Domov Securitywatch Securitywatch: aby spoločnosti, nie zákazníci, utrpeli porušenie údajov maximálne vírenie

Securitywatch: aby spoločnosti, nie zákazníci, utrpeli porušenie údajov maximálne vírenie

Obsah:

Video: IP cameras on Amazon with huge security risks (November 2024)

Video: IP cameras on Amazon with huge security risks (November 2024)
Anonim

29. marca spoločnosť Earl Enterprises oznámila, že návštevníci jej reťazových reštaurácií mohli mať ukradnuté informácie o svojej kreditnej karte. Keď sa to stane, ako zvyčajne, som bol požiadaný, aby som spotrebiteľom poskytol niekoľko rád o tom, čo môžu urobiť, aby sa chránili. Je to dobre nosený predmet z rokov podobných príbehov, ale tentoraz sa to cítilo inak. Čiastočne je to z dôvodu jedinečnej povahy útoku, ale tiež z toho dôvodu, že naša prax ukladania zodpovednosti za čistenie správ zákazníkov nefunguje. Je čas dať bremeno tam, kam patrí, na spoločnosti, ktoré v prvom rade umožnili kompromitáciu údajov.

Až do porušenia

Ak ste jedli v konkrétnych Buca di Beppo, Chicken Guy !, grófovi zo sendviča, Mixológii, Planet Hollywood alebo Tequila Taqueria, pravdepodobne ste ukradli informácie o kreditnej alebo debetnej karte. Podľa Earl Enterprises to mohlo zahŕňať takmer všetko potrebné na spáchanie podvodu: číslo karty, dátum vypršania platnosti a niektoré mená držiteľov kariet. Počet ľudí, ktorých sa to týka, sa uvádza okolo 2 miliónov.

Zaujímavou skutočnosťou o tomto konkrétnom porušení je, že to nebolo samo osebe porušenie. Namiesto toho sa hackerom podarilo vzdialene pristupovať k miestam predaja alebo POS (áno, to je skutočná skratka) v rôznych reštauráciách a nainštalovať malvér, ktorý zoškrabal údaje o zákazníkoch. Tieto informácie sa spojili a predali na webových stránkach na čiernom trhu.

Čo môžete urobiť, aby ste zostali v bezpečí?

Okrem trochu škodlivého softvéru na POS strojoch je porušenie / útok Earl Enterprises dosť typické. Rovnako ako rada, ktorú by som dal o tom, čo môžu spotrebitelia (to ste vy) urobiť, aby zostali v bezpečí.

Najprv zvyčajne hovorím, že používam kreditnú kartu a nie debetnú kartu. Transakcie s kreditnými kartami sa ľahko odvrátia a spoločnosti vydávajúce kreditné karty sú veľmi dobré na to, aby pred podvodom chytili podvod. Dôležité je, že nenesiete zodpovednosť za podvodné poplatky za kreditné karty. Používanie debetnej karty je v podstate hotovostná transakcia. Tieto náklady vám môžu byť preplatené, ale niekedy to trvá dlhšie a v najhoršom prípade to môže viesť k nejakým sporom s bankou alebo FDIC.

Akonáhle je to z cesty, idem do problémov s magstripe transakciami. Magstripes sú hlúpo jednoduché. Môžete pripojiť čítačku magstripe USB, spustiť kartu a počítač zadá informácie do textového súboru za vás. Čipová karta (EMV karta) používa iný proces, ktorý je oveľa bezpečnejší a ťažšie zachytiteľný.

To vedie k prirodzenej diskusii o tom, ako sa tieto informácie obvykle odcudzia pomocou malých zariadení nazývaných skimmery alebo trblietky. Mám celý príbeh o tom, ako ich spoznať, takže si ich môžete len prečítať. Ide o to, že je dobré skontrolovať POS stroje skôr, ako ich použijete, vo všetkých kontextoch, s ktorými sa stretnete, ale najmä na benzínových čerpadlách a externých bankomatoch. Uložili sme vám kliknutie (ale aj tak kliknete, pomôže mi to zaplatiť).

Potom sa dostanem k celému problému o high-tech riešeniach platieb. Android Pay, Apple Pay a Samsung Pay používajú tokenizačný systém, ktorý nikdy neodhaľuje vaše skutočné informácie o kreditnej karte. Môže sa zdať menej bezpečné ich použitie, pretože informácie sa prenášajú bezdrôtovo, ale v skutočnosti sú veľmi dobré.

Potom sa niekedy oboznámim s tým, ako môžete pomocou Abine Blur vytvárať nepretržité kreditné karty a falošné e-mailové adresy. Možno sa zmienim o tom, ako hotovostné a predplatené kreditné karty sú najbezpečnejšími spôsobmi ochrany súkromia pri podnikaní. Rozhodne nebudem súhlasiť so službami na ochranu pred krádežami identity, pretože si nie som istý, či skutočne fungujú, a nebudem hovoriť príliš veľa o monitorovaní úverov, pretože si nemyslím, že by ste mali platiť za svoje zostavené finančné informácie. bez vášho súhlasu.

Nikdy neschvaľujem bitcoíny, pretože tých chlapov to vážne zblázni.

Nezáleží na tom, ako opatrní ste

Tieto príbehy píšeme neustále v programe PCMag a sú užitočné na ilustráciu malých vecí, ktoré môžu zmeniť životy ľudí. Ľudia by mali vedieť inteligentnejšie spôsoby platby a mali by byť poučení, aby používali správcov hesiel a 2FA, alebo aspoň vedeli, o aké veci ide, aby si mohli vo svojom živote robiť informované rozhodnutia. Porušenie grófskych podnikov sa ku mne skutočne dostalo, pretože takmer nič, čo by zákazníci mohli urobiť, aby sa skutočne chránili.

V útoku Earl Enterprises mali zlí ľudia vzdialený prístup k POS strojom. To znamená, bez ohľadu na to, do akej miery zákazník preskúmal čítačky kariet, nenájdu oznamovač, pretože hrozba bola vo vnútri stroja. Navyše v amerických reštauráciách zákazníci nemajú vždy možnosť zapojiť sa do POS terminálu. Platbu odovzdáme serveru, ktorý kartu prevádzkuje a vráti s potvrdením. To znamená, že zákazníci nemôžu používať novší a bezpečnejší platobný systém pre mobilné zariadenia. Neexistuje tiež žiadna záruka, že ktorýkoľvek daný obchodník podporuje EMV čipy alebo mobilné platby alebo že by boli zamestnanci vyškolení v tom, ako ich používať.

To nehovorí o tom, že bolo hlásené, že Earl Enterprises trvalo 10 mesiacov, aby reagovali na porušenie. Ani preto, že táto informácia sa predávala hromadne, čo je štandardom pre tieto druhy operácií, mohli obete v nadchádzajúcich rokoch zažiť následky druhého a tretieho poriadku.

Zo všetkých rád, ktoré musím dať k tejto téme, zostáva len jedna možnosť: použiť hotovosť alebo predplatené karty. V roku nášho pána 2019 je to dosť smiešne. Keď budem môcť pomocou telefónu kúpiť dron a nechať si ho doručiť do svojho domu skôr, ako sa dostanem domov, to všetko pri videohovore s priateľom v Thajsku.

Prvé masívne narušenie údajov, ktoré sa zdalo, že by to mohlo zmeniť veci, bolo v roku 2013, keď niečo ako 110 miliónov zákazníkov nakupujúcich v teréne zistilo, že v ich súkromných informáciách existuje špeciálny bonus. Rovnako ako útok Earl Enterprises, aj tu bolo málo, čo zákazníci dokázali urobiť, aby sa chránili. V tom čase existovali obavy, že by spotrebiteľská vôľa mohla potopiť spoločnosť.

To sa nestalo a nestalo sa to ani pri žiadnom ďalšom porušení, ktoré prinieslo titulky. Target dostal zásah a vyplatil nejaké peniaze, ale zostal v podnikaní. Neboli ničivé následky ani pre žiadne ďalšie následné porušenia, ktoré priniesli titulky, ani sme nezaznamenali skutočnú finančnú bolesť, keď sa spoločnosť správa zle a zneužíva súkromné ​​informácie svojich zákazníkov (pri pohľade na vás, Facebook !). V skutočnosti sa tento druh zrady zákazníkov stal tak bežným javom, že pre spoločnosť PCMag nemalo zmysel pokryť útok Earl Enterprises. Jednoducho to nezaručovalo pozornosť.

Žiadne množstvo sebaobrany spotrebiteľov nezastaví tento druh podvodu a zjavne žiadne zlé tlačenie pri narušení bezpečnosti nepoškodí spoločnosť natoľko, aby im primerane chránila informácie o zákazníkoch. Podľa môjho názoru to ponecháva jednu možnosť: reguláciu.

Ochrana spotrebiteľa Chráni spotrebiteľov

  • Najlepší správcovia hesiel pre rok 2019 Najlepší správcovia hesiel pre rok 2019
  • Cieľový hack zasiahnutý až 70 miliónov zákazníkov Cieľový hack zasiahnutý až 70 miliónov zákazníkov
  • Dvojfaktorové overenie: Kto to má a ako je nastavený Dvojfaktorové overenie: kto to má a ako je nastavený

Spoločnosti musia byť právne a finančne zodpovedné za porušenia bezpečnosti, ktoré ovplyvňujú zákazníkov. Musí existovať pokuta, vyšetrovanie a súdne dôsledky. Peniaze musia byť vynaložené na právnikov - veľa peňazí . Súčasný model, v ktorom zákazníci musia minúť svoje vlastné peniaze a energiu, aby priniesli právne predpisy, je neprimeraný. Potrebná je aj energia, ktorá sa chráni pred drobnými podvodmi, alebo, čo je horšie, snaží sa dať náš život späť po krádeži identity.

Spoločnosti musia tiež brať hrozby vážne a plánovať útoky. Mali by sa uchovávať najmenšie údaje o zákazníkoch a čokoľvek, čo je uložené, by sa malo uchovávať v encyklopedii alebo iným spôsobom, aby boli v prípade krádeže zbytočné. Tvorcovia platobných systémov musia tiež začať brať hrozby vážne, čo som si istý, že ak by od obchodníkov existoval dopyt po bezpečnejších zariadeniach.

Už nejaký čas mám podozrenie, že samotný objem súkromných informácií, ktoré boli odhalené v poslednom desaťročí, znamená, že každý nejakým spôsobom bol alebo bude bolieť každý. To nemôže byť prijateľné. Hovorím za seba, mám na svojej druhej debetnej karte z roku 2019, pretože tí prví dvaja mali znížený počet. Je apríl.

Securitywatch: aby spoločnosti, nie zákazníci, utrpeli porušenie údajov maximálne vírenie