Como responder a uma notificação de violação de dados

Na sexta-feira passada, um leitor chamado Peter entrou em contato comigo sobre um aviso que apareceu quando ele tentou entrar em sua conta do Marriott Rewards. O aviso indicou que alguém pode ter tentado hackear a conta e ele deve alterar sua senha. Peter iniciou um bate-papo ao vivo com o help desk da Marriott e foi informado do seguinte:

"Recentemente, foram feitas tentativas para obter acesso não autorizado a um pequeno número de contas online de membros. Incentivo você a visitar Marriott.com e alterar sua senha o mais rápido possível para nos ajudar a garantir a segurança de sua conta."

Quando Peter perguntou ao agente se sua conta estava comprometida, o agente se recusou a fornecer mais detalhes. Isso deixou Peter desconfiado e com razão. Nós nos acostumamos com golpes de phishing que tentam nos enganar e mudar nossas IDs e senhas de login para que os phishers possam capturá-los e depois roubar nossos dados.

Tome a iniciativa quando suspeitar que seus dados pessoais estão em risco

Peter respondeu à notificação de segurança do Marriott.com exatamente como os especialistas recomendam: antes de fazer qualquer alteração no ID ou na senha da sua conta, confirme a autenticidade do aviso. Como Dennis Schaal relatou no início deste mês no site de viagens da Skift, a Marriott cortou o acesso às contas do Marriott Rewards de dispositivos móveis até que os membros alterassem suas senhas.

Schaal cita uma porta-voz da Marriott que alegou que nenhum cartão de crédito ou números da Previdência Social foram comprometidos pelas tentativas de hack, embora ela tenha dito que era "virtualmente impossível" determinar se as contas foram violadas e quais foram.

Onde isso deixa Peter e outros membros do Marriott Rewards? Pelo menos eles sabem que o alerta era legítimo, mas não sabem se precisam tomar precauções além de simplesmente mudar a senha do Marriott.com.

Mesmo o primeiro passo óbvio de alterar a senha da conta potencialmente comprometida pode ser mais complicado do que parece. Se você configurou seu navegador para lembrar suas senhas, registrou suas senhas em papel ou em um arquivo de dados ou usa um gerenciador de senhas, essas listas também terão que ser atualizadas.

Embora muitos especialistas recomendem o uso de um produto de gerenciamento de senhas, como o LastPass, não estou convencido do conceito. Para mim, esses serviços criam outro potencial alvo para hackers. Anotar suas senhas também apresenta problemas. (Em outubro passado, eu expliquei "A maneira segura de 'anotar' suas senhas.")

Um post de dezembro de 2001 intitulado "Dominando a arte das senhas" discutia os prós e contras dos gerenciadores de senhas. Esse post descreveu minha técnica favorita de criação de senha, que não requer o uso de um programa separado ou a gravação de senhas no papel.

Comece com algo que você já tenha memorizado, como uma letra de música, uma linha de um poema ou os nomes de irmãos, primos ou amigos. Em seguida, use a segunda, terceira ou última letra dessas palavras como sua frase secreta.

Por exemplo, se você escolher a linha rima de berçário "Hickory dickory dock, o mouse correu o relógio", combine as terceiras letras de cada palavra (ou a última letra para palavras menores que três letras) para criar sua frase secreta: "ccceunpeo " Para proteção adicional, inicie a seqüência de terceira letra com a última palavra da linha e termine com a primeira palavra.

Os especialistas em segurança recomendam que você use uma senha diferente em cada site que frequenta. O método mnemônico acima facilita o uso de senhas únicas em vários sites: inicie ou termine a seqüência de letras com a letra do mesmo número daquele serviço em particular. Assim, na Amazon, por exemplo, a senha acima seria "accceunpeo" (começando com a terceira letra da palavra "Amazon").

Fique atento à sua atividade de crédito

Depois de alterar sua senha, o próximo passo é determinar quais dados podem ter sido comprometidos. No caso de Peter, é possível que hackers tenham acessado o cartão de crédito associado à sua conta do Marriott Rewards. A resposta óbvia é monitorar as declarações futuras dessa conta para garantir que nenhuma cobrança não autorizada seja exibida.

Se você tiver acesso on-line à atividade da conta, poderá verificar se há cobranças falsas sem precisar aguardar a entrega de um extrato. Muitas empresas de cartão de crédito permitem que você se inscreva para receber alertas por email ou texto sempre que ocorrerem transações específicas.

A página "Como lidar com uma violação de segurança" da Privacy Rights Clearinghouse enfatiza a importância de contestar imediatamente cobranças fraudulentas. Quando você disputa uma cobrança, a empresa provavelmente cancelará a conta atual e emitirá um novo número de cartão e conta.

A divulgação atempada é ainda mais importante se a cobrança for feita em uma conta de cartão de débito, conforme explicado no "Papel ou plástico da Privacy Rights Clearinghouse: o que você perdeu?" página. (A República Popular da China recomenda que você nunca use ou mesmo carregue cartões de débito porque eles não têm as proteções dos cartões de crédito.)

Se houver uma chance de roubar seu CPF, os ladrões podem usar o SSN para abrir novas contas de crédito em seu nome. É por isso que você precisa colocar um alerta de fraude em suas contas com uma das três agências de relatório de crédito. Você também precisa monitorar seu relatório de crédito regularmente.

Para um nível adicional de proteção, você pode colocar um congelamento de segurança em suas contas de crédito que impede que qualquer pessoa acesse suas informações de crédito, a menos que você o permita explicitamente. O boletim informativo de Violação de Segurança da RPC contém informações para entrar em contato com as agências de crédito para solicitar um alerta de fraude e para se cadastrar ou congelar a segurança.

Quando você solicita um alerta de fraude de uma agência de relatórios, essa empresa entrará em contato com as outras duas agências para você. O alerta estará em vigor por 90 dias, embora você possa cancelá-lo a qualquer momento ou estendê-lo por até sete anos.

Um congelamento de segurança geralmente custa de US $ 5 a US $ 10 para colocar e remover, embora na Califórnia e em alguns outros estados, as vítimas de roubo de identidade possam obter um congelamento de segurança gratuitamente. As duas fontes oficiais de relatórios de crédito anuais gratuitos são o site de Relatórios de Crédito Livre da Comissão Federal de Comércio dos EUA e o AnnualCreditReport.com (877-322-8228).

Como você pode solicitar um relatório gratuito de cada uma das três agências de relatórios de crédito uma vez por ano, você pode obter um relatório gratuito de um dos três a cada quatro meses.

Anos atrás, fui vítima de uma tentativa de fraude. Subsequentemente, me inscrevi em um serviço de monitoramento de crédito que cobra uma taxa anual. O serviço me envia relatórios completos trimestralmente e alerta sempre que uma organização solicita meus dados de uma das três agências de relatório de crédito. Para mim, a paz de espírito que o serviço de monitoramento oferece vale a pena, embora muitas pessoas achem desnecessário esse monitoramento de crédito.

A página "Roubo de identidade: Lidando com uma violação de dados" do Blog Equifax Finance explica o que acontece quando você solicita um alerta de fraude ou um congelamento de segurança. O blog indica que suas informações roubadas não podem ser usadas pelos hackers por um ano ou mais, por isso é imperativo continuar monitorando sua atividade de crédito.

Quando as empresas são obrigadas a notificar os clientes sobre violações de dados?

A recusa de Marriott em oferecer detalhes sobre a possível tentativa de hackear contra Peter não é incomum. A probabilidade de você ser contatado quando uma organização perde ou pode ter perdido seus dados particulares depende de onde você mora.

De acordo com o DataLossDB da Open Security Foundation, 47 estados promulgaram leis exigindo que os consumidores sejam notificados sobre violações que põem em risco suas informações pessoais. No entanto, apenas 12 estados combinam a exigência de notificação com registro aberto ou legislação de liberdade de informação e uma autoridade centralizada, como o Procurador Geral ou a divisão de proteção ao consumidor, à qual as violações são relatadas.

Regulamentos federais cobrem violações de dados médicos. Em agosto de 2009, o Departamento de Saúde e Serviços Humanos dos EUA emitiu a Regra de Notificação de Violação, que implementa a seção 13402 da Lei de Tecnologia da Informação em Saúde para a Saúde Econômica e Clínica (HITECH) e se aplica a "entidades cobertas pela HIPAA e seus associados comerciais". (A HIPAA é o Portability Insurance and Accountability Act de 1996.)

Histórias relacionadas

  • NSA violou as regras de privacidade milhares de vezes, achados de auditoria
  • Hacker se declara inocente de roubar 160 milhões de cartões de crédito
  • China analisa IBM, Oracle, EMC sobre possíveis problemas de segurança
  • Deja vu tudo de novo? DOE para trabalhadores: nós fomos hackeados

Como parte da Lei Americana de Reinvestimento e Recuperação de 2009, a Comissão Federal de Comércio dos EUA emitiu uma Regra de Notificação de Violação Final para Informações Eletrônicas de Saúde que se aplica a "fornecedores ... que fornecem repositórios online que as pessoas podem usar para acompanhar suas informações de saúde". e entidades que oferecem aplicativos de terceiros para registros pessoais de saúde. "

Não há exigência federal de que outras organizações públicas e privadas notifiquem os consumidores quando seus dados pessoais possam ter sido comprometidos. O relatório de 2010 do Serviço de Pesquisa do Congresso intitulado "Leis Federais de Segurança da Informação e Notificação de Violações de Dados" (PDF) aponta que as leis estaduais de privacidade exigem que as entidades públicas e privadas notifiquem os consumidores que possam ter sido afetados por uma violação de dados.

O Conselho Nacional de Legislaturas do Estado fornece uma visão geral das leis de notificação de violação de segurança do estado. O Intersections Consumer Notification Guide (PDF) explica os detalhes dos requisitos de notificação de cada estado.

No mês passado, no blog Sophos Naked Security, Chester Wisniewski examinou as mudanças recentes nas leis estaduais de notificação de violação de dados, algumas mudanças para melhor e outras para pior.

Depois de quatro tentativas fracassadas que remontam a 2005, o Congresso parece estar pronto para fazer mais uma tentativa de aprovar uma lei abrangente de notificação de violações. Victor Li explica no site da Legal Intelligencer que o subcomitê de comércio do Comitê de Energia e Comércio da Casa abordou o assunto em uma audiência no mês passado em que vários representantes da indústria e especialistas em privacidade testemunharam.

Uma das principais questões não resolvidas é se uma lei federal de notificação substituirá as leis estaduais ou complementará os requisitos de notificação estaduais existentes. Por um lado, o cumprimento de várias leis de notificação estadual cria um pesadelo burocrático para algumas empresas. Por outro lado, os defensores da privacidade temem que uma única regulamentação federal acabe com algumas proteções de consumidores exigidas pelo Estado.

Publicações Populares

DIY: jailbreaking iPhone e de volta

Como agendar suas luzes para ligar e desligar

O horário de verão termina Domingo: 5 maneiras de preparar

Use o SIM de um iPad da Verizon para um plano somente de dados em seu smartphone

O guia completo do Android Pay

Seis maneiras de trabalhar mais rápido no MS Outlook

 

Deixe O Seu Comentário