كيفية الرد على إشعار خرق البيانات

في يوم الجمعة الماضي ، اتصل بي قارئ اسمه بيتر حول إشعار ظهر عندما حاول تسجيل الدخول إلى حساب مكافآت ماريوت. أشار الإشعار إلى أن شخصًا ما قد حاول اختراق الحساب وأنه يجب عليه تغيير كلمة المرور الخاصة به. بدأ بيتر دردشة حية مع مكتب مساعدة ماريوت وقيل له ما يلي:

"جرت محاولات مؤخرًا للوصول غير المصرح به إلى عدد صغير من حسابات الأعضاء عبر الإنترنت. وأشجعك على زيارة موقع Marriott.com وتغيير كلمة المرور الخاصة بك في أقرب وقت ممكن لمساعدتنا في ضمان أمان حسابك."

عندما سأل بيتر الوكيل عما إذا كان قد تم اختراق حسابه ، رفض الوكيل تقديم أي تفاصيل أخرى. هذا جعل بيتر مشبوهًا ، وهذا صحيح. لقد اعتدنا على عمليات الخداع التي تحاول خداعنا لتغيير معرفات تسجيل الدخول وكلمات المرور الخاصة بنا حتى يتمكن المخادعون من التقاطها ومن ثم سرقة بياناتنا.

أخذ زمام المبادرة عندما تشك في بياناتك الشخصية في خطر

استجاب بيتر للإخطار الأمني ​​ل Marriott.com تمامًا كما يوصي الخبراء: قبل إجراء أي تغييرات على معرف حسابك أو كلمة المرور ، تأكد من صحة الإشعار. وكما أفاد دنيس شاال في وقت سابق من هذا الشهر على موقع السفر في سكيفت ، قطعت ماريوت الوصول إلى حسابات مكافآت ماريوت من الأجهزة المحمولة حتى غيّر الأعضاء كلمات المرور الخاصة بهم.

ونقلت شال عن المتحدثة باسم ماريوت التي زعمت عدم وجود أرقام بطاقة ائتمان أو ضمان اجتماعي من خلال محاولات الاختراق ، على الرغم من أنها قالت إنه "من المستحيل فعليًا" أن تحدد الشركة ما إذا كانت هناك أية حسابات مخترقة وإذا كان الأمر كذلك ، فما هي تلك الحسابات.

أين يترك ذلك بيتر وغيره من أعضاء مكافآت ماريوت؟ على الأقل يعلمون أن التنبيه كان مشروعًا ، ولكنهم لا يعرفون ما إذا كانوا بحاجة إلى اتخاذ أي احتياطات تتجاوز مجرد تغيير كلمة المرور الخاصة بهم Marriott.com.

حتى الخطوة الأولى الواضحة لتغيير كلمة المرور الخاصة بحسابك المحتمل اختراقه قد تكون أكثر تعقيدًا مما تبدو. إذا قمت بتعيين متصفحك على تذكر كلمات المرور الخاصة بك ، أو تسجيل كلمات المرور الخاصة بك على الورق أو في ملف بيانات ، أو استخدام مدير كلمات المرور ، فيجب تحديث هذه القوائم أيضًا.

في حين يوصي العديد من الخبراء باستخدام منتج إدارة كلمات المرور مثل LastPass ، فأنا لا أبيع هذا المفهوم. بالنسبة لي ، تنشئ هذه الخدمات هدفًا محتملاً آخر للمتسللين. كتابة كلمات السر الخاصة بك يقدم مشاكل كذلك. (في أكتوبر الماضي ، شرحت "الطريقة الآمنة" لتدوين "كلمات المرور الخاصة بك.")

ناقش منشور من ديسمبر 2001 بعنوان "إتقان فن كلمات المرور" إيجابيات وسلبيات مديري كلمات المرور. وصفت تلك الوظيفة تقنية إنشاء كلمة المرور المفضلة ، والتي لا تتطلب استخدام برنامج منفصل أو كتابة كلمات المرور على الورق.

ابدأ بشيء قمت بحفظه بالفعل ، مثل أغنية الأغنية أو خط من قصيدة أو أسماء أشقاء أو أبناء عم أو أصدقاء. ثم استخدم الأحرف الثانية أو الثالثة أو الأخيرة من تلك الكلمات مثل عبارة المرور الخاصة بك.

على سبيل المثال ، إذا اخترت خط الحضانة - القافية "Hickory dickory dock ، فركض الماوس فوق الساعة" ، ضم الأحرف الثالثة لكل كلمة (أو الحرف الأخير للكلمات أقصر من ثلاثة أحرف) لإنشاء عبارة المرور: "ccceunpeo ". للحماية الإضافية ، ابدأ تسلسل الحرف الثالث مع آخر كلمة في السطر وانتهي بالكلمة الأولى.

يوصي خبراء الأمان باستخدام عبارة مرور مختلفة في كل موقع تقوم بزيارته. طريقة ذاكري المذكورة أعلاه تسهل استخدام عبارات المرور الفريدة في مواقع مختلفة: بدء أو إنهاء تسلسل الرسالة مع نفس الرقم من هذه الخدمة المعينة. لذا في Amazon ، على سبيل المثال ، ستكون عبارة المرور أعلاه "accceunpeo" (بدءًا بالحرف الثالث من الكلمة "Amazon").

حافظ على مراقبة عن كثب لنشاطك الائتماني

بعد تغيير كلمة المرور ، فإن الخطوة التالية هي تحديد البيانات التي قد تكون تعرضت للاختراق. في حالة بطرس ، من المحتمل أن المتسللين قاموا بالوصول إلى بطاقة الائتمان المرتبطة بحساب ماريوت المكافآت الخاصة بهم. وتتمثل الاستجابة الواضحة في مراقبة البيانات المستقبلية لهذا الحساب لضمان عدم ظهور رسوم غير مصرح بها.

إذا كان لديك وصول عبر الإنترنت إلى نشاط الحساب ، يمكنك التحقق من الرسوم الزائفة دون الحاجة إلى انتظار وصول بيان. تسمح لك العديد من شركات بطاقات الائتمان بالتسجيل في البريد الإلكتروني أو التنبيهات النصية كلما حدثت معاملات معينة.

وتؤكد صفحة "كيفية التعامل مع انتهاك أمني" لمقاصة الخصوصية الحقوقية أهمية التنازع على التهم الاحتيالية فورًا. عند الاعتراض على تحصيل رسوم ، من المرجح أن تلغي الشركة الحساب الجاري وتصدر لك رقمًا جديدًا للحساب والبطاقة.

يعتبر إعداد التقارير في الوقت المناسب أكثر أهمية إذا كانت الرسوم على حساب بطاقة الخصم المباشر ، كما هو موضح في "ورقة أو بلاستيك في غرفة تبادل المعلومات: ما الذي يجب أن تخسره؟" الصفحة. (توصي جمهورية الصين الشعبية بعدم استخدام بطاقات الخصم أو حتى حملها لأنها تفتقر إلى وسائل الحماية لبطاقات الائتمان.)

إذا كان هناك احتمال أن يتم سرقة رقم الضمان الاجتماعي الخاص بك ، قد يستخدم اللصوص SSN لفتح حسابات ائتمان جديدة باسمك. هذا هو السبب في أنك تحتاج إلى وضع تنبيه احتيالي على حساباتك مع إحدى وكالات الإبلاغ الائتماني الثلاث. تحتاج أيضا إلى مراقبة تقرير الائتمان الخاص بك بانتظام.

للحصول على مستوى إضافي من الحماية ، يمكنك وضع تجميد للأمان على حسابات الائتمان الخاصة بك تمنع أي شخص من الوصول إلى معلومات الائتمان الخاصة بك ما لم تسمح بذلك صراحةً. تحتوي صحيفة الوقائع المتعلقة بأخلاقيات الأمن في لجان المقاومة الشعبية على معلومات للاتصال بمكاتب الائتمان لطلب التنبيه من الغش والتسجيل أو تجميد الأمن.

عندما تطلب تنبيهًا بالاحتيال من إحدى وكالات الإبلاغ ، ستقوم هذه الشركة بالاتصال بالوكالتين الأخريين نيابة عنك. سيكون التنبيه جاهزًا لمدة 90 يومًا ، على الرغم من أنه يمكنك إلغائه في أي وقت أو تمديده لمدة تصل إلى سبع سنوات.

يتكلف تجميد الأمن بشكل عام من 5 دولارات إلى 10 دولارات لوضعه وإزالته ، على الرغم من أنه في كاليفورنيا وبعض الولايات الأخرى ، يمكن لضحايا سرقة الهوية الحصول على تجميد للأمان مجانًا. المصدران الرسميان لتقارير الائتمان السنوية المجانية هما موقع تقارير الائتمان الحر التابع للجنة التجارة الفيدرالية الأمريكية و AnnualCreditReport.com (877-322-8228).

نظرًا لأنه يمكنك طلب تقرير مجاني من كل وكالة من وكالات الإبلاغ الائتماني الثلاث مرة واحدة سنويًا ، يمكنك الحصول على تقرير مجاني من أحد الثلاثة كل أربعة أشهر.

منذ سنوات ، كنت ضحية لمحاولة احتيال. اشتركت لاحقًا في خدمة مراقبة الائتمان التي تفرض رسومًا سنوية. ترسل الخدمة إليّ تقارير كاملة كل ثلاثة أشهر وتنبيهات عندما تطلب المؤسسة بياناتي من إحدى وكالات الإبلاغ الائتماني الثلاث. بالنسبة لي ، فإن راحة البال التي تقدمها خدمات المراقبة تستحق التكلفة ، على الرغم من أن العديد من الناس سيجدون أن مراقبة الائتمان غير ضرورية.

توضح صفحة Equifax Finance Blog الخاصة بـ "سرقة الهوية: التعامل مع خرق البيانات" ما يحدث عند طلب تنبيه عن الغش أو تجميد للأمان. تشير المدونة إلى أن معلوماتك المسروقة قد لا يستخدمها المخترقون لمدة عام أو أكثر ، لذلك من الضروري متابعة مراقبة نشاطك الائتماني.

متى يتعين على الشركات إخطار العملاء بانتهاك البيانات؟

رفض ماريوت لتقديم أي تفاصيل حول محاولة الاختراق المحتملة ضد بيتر ليست غير عادية. يعتمد احتمال أن يتم الاتصال بك على الإطلاق عندما تفقد إحدى المؤسسات بياناتك الخاصة أو قد تكون فقدت ذلك على المكان الذي تعيش فيه.

ووفقًا لـ DataLossDB لمؤسسة الأمن المفتوح ، فقد قامت 47 ولاية بسن قوانين تقضي بإشعار المستهلكين بانتهاكات تعرض معلوماتهم الشخصية للخطر. ومع ذلك ، هناك 12 ولاية فقط تجمع بين شرط الإخطار وبين سجل مفتوح أو تشريع حرية المعلومات وسلطة مركزية ، مثل النائب العام أو قسم حماية المستهلك ، والتي يتم الإبلاغ عن الخروقات.

تغطي اللوائح الفيدرالية انتهاكات البيانات الطبية. في أغسطس / آب 2009 ، أصدرت وزارة الصحة والخدمات البشرية الأمريكية "قاعدة الإخطار بالاختراق" ، التي تنفذ المادة 13402 من قانون تكنولوجيا المعلومات الصحية للصحة الاقتصادية والسريرية (HITECH) وتنطبق على "الكيانات المشمولة بقانون HIPAA وشركائها التجاريين". (HIPAA هو قانون التأمين الصحي وقابلية التأمين لعام 1996.)

قصص ذات الصلة

  • وكالة الأمن القومي انتهكت قواعد الخصوصية آلاف المرات ، تدقيق مكتشفات
  • هاكر ينادي بعدم سرقة بطاقات الائتمان 160M
  • الصين تتطلع إلى آي بي إم وأوراكل وإي إم سي حول القضايا الأمنية المحتملة
  • ديجا فو من جديد؟ وزارة التربية للعمال: لقد تم اختراقنا

كجزء من قانون إعادة الاستثمار والإنعاش الأمريكي لعام 2009 ، أصدرت لجنة التجارة الفيدرالية الأمريكية قاعدة إخطار نهائي بالمخالفة لمعلومات الصحة الإلكترونية التي تنطبق على "البائعين ... التي توفر مستودعات عبر الإنترنت يمكن للأشخاص استخدامها لتتبع معلوماتهم الصحية والكيانات التي تقدم تطبيقات الجهات الخارجية للسجلات الصحية الشخصية. "

لا يوجد أي مطلب اتحادي بأن تقوم مؤسسات عامة وخاصة أخرى بإخطار المستهلكين عندما تكون بياناتهم الشخصية قد تعرضت للاختراق. يشير تقرير خدمة أبحاث الكونغرس لعام 2010 بعنوان "الأمن الفيدرالي لأمن المعلومات وقوانين الإخطار بالبيانات" (PDF) إلى أن قوانين الخصوصية الحكومية أكثر احتمالا بكثير أن تطلب من الكيانات العامة والخاصة إخطار المستهلكين الذين ربما تأثروا بانتهاك البيانات.

يقدم المجلس الوطني للمجالس التشريعية الحكومية نظرة عامة على قوانين إخطار أمن الدولة. يشرح دليل إشعار المستهلك (Intersections Interification) (PDF) تفاصيل متطلبات الإخطار لكل ولاية.

في الشهر الماضي على مدونة Sophos Naked Security ، درس Chester Wisniewski التغييرات الأخيرة في قوانين إخطار الدولة باختراق البيانات ، وبعض التغييرات للأفضل والبعض الآخر أسوأ.

بعد أربع محاولات فاشلة تعود إلى عام 2005 ، يبدو أن الكونجرس مستعد لإجراء محاولة أخرى لإصدار قانون الإخطار الشامل. يشرح فيكتور لي على موقع Legal Intelligencer أن اللجنة الفرعية التجارية التابعة للجنة التجارة والطاقة التابعة لمجلس النواب تناولت الأمر في جلسة استماع الشهر الماضي حيث شهد العديد من ممثلي الصناعة وخبراء الخصوصية.

واحدة من القضايا الرئيسية غير المستقرة هي ما إذا كان قانون الإخطار الفيدرالي سيحل محل قوانين الولاية أو يكمل متطلبات إخطار الدولة الحالية. فمن جهة ، يؤدي الامتثال لقوانين الإخطار المختلفة إلى خلق كابوس بيروقراطي لبعض الشركات. من ناحية أخرى ، يخشى المدافعون عن الخصوصية من أن يؤدي تشريع فيدرالي واحد إلى القضاء على بعض الحماية الحالية للمستهلكين.

المشاركات الشعبية

حالة الاتحاد 2018: وقت البدء ، وكيفية البث ، وما يمكن توقعه وأكثر من ذلك

التدريب العملي: الألعاب على Apple iPad

كيفية تخصيص التمرير التلقائي في صندوق البريد لـ iOS ، Android

5 إضافات Chrome لمدمني YouTube

CallApp يضيف إدارة الاتصال بالمعلومات إلى Android

استخدم Unclouded لتحليل التخزين في Dropbox و Google Drive

 

ترك تعليقك