Acasă Securitywatch Securitywatch: face ca corporațiile, nu clienții, să sufere pentru încălcări ale datelor | max eddy

Securitywatch: face ca corporațiile, nu clienții, să sufere pentru încălcări ale datelor | max eddy

Cuprins:

Video: Dahua TiOC - 3 in 1 Camera Review (Noiembrie 2024)

Video: Dahua TiOC - 3 in 1 Camera Review (Noiembrie 2024)
Anonim

La 29 martie, Earl Enterprises a anunțat că vizitatorii din lanțurile sale de restaurante ar fi putut să le fi furat informațiile despre cardul de credit. Ca de obicei atunci când se întâmplă acest lucru, am fost rugat să pun la dispoziție un sfat pentru consumatori cu privire la ceea ce ar putea face pentru a se proteja. Este un subiect bine purtat din ani de povești similare, dar de data aceasta s-a simțit diferit. Acest lucru se datorează în parte naturii unice a atacului, dar și datorită faptului că practica noastră de a pune responsabilitatea pentru curățarea mizeriilor asupra consumatorilor nu funcționează. Este timpul să puneți onus-ul unde aparține, pe corporațiile care au permis ca datele să fie compromise în primul rând.

La încălcare

Dacă ai mâncat la un anumit Buca di Beppo, Chicken Guy !, Earl of Sandwich, Mixology, Planet Hollywood sau Tequila Taqueria, este posibil să fi fost furate informațiile despre cardul de credit sau debit. Potrivit Earl Enterprises, acest lucru ar fi putut include aproape tot ceea ce este necesar pentru comiterea fraudei: numărul cardului, datele de expirare și unele nume ale deținătorului de card. Se raportează la numărul de persoane afectate în jur de 2 milioane.

Un fapt interesant în legătură cu această încălcare particulară este faptul că nu a fost o încălcare în sine . În schimb, hackerii au reușit să acceseze la distanță punctele de vânzare sau POS (da, acesta este adevăratul acronim) la diverse restaurante și să instaleze malware care a răzuit datele clienților. Aceste informații au fost distribuite și vândute pe site-urile de pe piața neagră.

Ce poți face pentru a rămâne în siguranță?

În afară de puținul despre malware-ul de pe mașinile POS, încălcarea / atacul Earl Enterprises este destul de tipic. La fel și sfaturile pe care le-aș da cu privire la ceea ce pot face consumatorii (asta ești tu) pentru a rămâne în siguranță.

În primul rând, spun de obicei, folosiți un card de credit și nu un card de debit. Tranzacțiile cu cardul de credit sunt inversate cu ușurință, iar companiile cu carduri de credit sunt foarte bune să facă față fraudelor înainte de a face acest lucru. Este important să nu sunteți responsabil pentru taxele frauduloase cu cardul de credit. Utilizarea unui card de debit este în esență o tranzacție în numerar. Puteți obține rambursarea pentru acestea, dar uneori durează mai mult și, în cazurile cele mai grave, poate duce la o luptă cu banca sau FDIC.

Odată ieșit din drum, mă apuc de probleme cu tranzacțiile magstripe. Magstripele sunt prost simple. Puteți conecta un cititor USB magstripe, rula o carte și computerul va introduce informațiile într-un fișier text pentru dvs. O placă cip (placă EMV) utilizează un proces diferit, care este mult mai sigur și mai greu de interceptat.

Asta duce la o discuție firească despre modul în care aceste informații sunt de obicei furate cu dispozitive mici numite skimmers sau shimmers. Am o întreagă poveste despre cum să le localizez, așa că poți doar să o citești. Concluzia este că este o idee bună să inspectați mașinile POS înainte de a le folosi, în fiecare context în care le întâlniți, dar mai ales la pompele de gaz și la ATM-urile exterioare. V-a salvat un clic (dar faceți clic pe oricum, mă ajută să fiu plătit).

După aceea, voi lansa o problemă completă despre soluții de plată de înaltă tehnologie. Android Pay, Apple Pay și Samsung Pay folosesc un sistem de tokenizare care nu dezvăluie niciodată informațiile dvs. reale despre cardul de credit. Poate părea mai puțin sigur să le folosești din moment ce informațiile sunt transmise fără fir, dar de fapt este foarte bună.

Apoi, mă voi ocupa un pic despre cum puteți utiliza Abine Blur pentru a crea carduri de credit preplătite și adrese de e-mail fals. Poate voi menționa modul în care numerarul și cardurile de credit preplătite sunt cele mai sigure și mai sigure confidențialități de a face afaceri. Cu siguranță nu voi aviza serviciile de protecție împotriva furtului de identitate, deoarece nu sunt sigur că funcționează efectiv și nu voi spune prea multe despre monitorizarea creditului, deoarece nu cred că ar trebui să plătiți pentru informațiile dvs. financiare care sunt compilate. fără consimțământul tău.

Nu aprob niciodată Bitcoin, pentru că înșurubează-i pe acești tipi.

Nu contează cât de atent sunteți

Scriem tot acest fel de povești la PCMag și sunt utile pentru a ilustra micile lucruri care pot face diferența în viața oamenilor. Oamenii ar trebui să cunoască modalități mai inteligente de a plăti și să fie sfătuiți să utilizeze administratorii de parole și 2FA, sau cel puțin să știe care sunt aceste lucruri, astfel încât să poată face alegeri în cunoștință de viață. Dar încălcarea Earl Enterprises a ajuns cu adevărat la mine, pentru că aproape nimic nu ar fi putut face clienții pentru a se proteja cu adevărat.

În atacul Earl Enterprises, cei răi aveau acces la distanță la mașinile POS. Asta înseamnă că, oricât un client a investigat cititorii de carduri, nu avea să găsească un skimmer, deoarece amenințarea era în interiorul mașinii. Mai mult, la restaurantele americane, clienții nu au întotdeauna opțiunea de a interacționa chiar cu terminalul POS. Înmânăm plata către serverul care rulează cardul și se întoarce cu o chitanță. Aceasta înseamnă că clienții nu pot utiliza sistemul de plăți pentru dispozitive mobile mai nou și mai sigur. De asemenea, nu există nicio garanție că vreun comerciant dat acceptă cipuri EMV sau plăți mobile sau că personalul va fi instruit în modul de utilizare.

Asta nu înseamnă că a fost raportat că Earl Enterprises a avut nevoie de 10 luni pentru a răspunde la încălcare. Nici asta, deoarece aceste informații au fost vândute în vrac, care sunt standard pentru acest tip de operațiuni, victimele ar putea experimenta consecințe de ordinul doi și trei pentru anii următori.

Dintre toate sfaturile pe care trebuie să le ofer pe acest subiect, acesta nu lasă decât o singură opțiune: să folosești numerar sau carduri preplătite. Aceasta este o stare de lucruri destul de ridicolă în anul domnului nostru 2019, când pot folosi un telefon pentru a-mi cumpăra o dronă și a-l livra în casa mea înainte de a ajunge acasă, în timp ce apelează video la un prieten din Thailanda.

Prima încălcare masivă a datelor care părea că ar putea schimba lucrurile a fost în 2013, când 110 milioane de cumpărători din țintă au descoperit că există o informație specială asupra informațiilor lor private. Ca și atacul Earl Enterprises, nu prea existau lucruri pe care clienții le-ar fi putut face în mod fezabil pentru a se proteja. La acea vreme, exista îngrijorarea că reacția consumatorilor ar putea scufunda compania.

Acest lucru nu s-a întâmplat și nu s-a întâmplat pentru niciuna din alte încălcări ulterioare care au făcut titluri. Target a primit un hit și a plătit ceva bani, dar a rămas în afaceri. De asemenea, nu au existat consecințe devastatoare pentru niciuna din alte încălcări ulterioare care au făcut titluri și nici nu am văzut adevărate dureri financiare atunci când o companie se comportă prost și abuzează de informațiile private ale clienților săi (te uită, Facebook !). De fapt, acest tip de trădare a clienților a devenit atât de obișnuit, nu avea sens pentru PCMag să acopere atacul Earl Enterprises. Pur și simplu nu a justificat atenția.

Nicio cantitate de autoapărare a consumatorilor nu va opri acest tip de fraudă și, aparent, niciun fel de presă proastă asupra încălcărilor de securitate nu va dăuna unei corporații suficient pentru a proteja în mod adecvat informațiile clienților. În opinia mea, asta lasă o opțiune: reglementarea.

Protecțiile consumatorilor protejează consumatorii

  • Cei mai buni manageri de parole pentru 2019 Cei mai buni manageri de parole pentru 2019
  • Hackul țintă a afectat până la cumpărătorii de 70 m. Hackul țintă a afectat până la cumpărătorii de 70 m
  • Autentificare cu doi factori: Cine o are și cum să o configureze Autentificare cu doi factori: cine o are și cum să o configureze

Corporațiile trebuie să fie responsabile legal și financiar pentru încălcările de securitate care afectează clienții. Trebuie să fie amenzi, investigații și consecințe dispuse de instanță. Banii trebuie cheltuiți pentru avocați - mulți bani . Modelul actual în care clienții trebuie să-și cheltuiască banii și energia pentru a-și aduce legile pentru a suporta este lipsit de rațiune. Așa cum este energia necesară pentru a ne proteja de frauda mică sau, mai rău, de a încerca să ne readucem viața după furtul de identitate.

De asemenea, companiile trebuie să ia în serios amenințările și să planifice atacuri. Cel mai puțin minim de date despre clienți ar trebui să fie stocate și orice ar fi stocat ar trebui să fie păstrat encriptat sau în unele alte mijloace care să le facă inutile în cazul în care au fost furate. Creatorii sistemelor de plată trebuie să înceapă să ia în serios amenințările, ceea ce sunt sigur că ar face acest lucru dacă ar exista o cerere din partea comercianților pentru dispozitive mai sigure.

De ceva vreme acum, am bănuit că volumul mare de informații private expuse în ultimul deceniu înseamnă că toată lumea a fost sau va răni într-un fel. Nu poate fi acceptat. Vorbind de mine, sunt pe al doilea meu card de debit din 2019, deoarece primele două și-au compromis numărul. Este aprilie.

Securitywatch: face ca corporațiile, nu clienții, să sufere pentru încălcări ale datelor | max eddy