uit een gedicht of de namen van broers en zussen, neven en nichten of vrienden. Gebruik vervolgens de tweede, derde of laatste letters van die woorden als uw wachtwoordzin.

Als u bijvoorbeeld de rijmpjesrij kiest "Hickory dickory dock, de muis loopt de klok op", combineer dan de derde letters van elk woord (of de laatste letter voor woorden korter dan drie letters) om uw wachtwoordzin te creëren: "ccceunpeo ." Voor extra bescherming begint u de reeks van de derde letter met het laatste woord van de regel en eindigt u met het eerste woord.

Beveiligingsdeskundigen raden aan dat u een andere wachtwoordzin gebruikt op elke site die u bezoekt. De bovenstaande mnemonische methode vergemakkelijkt het gebruik van unieke wachtzinnen op verschillende locaties: begin of eindig de letterreeks met dezelfde letter van die specifieke service. Dus bij Amazon is de bovenstaande passphrase "accceunpeo" (beginnend met de derde letter van het woord "Amazon").

Houd uw kredietactiviteit nauwlettend in de gaten

Nadat u uw wachtwoord hebt gewijzigd, is de volgende stap om te bepalen welke gegevens mogelijk zijn aangetast. In het geval van Peter is het mogelijk dat hackers toegang hebben gekregen tot de creditcard die is gekoppeld aan zijn Marriott Rewards-account. Het voor de hand liggende antwoord is om toekomstige uitspraken voor dat account te controleren om ervoor te zorgen dat er geen ongeoorloofde kosten verschijnen.

Als u online toegang hebt tot de accountactiviteit, kunt u nagaan of er valse kosten zijn, zonder dat u hoeft te wachten op een verklaring. Bij veel creditcardmaatschappijen kunt u zich aanmelden voor e-mail- of sms-meldingen wanneer bepaalde transacties plaatsvinden.

De pagina 'Hoe om te gaan met een beveiligingsschending' heeft betrekking op de privacyrechten van Clearinghouse en benadrukt meteen het belang van het betwisten van frauduleuze heffingen. Wanneer u een aanklacht betwist, zal het bedrijf waarschijnlijk de lopende rekening annuleren en u een nieuwe kaart en een nieuw rekeningnummer geven.

Tijdige rapportage is nog belangrijker als de kosten in rekening worden gebracht op een debetkaartrekening, zoals uitgelegd op het 'Papier of plastic: wat heb je te verliezen?' pagina. (De PRC raadt aan om nooit debetkaarten te gebruiken of zelfs mee te nemen omdat ze de bescherming van creditcards missen.)

Als er een kans bestaat dat uw sofinummer is gestolen, kunnen de dieven de SSN gebruiken om nieuwe kredietrekeningen op uw naam te openen. Daarom moet u een fraudewaarschuwing bij uw rekeningen plaatsen bij een van de drie kredietbeoordelingsbureaus. U moet ook uw kredietrapport regelmatig controleren.

Voor een extra beveiligingsniveau kunt u een beveiligingsbevriezing op uw kredietrekeningen plaatsen die voorkomt dat iemand toegang krijgt tot uw kredietinformatie, tenzij u dit expliciet toestaat. De factsheet Security Breck van de VRC bevat informatie om contact op te nemen met de kredietbureaus om een ​​fraudewaarschuwing aan te vragen en om u aan te melden of een beveiligingsstop te maken.

Wanneer u een fraudewaarschuwing aanvraagt ​​bij een meldingsbureau, neemt dat bedrijf contact met u op voor de andere twee bureaus. De waarschuwing zal gedurende 90 dagen aanwezig zijn, hoewel je deze op elk moment kunt annuleren of deze kunt verlengen tot zeven jaar.

Een bevriezing van de veiligheid kost over het algemeen van $ 5 tot $ 10 om te plaatsen en te verwijderen, hoewel in Californië en sommige andere staten slachtoffers van identiteitsdiefstal gratis een beveiligingsbevriezing kunnen krijgen. De twee officiële bronnen voor gratis jaarlijkse kredietrapporten zijn de site voor gratis kredietrapporten van de Amerikaanse Federal Trade Commission en AnnualCreditReport.com (877-322-8228).

Omdat u eenmaal per jaar een gratis rapport van elk van de drie kredietbeoordelingsbureaus kunt aanvragen, kunt u om de vier maanden een gratis rapport van een van de drie kredietbeoordelaars krijgen.

Jaren geleden was ik het slachtoffer van een poging tot fraude. Ik heb me vervolgens aangemeld voor een kredietbewakingsdienst die een jaarlijkse vergoeding in rekening brengt. De service stuurt me elk kwartaal volledige rapporten en waarschuwingen wanneer een organisatie mijn gegevens opvraagt ​​bij een van de drie kredietbeoordelingsbureaus. Voor mij is de gemoedsrust die de bewakingsdienst biedt de kosten de moeite waard, hoewel veel mensen dergelijke kredietbewaking onnodig vinden.

De pagina 'Identiteitsdiefstal: een breuk met gegevens' van Equifax Finance Blog legt uit wat er gebeurt als u een fraudewaarschuwing of beveiligingsbevriezing aanvraagt. De blog wijst erop dat uw gestolen informatie mogelijk niet voor een jaar of langer door de hackers wordt gebruikt, dus het is absoluut noodzakelijk om uw kredietactiviteit te blijven volgen.

Wanneer zijn bedrijven nodig om klanten op de hoogte te stellen van datalekken?

De weigering van Marriott om informatie te geven over de mogelijke hackpoging tegen Peter is niet ongebruikelijk. De kans dat u in het geheel wordt gecontacteerd wanneer een organisatie uw privégegevens verliest of mogelijk heeft verloren, hangt af van waar u woont.

Volgens het DataLossDB van de Open Security Foundation hebben 47 staten wetten aangenomen die vereisen dat consumenten op de hoogte worden gesteld van inbreuken die hun persoonlijke informatie in gevaar brengen. Echter, slechts 12 staten combineren de meldingsverplichting met open record of vrijheid van informatiewetgeving en een gecentraliseerde autoriteit, zoals de procureur-generaal of de afdeling consumentenbescherming, waar overtredingen worden gemeld.

Federale voorschriften hebben betrekking op inbreuken op medische gegevens. In augustus 2009 heeft het Amerikaanse ministerie van Volksgezondheid en Human Services de meldingsregel voor schendingen uitgegeven, die artikel 13402 van de Health Information Technology for Economic and Clinical Health (HITECH) -wet implementeert en van toepassing is op 'met HIPAA gedekte entiteiten en hun zakenpartners'. (HIPAA is de Health Insurance Portability and Accountability Act van 1996.)

Gerelateerde verhalen

  • NSA heeft duizenden keren privacyregels geschonden, auditbevindingen
  • Hacker pleit niet schuldig aan het stelen van 160 miljoen creditcards
  • China kijkt IBM, Oracle, EMC over mogelijke beveiligingsproblemen
  • Deja vu helemaal opnieuw? DOE voor werknemers: we zijn gehackt

Als onderdeel van de Amerikaanse herinvesterings- en herstelwet van 2009 heeft de Amerikaanse Federal Trade Commission een meldingsregel voor definitieve schending uitgegeven voor elektronische gezondheidsinformatie die van toepassing is op 'leveranciers' die online repositories bieden die mensen kunnen gebruiken om hun gezondheidsinformatie bij te houden en entiteiten die toepassingen van derden aanbieden voor persoonlijke gezondheidsdossiers. "

Er is geen federale vereiste dat andere openbare en particuliere organisaties consumenten informeren wanneer hun persoonlijke gegevens mogelijk zijn aangetast. In het rapport van de Amerikaanse Congresdienst voor Onderzoek 2010 met de titel "Federale informatiebeveiliging en inbreuken op de inbreuk op gegevens" (PDF) wordt erop gewezen dat de privacywetgeving van de overheid veel vaker vereist dat publieke en private instanties consumenten op de hoogte brengen die mogelijk zijn getroffen door een datalek.

De National Council of State Legislatures biedt een overzicht van meldingswetten over staatsveiligheid. De Handleiding voor kruispuntengebruikers over consumenten (PDF) legt de bijzonderheden van de meldingsvereisten van elke staat uit.

Vorige maand op het Sophos Naked Security-blog onderzocht Chester Wisniewski recente wijzigingen in de meldingswetgeving voor inbreuk op overheidsgegevens, enkele wijzigingen voor betere en enkele voor slechter.

Na vier mislukte pogingen die teruggaan tot 2005, lijkt het Congres klaar te zijn om nog een poging te doen om een ​​alomvattende wet inzake inbreuk op meldingen aan te nemen. Victor Li legt uit op de website van Legal Intelligencer dat het subcomite van de Energy and Commerce Committee van het House de zaak ter sprake bracht tijdens een hoorzitting van vorige maand waarin verschillende vertegenwoordigers van de industrie en privacy-experts hebben getuigd.

Een van de belangrijkste onrustige kwesties is of een federale notificatiewet de staatswetten zou vervangen of bestaande meldingsvereisten zou aanvullen. Aan de ene kant zorgt het naleven van verschillende wettelijke meldingswetten voor sommige bedrijven voor een bureaucratische nachtmerrie. Aan de andere kant vrezen voorstanders van privacy dat een enkele federale verordening sommige bestaande door de staat gemandateerde consumentenbescherming zou vernietigen.

Populaire Berichten

Google Music Beta gebruiken voor Android

Maak je eigen haarverwijderaar met een handmixer

Bekijk meer dan 20 resultaten in de zoekfunctie van Gmail

GSA-kwetsbaarheid benadrukt gevaren van SSN's als ID's

Schiet nu, bekijk later met 1-uur foto voor iOS

Zorg ervoor dat de vingerafdruklezer van je Android of iPhone elke keer werkt

 

Laat Een Reactie Achter