Video: Data Breach o violazione dei dati personali e GDPR - Come si gestisce (Settembre 2024)
Facciamo un gioco. Prova a fare un elenco di tutte le aziende e altre entità che hanno le tue informazioni personali memorizzate nei loro database. Bene, ci sono organizzazioni della tua città, contea, stato e governo federale, probabilmente molte per ogni livello. Ogni fornitore di carta di credito e conto bancario ha necessariamente le tue informazioni e qualsiasi commerciante online con il quale hai creato un account. Non dimenticare scuole, forum di discussione, social media… Hmm, fare questa lista non è poi un gioco così divertente.
Se una di queste entità subisce una violazione della sicurezza, i tuoi dati privati potrebbero essere esposti e vengono violati. Tumblr, Google Glass e Apple hanno subito violazioni proprio questo luglio. Più di recente, il governo finlandese ha segnalato una violazione grave e di vecchia data.
Perchè dovrebbe interessarmi?
Supponiamo che il tuo governo della contea a corto di liquidità utilizzi un sistema antiquato per archiviare i registri delle tasse sulla proprietà. Nessuna crittografia; non lo avevano quando il sistema è stato installato anni fa. I truffatori che penetrano nella sicurezza e catturano i dati della contea ora hanno le tue informazioni di contatto complete, SSN e altri dettagli personali. Con queste informazioni a portata di mano, potrebbero registrare una carta di credito a tuo nome o aprire una linea di credito garantita da casa tua.
Se un commerciante o una banca subisce una violazione, i dati del tuo account e della carta di credito potrebbero essere esposti. Sì, se i truffatori effettuano transazioni fraudolente utilizzando la tua carta di credito, l'agenzia emittente non ti farà pagare, ma dovrai affrontare la pena di trattare con un nuovo numero di carta.
Forse la situazione peggiore sarebbe una violazione che espone il tuo nome utente e la tua password e-mail. Con queste informazioni a portata di mano, un truffatore potrebbe bloccarti fuori dall'account modificando la password. Il prossimo passo sarebbe quello di assumere il controllo di un numero maggiore di account: quelli che utilizzano un semplice ripristino della posta elettronica per "Password dimenticata" sono vulnerabili.
Hash password
Naturalmente, tutte queste istituzioni dovrebbero mantenere i tuoi dati importanti in forma crittografata. Le password in particolare non dovrebbero essere affatto archiviate. Piuttosto, dovrebbero eseguire la password attraverso un algoritmo di hashing e archiviare solo il risultato. Per verificare di aver inserito la password corretta, il sito esegue semplicemente l'hashing di ciò che hai inserito e lo confronta con ciò che è memorizzato.
L'hashing è come la crittografia, ma è una strada a senso unico. Anche se un cyber-truffatore sa esattamente quale algoritmo è stato utilizzato, non c'è modo di passare dal valore con hash alla password da cui proviene.
O c'è? Sì, l'hash non è reversibile, ma se si indovina una password, l'hash e si scopre che corrisponde a un record di dati rubato, si sa di aver scoperto la password. Gli hacker che hanno violato LinkedIn lo scorso anno hanno pubblicato milioni di password con hash su un forum pubblico. Un ricercatore di white hat ha violato 900.000 password in quattro ore semplicemente eseguendo l'hashing di un numero enorme di potenziali password e controllando i risultati con l'elenco esposto.
Una semplice tecnica chiamata salting aggiunge un fattore casuale all'algoritmo hash che rende impossibile questo tipo di scoperta per ipotesi, ma non si può sapere con certezza se coloro a cui sono stati affidati i dati utilizzano questa tecnica.
Riduci al minimo la tua esposizione
In un senso molto reale, non c'è niente che tu possa fare per proteggere dalle ricadute da una violazione dei dati che espone le tue informazioni personali. Non hai il controllo dei dati o del modo in cui sono memorizzati. Anche così, puoi ridurre al minimo la tua esposizione.
Per cominciare, devi diventare un avaro di dati personali. Non inserire mai più del minimo richiesto su qualsiasi sito Web. Se sembrano volere troppo, considera se ciò che stai facendo sul sito merita il rischio. E se smetti di utilizzare un determinato sito Web, elimina il tuo profilo. Non lasciare i tuoi dati seduti lì, potenzialmente esposti. (Da quanto tempo accedi a MySpace? Giusto. Elimina quel profilo ora!)
Se sei il tipo di persona che utilizza e riutilizza la stessa password, una violazione che espone tale password può essere catastrofica. Sì, è quasi impossibile ricordare una password complessa diversa per ogni sito Web, quindi procurati un buon gestore di password e utilizzalo per generare e archiviare password non identificabili. LastPass e Dashlane includono entrambi una funzione che valuta le tue password esistenti e ti aiuta a migliorarle. Usalo! Sarai contento di averlo fatto.
Guarda per prove
Tieni d'occhio i tuoi punteggi di credito e dettagli; puoi ottenere un rapporto gratuito da ciascuna delle tre principali agenzie di punteggio una volta all'anno. Non richiederli tutti in una volta; spaziali allo stesso modo. Se un truffatore utilizza i tuoi dati personali per creare un nuovo account di credito di qualche tipo, li vedrai nel rapporto. Si noti che LastPass ti avviserà se i tuoi dati vengono scoperti in una violazione nota e ti avviserà anche di cambiamenti nello stato del tuo rapporto di credito. Per ottenere automaticamente i dettagli sulle modifiche del credito, è necessario LastPass 3.0 Premium al mese.
Controlla ogni riga di ogni fattura della carta di credito. Non è raro che i truffatori facciano prima alcune piccole accuse, solo per vedere se stai prestando attenzione. In caso contrario, andranno a fare il giro, ordinando tutti i beni e servizi che possono, fino al limite di credito.
Se, nonostante i tuoi migliori sforzi, i cattivi compromettono la tua identità, non farti prendere dal panico; l'aiuto è disponibile. Visita la pagina sul furto di identità della Federal Trade Commission e segui le istruzioni lì.
Si verificano violazioni dei dati e grandi violazioni fanno notizia. Ogni volta che vedi una violazione segnalata, fermati e pensa. L'organizzazione vittima ha dei tuoi dati? In tal caso, prenditi il tempo necessario per leggere tutti i dettagli e determinare quali azioni puoi intraprendere.
