Što se stvarno događa u slučaju povrede podataka (i što možete učiniti u vezi s tim)

Bez obzira gdje dobivate svoje vijesti, ne možete izbjeći naizgled tjedne priče o najnovijim povredama podataka. Banke, trgovci, upravitelji lozinki, telekom operateri i gotovo sve druge tvrtke mogu propustiti zaštititi osjetljive korisničke podatke. Međutim, nisu sva kršenja ista, a učinak kršenja na vas može se jako razlikovati.

Ovdje smo da vam pomognemo razumjeti što je povreda podataka i ponudimo nekoliko savjeta za zaštitu vaše privatnosti od najgorih posljedica.

Índice
  1. Što kradljivci podataka žele?
  2. Što se može dogoditi ako vam ukradu podatke?
  3. Kako se baze podataka hakiraju?
  4. Što mogu učiniti nakon povrede podataka?
    1. Preporuka naših urednika
  5. Kako se zaštititi od povrede podataka

Što kradljivci podataka žele?

Zamislite kriminalnu skupinu koja pojačava blindirano vozilo noseći sefove pune dragocjenosti. Čini se da su napravili unosan lov, ali praktično gledano, ne znaju tko je vlasnik svakog sefa, nemaju pojma što je unutra i svjetlosnim su godinama daleko od brkanja kombinacija. To je slično onome što se događa kada se kradljivci podataka dočepaju šifriranih trezora podataka od upravitelja lozinkama ili slične tvrtke. Kada se pravilno implementira, takav trezor može otvoriti samo vlasnik, a sva se dešifriranja odvijaju lokalno na uređaju vlasnika.

Suočeni s tajanstvenim sefom ili nepoznatim blokom šifriranih podataka, lopovi će vjerojatno prijeći na lakše mete. Međutim, čak i malo dodatnih informacija može olakšati sigurno hakiranje. Na primjer, u nedavnoj provali u LastPass, lopovi su dobili nekriptirane verzije URL-ova za lozinke u trezoru. Ovo je olakšalo pogađanje glavnih lozinki i naravno, kada lopovi imaju svoju osobnu kopiju vašeg trezora, mogu potrošiti koliko god vremena pokušavaju da ga provale.

Što se može dogoditi ako vam ukradu podatke?

U drugoj vrsti kršenja, lopovi se dočepaju popisa kupaca tvrtke, bilo u cijelosti ili djelomično. Bilo da provale u ured i podignu list papira ili provale u online bazu podataka, rezultat je isti. U najboljem slučaju, dobivaju samo ne tako privatne podatke poput vašeg imena, adrese, telefonskog broja i e-pošte. Istina, te podatke mogu prodati agregatorima podataka i posrednicima. Oni mogu dobiti popis vaših kupnji, također od interesa za brokere.

Moguće je da ukradeni podaci uključuju broj vaše kreditne kartice, ali to nije tako velika briga kao što možda mislite. Dugogodišnji Standard za sigurnost podataka industrije platnih kartica (PCI-DSS) definira sigurnost transakcija kreditnim karticama do najsitnijih detalja i funkcionira većinu vremena, pod uvjetom da tvrtke slijede pravila. U svakom slučaju, ne morate plaćati naknade za lažnu kreditnu karticu (barem u SAD-u). Imajte na umu da u mnogim slučajevima podatke o vašoj kreditnoj kartici drži dobavljač treće strane, a ne trgovac kojem ste platili.

Mrežni trgovci i druge web stranice imaju dužnost zaštititi podatke o vašem računu. Mnogi rade dobar posao čuvajući sve podatke šifriranim i koristeći tehnike nultog znanja koje im omogućuju da potvrde vašu lozinku za prijavu bez da znaju ili pohrane tu lozinku. Ali ako web-mjesto nesigurno pohranjuje vašu zaporku, pa je otkrivena u provali, izgubili ste kontrolu nad tim računom. Ovisno o vrsti stranice, hakeri mogu naručivati, vršiti bankovne transfere, slati e-poštu u vaše ime, čak vas zaključati promjenom lozinke.

Postaje gore, na dva načina. Prvo, ako niste mogli dobiti pomoć od upravitelja lozinkama, vjerojatno koristite istu lozinku na više stranica. Hakeri to znaju i brzo provjeravaju ukradene vjerodajnice na drugim popularnim stranicama. Drugo, ako dobiju pristup vašem računu e-pošte, u većini slučajeva mogu upotrijebiti standardni mehanizam za ponovno postavljanje lozinke kako bi uhvatili više vaših mrežnih računa. Proboj koji otkriva vaše lozinke može brzo eskalirati u potpunu krađu identiteta.

Čak i kada autentifikacija bez znanja nije savršeno implementirana, stvara ozbiljne prepreke za napadače koji pokušavaju probiti sigurnost. Nasuprot tome, kada tvrtke ignoriraju ovu tehnologiju, rezultati mogu biti katastrofalni. Detalji se još uvijek pojavljuju, ali čini se da je LastPass sestrinska tvrtka GoTo također bila hakirana, izgubivši podatke za korisnike nekoliko svojih proizvodnih linija, uključujući šifrirane sigurnosne kopije. Izjava tvrtke (Otvara se u novom prozoru) otkriva da je "prijetnja eksfiltrirala ključ za šifriranje za dio šifriranih sigurnosnih kopija." Tako je. Uz Zero Knowledge, tvrtka nikada ne pohranjuje niti vidi jedinstvenu lozinku za dešifriranje svakog korisnika. Ali u ovom slučaju čini se da je jedinstvena lozinka pohranjena u blizini šifriranih podataka, kao da je sigurna kombinacija napisana na vratima.

Kako se baze podataka hakiraju?

Zamolio sam AI program za stvaranje slike da nacrta "hakera koji dobiva pristup šifriranoj bazi podataka". Nije iznenađujuće da svi rezultati pokazuju figuru s kapuljačom koja bljuje kod dok ispituje beskrajne nizove zagonetnih znakova. Ova razina hakiranja se događa, ali u stvarnom životu hakiranje računa može biti mnogo jednostavnije.

Povreda Norton Password Managera je dobar primjer. Napadači nisu probili Nortonovu sigurnost i nisu ukrali šifrirane podatke. Umjesto toga, koristili su korisnička imena i lozinke iz drugih krađa kako bi pokrenuli proces koji se zove punjenje vjerodajnicama. Vrlo je jednostavno. Upravo su upotrijebili skriptu da isprobaju tisuće i tisuće kombinacija korisničkog imena i lozinke, pažljivo bilježeći nekoliko onih koje su dopuštale pristup nečijem računu. Nedavno kršenje PayPala također je uključivalo punjenje vjerodajnica.

Grupa koja je ukrala šifrirane trezore podataka s LastPassa još uvijek je na slobodi i mogu beskrajno pokušavati pogoditi glavne lozinke koje će otvoriti te trezore. Isprobavanje stotinu (ili tisuća) najčešćih lozinki za svaki pojedinačni trezor ne bi trebalo trajati dugo. Ako ovaj pokušaj probije čak i jednu od stotinu meta, lopovi su u redu.

Što mogu učiniti nakon povrede podataka?

Lako je odbaciti najnovije vijesti kao još jednu dosadnu povredu podataka, ali stvarno biste trebali obratiti pozornost. Imate li račun ili drugu vezu s pogođenim subjektom? Koliko je kršenje ozbiljno? Ponekad će novinski članak to opisati, možda ne navodeći ništa osim e-pošte i fizičkih adresa korisnika koji su bili izloženi (ups!) ili da je kršenje uključivalo određene financijske podatke. U drugim ćete pričama vidjeti puno manje detalja, bilo zato što pogođena tvrtka još ne zna što je izgubljeno ili zato što to ne želi priznati.

Jednu stvar koju ne možete učiniti je čekati da vas oštećeni entitet obavijesti ako ste pogođeni. Ova vrsta hakiranja je i neugodna i skupa, a iz pravnih razloga, tvrtke žrtve vrlo su oprezne u pogledu onoga što otkrivaju. U nekim slučajevima, dobar odvjetnik može pretočiti izjavu poput "Žao nam je što smo izgubili vaše podatke" u kolektivnu tužbu. Budući da je to slučaj, samo pretpostavite da su vaši podaci uključeni u povredu.

Ako imate račun kod hakirane tvrtke, promijenite lozinku. Sada! Nije važno jeste li sigurni da ste bili razotkriveni. Jednostavno učinite to. Nemojte biti jedan od šest Amerikanaca koji nemarno ne rade ništa nakon kršenja. Koristite snažnu, jedinstvenu lozinku koju je generirao vaš upravitelj lozinki.

Nemojte tu stati – potražite u svom upravitelju zaporki sva druga mjesta na kojima ste koristili ugroženu lozinku i popravite ih. Ovo je vremenski kritična radnja. Kradljivci podataka ne mogu pristupiti svakom ukradenom računu u isto vrijeme, tako da ih možete preduhitriti brzim djelovanjem.

Dok imate otvorenu web-mjesto (ili web-mjesta) na koje se odnosi, provjerite je li moguća provjera autentičnosti s više faktora (MFA). MFA je vaše najjače oružje protiv preuzimanja računa. Omogući, ako je dostupno. Prijava sada zahtijeva i vašu zaporku i drugi čimbenik kao što je aplikacija za autentifikaciju na vašem telefonu ili fizički sigurnosni ključ. Ukradena lozinka je beskorisna bez tog dodatnog faktora.

Preporuka naših urednika

PCMag logotip Što je autentifikacija u dva faktora?

Čak i nakon što promijenite lozinku, neko vrijeme pripazite na pogođenu tvrtku. Prijavite se i pogledajte postoje li narudžbe ili radnje na čekanju za stvari koje ste napravili. Provjerite nudi li tvrtka ikakvu naknadu žrtvama. Davanje besplatne pretplate na praćenje kredita nije isključeno. Nakon provale u Experian 2015., Experian je žrtvama ponudio dvije godine usluga praćenja kreditne sposobnosti i rješavanja identiteta.

Ako je vaš trezor upravitelja lozinki ukraden, to su loše vijesti. Stvari su posebno komplicirane ako pogođena tvrtka nije točno slijedila protokole Zero Knowledge ili ako ste svoje lozinke zaštitili netočnom ili ponovno korištenom glavnom lozinkom. Promjena lozinke neće spriječiti lopove u pokušaju proboja sigurnosti jer se ukradeni podaci i dalje otvaraju sa starom lozinkom. Isto vrijedi i za naknadno dodavanje MFA. Vaše jedino pravo rješenje je prebaciti se na pouzdaniji upravitelj lozinki i zatim brzo izraditi nove, jedinstvene lozinke za svaku pojedinačnu sigurnu lokaciju.

Kako se zaštititi od povrede podataka

Kao što je spomenuto, napadi gomilanjem vjerodajnica jednostavno koriste skriptu koja automatizira brzu provjeru najčešćih lozinki za višestruke račune. Ako se pokušavate sjetiti lozinki bez pomoći, velika je vjerojatnost da izvlačite iz skupa najgorih lozinki ili svuda koristite istu lozinku. To je veliki problem. Nabavite sada svoj upravitelj zaporki i počnite ga koristiti. Odaberite onu s jakim naglaskom na sigurnosti, posebno sigurnosti bez znanja (otvara se u novom prozoru). Zero Knowledge znači da nitko drugi ne može otvoriti vaš trezor, ni tvrtka koja proizvodi lozinku, ni nezadovoljni zaposlenik, čak ni NSA.

Odaberite upravitelja lozinki koji pruža djelotvorno sigurnosno izvješće o lozinki. Ako ste već naoružani takvim alatom, upotrijebite ga. Zamijenite sve slabe lozinke jakima. Kada izvješće pokaže duplicirane lozinke, generirajte novu lozinku za svaku lokaciju. Ne odgađajte ovo; ne znate gdje će doći sljedeći napredak.

Ovo ste već čuli, ali ću ponoviti. Zaštitite svoj trezor zaporki dugom, jakom i nezaboravnom zaporkom. Zatim dodajte provjeru autentičnosti s više faktora. Ako imate izbora, provjera autentičnosti s aplikacijom za pametni telefon ili fizičkim sigurnosnim ključem bolja je od vrste koja se oslanja na slanje koda. Nakon što su ti zadaci obavljeni, bilo bi dobro vratiti se i omogućiti MFA za svaki račun koji ga podržava.

PCMag logotip Jednostavni trikovi za pamćenje nevjerojatno sigurnih lozinki

Web-mjesta za kupnju i slično ne mogu otkriti osobne podatke koje nemaju. Da, zgodno je dopustiti web-mjestu da sprema podatke o vašoj otpremi i kreditnoj kartici, ali kada imate mogućnost izbora, odbijte pogodnost. Uvijek možete upotrijebiti upravitelja zaporki da ispunite te podatke prema potrebi. A ako polje nije označeno kao obavezno, ostavite ga praznim.

Osim ako ne prekinete svaki kontakt s digitalnim svijetom, vaši osobni podaci bit će razbacani po Internetu. Neke od stranica koje drže vaše dragocjene podatke ne štite ih onako kako bi trebale, što često rezultira kršenjem. Ne možete spriječiti da se to dogodi, ali možete smanjiti svoju izloženost slijedeći naše prijedloge i povećati svoje šanse za oporavak tako što ćete obratiti pozornost kada dođe do kršenja i poduzimanjem hitnih radnji.

Odgovori

Vaša adresa e-pošte neće biti objavljena. Obavezna polja su označena sa * (obavezno)

Go up