So reagieren Sie auf eine Benachrichtigung über einen Datenverstoß

Am vergangenen Freitag kontaktierte mich ein Leser namens Peter wegen einer Benachrichtigung, als er versuchte, sich bei seinem Marriott Rewards-Konto anzumelden. Die Benachrichtigung zeigte an, dass jemand versucht hat, das Konto zu hacken, und er sollte sein Passwort ändern. Peter initiierte einen Live-Chat mit dem Marriott-Helpdesk und erhielt die folgenden Informationen:

"In letzter Zeit wurde versucht, einen unbefugten Zugriff auf einige wenige Online-Konten von Mitgliedern zu erhalten. Ich empfehle Ihnen, Marriott.com zu besuchen und Ihr Passwort so schnell wie möglich zu ändern, um uns bei der Sicherheit Ihres Kontos zu helfen."

Als Peter den Agenten fragte, ob sein Konto kompromittiert war, lehnte der Agent es ab, weitere Details anzugeben. Dies machte Peter misstrauisch, und das zu Recht. Wir haben uns an Phishing-Scams gewöhnt, die uns dazu bringen, unsere Login-IDs und Passwörter zu ändern, damit die Phisher sie erfassen und unsere Daten stehlen können.

Ergreifen Sie die Initiative, wenn Sie vermuten, dass Ihre persönlichen Daten gefährdet sind

Peter hat auf die Sicherheitsbenachrichtigung von Marriott.com genau so reagiert, wie es die Experten empfehlen: Bevor Sie Änderungen an Ihrer Konto-ID oder Ihrem Kennwort vornehmen, überprüfen Sie die Authentizität der Benachrichtigung. Wie Dennis Schaal Anfang des Monats auf der Skift-Reisewebsite berichtete, hat Marriott den Zugriff auf Marriott Rewards-Konten von Mobilgeräten gesperrt, bis die Mitglieder ihre Kennwörter geändert haben.

Schaal zitiert eine Sprecherin von Marriott, die behauptete, keine Kreditkarten- oder Sozialversicherungsnummern seien durch die Hack-Versuche beeinträchtigt worden, obwohl sie sagte, es sei "praktisch unmöglich" für das Unternehmen festzustellen, ob Konten verletzt wurden und wenn ja, welche.

Wo bleiben Peter und andere Mitglieder von Marriott Rewards? Zumindest wissen sie, dass die Warnung legitim war, aber sie wissen nicht, ob sie Vorkehrungen treffen müssen, wenn sie lediglich ihr Marriott.com-Passwort ändern.

Selbst der naheliegende erste Schritt, das Kennwort eines möglicherweise gefährdeten Kontos zu ändern, ist möglicherweise komplizierter, als es den Anschein hat. Wenn Sie Ihren Browser so eingerichtet haben, dass er sich an Ihre Passwörter erinnert, diese auf Papier oder in einer Datendatei gespeichert oder einen Passwort-Manager verwendet, müssen diese Listen ebenfalls aktualisiert werden.

Während viele Experten empfehlen, ein Passwort-Management-Produkt wie LastPass zu verwenden, bin ich nicht mit dem Konzept vertraut. Für mich bieten solche Dienste ein weiteres potenzielles Ziel für Hacker. Das Aufschreiben Ihrer Passwörter ist ebenfalls problematisch. (Im letzten Oktober habe ich erklärt: "Der sichere Weg, Ihre Passwörter aufzuschreiben.")

In einem Beitrag vom Dezember 2001 mit dem Titel "Beherrschung der Kunst der Passwörter" wurden die Vor- und Nachteile von Passwort-Managern erörtert. In diesem Beitrag wurde meine bevorzugte Methode zur Kennworterstellung beschrieben, für die kein separates Programm oder das Schreiben von Kennwörtern auf Papier erforderlich ist.

Beginnen Sie mit etwas, das Sie bereits auswendig gelernt haben, z. B. einem Liedtext, einer Zeile aus einem Gedicht oder den Namen von Geschwistern, Cousins ​​oder Freunden. Verwenden Sie dann den zweiten, dritten oder letzten Buchstaben dieser Wörter als Passphrase.

Wenn Sie beispielsweise die Kinderreim-Zeile "Hickory Dickory Dock" wählen, läuft die Maus die Uhr hoch. "Kombinieren Sie die dritten Buchstaben jedes Wortes (oder den letzten Buchstaben für Wörter, die kürzer als drei Buchstaben sind), um Ihre Passphrase zu erstellen:" ccceunpeo . " Beginnen Sie zum zusätzlichen Schutz die Folge des dritten Buchstabens mit dem letzten Wort der Zeile und enden Sie mit dem ersten Wort.

Sicherheitsexperten empfehlen, an jedem häufig verwendeten Standort eine andere Passphrase zu verwenden. Das obige mnemonische Verfahren ermöglicht die Verwendung eindeutiger Passphrasen an verschiedenen Stellen: Beginnen oder beenden Sie die Buchstabenfolge mit dem Buchstaben der gleichen Nummer des jeweiligen Dienstes. Bei Amazon wäre die obige Passphrase beispielsweise "accceunpeo" (beginnend mit dem dritten Buchstaben des Wortes "Amazon").

Behalten Sie Ihre Kreditaktivitäten im Auge

Nachdem Sie Ihr Kennwort geändert haben, müssen Sie als Nächstes ermitteln, welche Daten möglicherweise gefährdet wurden. Im Fall von Peter ist es möglich, dass Hacker auf die mit seinem Marriott Rewards-Konto verknüpfte Kreditkarte zugegriffen haben. Die offensichtliche Antwort ist die Überwachung zukünftiger Kontoauszüge, um sicherzustellen, dass keine unberechtigten Gebühren angezeigt werden.

Wenn Sie online auf die Kontoaktivität zugreifen können, können Sie die Fälschungsgebühren prüfen, ohne auf das Eintreffen eines Kontoauszugs warten zu müssen. Bei vielen Kreditkartenunternehmen können Sie sich bei bestimmten Transaktionen für E-Mail- oder Textbenachrichtigungen anmelden.

Die Seite "Wie gehe ich mit einer Sicherheitsverletzung um?" Auf der Seite "Privacy Rights Clearinghouse" unterstreicht, wie wichtig es ist, betrügerische Gebühren sofort zu bestreiten. Wenn Sie eine Belastung anfechten, wird das Unternehmen das laufende Konto wahrscheinlich kündigen und Ihnen eine neue Karte und Kontonummer ausstellen.

Eine rechtzeitige Berichterstattung ist sogar noch wichtiger, wenn die Belastung eines Debitkartenkontos erfolgt, wie in den Abschnitten "Papier oder Plastik: Was haben Sie zu verlieren?" Des Privacy Rights Clearinghouse erklärt. Seite. (Die PRC empfiehlt, niemals Debitkarten zu verwenden oder gar mitzuführen, da diese nicht über den Schutz von Kreditkarten verfügen.)

Wenn die Möglichkeit besteht, dass Ihre Sozialversicherungsnummer gestohlen wurde, können die Diebe das SSN verwenden, um neue Kreditkonten in Ihrem Namen zu eröffnen. Aus diesem Grund müssen Sie bei einer der drei Kreditauskunfteien einen Betrugsalarm auf Ihren Konten platzieren. Sie müssen auch regelmäßig Ihre Kreditauskunft überwachen.

Für einen zusätzlichen Schutz können Sie Ihre Kreditkonten mit einem Sicherheitsstopp versehen, der verhindert, dass jemand auf Ihre Kreditinformationen zugreifen kann, sofern Sie dies nicht ausdrücklich zulassen. Das Informationsblatt zur Sicherheitsverletzung der PRC enthält Informationen, mit denen Sie die Auskunfteien kontaktieren können, um einen Betrugsalarm anzufordern, und sich anmelden oder ein Sicherheitsstopp einlegen.

Wenn Sie eine Betrugsbenachrichtigung von einer Meldestelle anfordern, wird dieses Unternehmen die anderen beiden Agenturen kontaktieren. Der Alarm wird für 90 Tage aktiviert, Sie können ihn jedoch jederzeit abbrechen oder bis zu sieben Jahre verlängern.

Ein Sicherheitsstopp kostet in der Regel zwischen 5 und 10 US-Dollar für das Platzieren und Entfernen. In Kalifornien und einigen anderen Bundesstaaten können Opfer von Identitätsdiebstahl einen Sicherheitsstopp für kostenlos erhalten. Die zwei offiziellen Quellen für kostenlose jährliche Kreditberichte sind die Website Free Credit Reports der US-amerikanischen Federal Trade Commission und AnnualCreditReport.com (877-322-8228).

Da Sie einmal pro Jahr einen kostenlosen Bericht von jeder der drei Kreditauskunfteien anfordern können, erhalten Sie alle vier Monate einen kostenlosen Bericht von einer der drei.

Vor Jahren wurde ich Opfer eines Betrugsversuchs. Anschließend habe ich mich für einen Kreditüberwachungsdienst angemeldet, für den eine jährliche Gebühr erhoben wird. Der Dienst sendet mir vierteljährlich vollständige Berichte und Warnungen, wenn eine Organisation meine Daten von einer der drei Kreditauskunfteien anfordert. Für mich ist die Sicherheit, die der Überwachungsdienst bietet, die Kosten wert, obwohl viele Leute eine solche Kreditüberwachung für unnötig halten würden.

Auf der Seite "Identitätsdiebstahl: Umgang mit Datenverletzungen" des Equifax Finance Blog wird erläutert, was passiert, wenn Sie einen Betrugsalarm oder ein Sicherheitsstopp anfordern. Der Blog weist darauf hin, dass Ihre gestohlenen Informationen möglicherweise ein Jahr oder länger nicht von den Hackern verwendet werden. Es ist daher unbedingt erforderlich, Ihre Kreditaktivitäten weiterhin zu überwachen.

Wann müssen Unternehmen Kunden über Datenschutzverletzungen informieren?

Die Weigerung von Marriott, Einzelheiten zu einem möglichen Hackversuch gegen Peter anzugeben, ist nicht ungewöhnlich. Die Wahrscheinlichkeit, dass Sie überhaupt kontaktiert werden, wenn eine Organisation Ihre privaten Daten verliert oder möglicherweise verloren hat, hängt von Ihrem Wohnort ab.

Laut DataLossDB der Open Security Foundation haben 47 Staaten Gesetze erlassen, nach denen die Verbraucher über Verstöße benachrichtigt werden sollten, die ihre persönlichen Daten gefährden. Allerdings kombinieren nur 12 Staaten die Meldepflicht mit einem offenen Protokoll oder einem Gesetz über die Informationsfreiheit und einer zentralisierten Behörde wie dem Generalstaatsanwalt oder der Verbraucherschutzabteilung, bei der Verstöße gemeldet werden.

Bundesvorschriften betreffen Verstöße gegen medizinische Daten. Im August 2009 veröffentlichte das US-amerikanische Ministerium für Gesundheit und menschliche Dienste die Verstoßbenachrichtigungsregel, die den Abschnitt 13402 des Gesetzes über Gesundheitsinformationstechnologie für wirtschaftliche und klinische Gesundheit (HITECH) umsetzt und auf "HIPAA-erfasste Unternehmen und ihre Geschäftspartner" anwendbar ist. (HIPAA ist das Health Insurance Portability and Accountability Act von 1996.)

Ähnliche Beiträge

  • Die NSA hat tausende Male gegen die Datenschutzbestimmungen verstoßen
  • Hacker bekennt sich nicht schuldig, 160 Millionen Kreditkarten gestohlen zu haben
  • China betrachtet IBM, Oracle und EMC vor möglichen Sicherheitsfragen
  • Deja vu noch einmal? DOE an die Arbeiter: Wir wurden gehackt

Im Rahmen des amerikanischen Reinvestment and Recovery Act von 2009 hat die US-amerikanische Federal Trade Commission (US Federal Trade Commission) eine abschließende Regel für die Benachrichtigung über Verstöße gegen elektronische Gesundheitsdienste erlassen, die für "Anbieter ..." gilt und Online-Repositories enthält, über die die Menschen ihre Gesundheitsdaten verfolgen können und Unternehmen, die Anwendungen von Drittanbietern für persönliche Gesundheitsakten anbieten. "

Es ist nicht gesetzlich vorgeschrieben, dass andere öffentliche und private Organisationen Verbraucher benachrichtigen, wenn ihre persönlichen Daten gefährdet sind. Der Bericht des Congressional Research Service aus dem Jahr 2010 mit dem Titel "Bundesgesetze für Informationssicherheit und Datenschutzverletzung" (PDF) weist darauf hin, dass die gesetzlichen Bestimmungen zum Schutz der Privatsphäre viel eher erfordern, dass öffentliche und private Stellen Verbraucher benachrichtigen, die möglicherweise von einem Datenschutzverstoß betroffen sind.

Der Gesetzgeber des Nationalen Staatsrates bietet einen Überblick über die Benachrichtigungsgesetze der staatlichen Sicherheitsverletzung. Das Intersections Consumer Notification Guide (PDF) erläutert die Einzelheiten zu den Benachrichtigungsanforderungen jedes Staates.

Chester Wisniewski hat letzten Monat auf dem Sophos Naked Security-Blog die jüngsten Änderungen in den Gesetzen zu Verstößen gegen Datenverstöße in Bezug auf Datenverstöße untersucht. Einige Änderungen wurden verbessert und andere verbessert.

Nach vier gescheiterten Versuchen aus dem Jahr 2005 scheint der Kongress bereit zu sein, einen weiteren Versuch zu unternehmen, um ein umfassendes Verstoßnotifizierungsgesetz zu verabschieden. Victor Li erklärt auf der Website von Legal Intelligencer, dass der Unterausschuss für Handel und Energie des House of Energy and Commerce die Angelegenheit im letzten Monat in einer Anhörung aufgegriffen habe, in der mehrere Industrievertreter und Datenschutzexperten aussagten.

Eine der größten ungeklärten Fragen ist, ob ein Bundesnachrichtengesetz die Landesgesetze ersetzen oder bestehende staatliche Notifizierungsanforderungen ergänzen würde. Zum einen führt die Einhaltung verschiedener staatlicher Notifizierungsgesetze für manche Unternehmen zu einem bürokratischen Albtraum. Auf der anderen Seite befürchten die Befürworter des Datenschutzes, dass eine einzige Bundesverordnung bestehende staatliche Verbraucherschutzbestimmungen auslöschen würde.

Beliebte Beiträge

Hier sind die besten (und schnellsten) Wege, um sich für die Abstimmung zu registrieren

Richten Sie auf dem Galaxy Nexus farbige LED-Warnmeldungen ein

Fügen Sie Chrome, Firefox die Geschwindigkeit hinzu

So zeichnen Sie Ihr Training mit 1 Berührung auf Ihrem Android-Gerät auf

So überprüfen Sie den iPhone-Akkustand von einem Mac aus

Warum müssen Sie ein Upgrade von dieser älteren Version von Windows 10 durchführen?

 

Lassen Sie Ihren Kommentar