Casa Securitywatch Securitywatch: far soffrire le società, non i clienti, per le violazioni dei dati | Eddy max

Securitywatch: far soffrire le società, non i clienti, per le violazioni dei dati | Eddy max

Sommario:

Video: Cookie e privacy: istruzioni per l'uso (Novembre 2024)

Video: Cookie e privacy: istruzioni per l'uso (Novembre 2024)
Anonim

Il 29 marzo, Earl Enterprises ha annunciato che ai visitatori dei suoi ristoranti della catena potrebbero essere stati rubati i dati della carta di credito. Come al solito quando accade questo genere di cose, mi è stato chiesto di mettere insieme alcuni consigli per i consumatori su cosa potevano fare per proteggersi. È un argomento logoro di anni di storie simili, ma questa volta è sembrato diverso. Ciò è in parte dovuto alla natura unica dell'attacco, ma anche perché la nostra pratica di mettere la responsabilità di ripulire i pasticci sui consumatori non funziona. È tempo di mettere l'onere a cui appartiene, sulle aziende che hanno permesso che i dati venissero compromessi in primo luogo.

Unto the Breach

Se hai mangiato in Buca di Beppo, Chicken Guy !, Earl of Sandwich, Mixology, Planet Hollywood o Tequila Taqueria specifici, potresti essere stato rubato i dati della tua carta di credito o debito. Secondo Earl Enterprises, ciò avrebbe potuto includere quasi tutto il necessario per commettere una frode: numero di carta, date di scadenza e alcuni nomi dei titolari di carta. Il numero di persone colpite è di circa 2 milioni.

Un fatto interessante di questa particolare violazione è che non è stata una violazione di per sé . Invece, gli hacker sono riusciti ad accedere in remoto ai punti vendita o POS (sì, questo è il vero acronimo) in vari ristoranti e installare malware che ha eliminato i dati dei clienti. Tali informazioni sono state raggruppate e vendute sui siti web del mercato nero.

Cosa puoi fare per stare al sicuro?

A parte le informazioni sul malware sui computer POS, la violazione / attacco di Earl Enterprises è piuttosto tipica. Come è il consiglio che darei su ciò che i consumatori (sei tu) possono fare per stare al sicuro.

In primo luogo, di solito dico, utilizzare una carta di credito e non una carta di debito. Le transazioni con carta di credito possono essere facilmente annullate e le società di carte di credito sono molto brave a catturare le frodi prima di farlo. È importante sottolineare che non si è responsabili per addebiti fraudolenti sulla carta di credito. L'uso di una carta di debito è essenzialmente una transazione in contanti. Puoi ottenere un rimborso per questi, ma a volte ci vuole più tempo e, nel peggiore dei casi, gli scenari possono portare a delle discussioni con la banca o l'FDIC.

Una volta che è fuori mano, vado nei problemi con le transazioni di burrasca. Le bacchette sono stupidamente semplici. Puoi collegare un lettore di strisce USB, eseguire una scheda e il computer inserirà le informazioni in un file di testo per te. Una chip card (EMV card) utilizza un processo diverso che è molto più sicuro e più difficile da intercettare.

Ciò porta a una discussione naturale su come queste informazioni vengono di solito rubate con piccoli dispositivi chiamati skimmer o luccicanti. Ho un'intera storia su come individuarli, quindi puoi semplicemente leggerlo. L'essenza è che è una buona idea ispezionare le macchine POS prima di utilizzarle, in ogni contesto in cui le si incontrano, ma soprattutto nelle pompe di benzina e nei bancomat esterni. Ti ho salvato un clic (ma fai clic comunque, mi aiuta a essere pagato).

Dopodiché, mi lancerò su una questione di soluzioni high-tech per i pagamenti. Android Pay, Apple Pay e Samsung Pay utilizzano un sistema di tokenizzazione che non rivela mai i dati della tua carta di credito. Potrebbe sembrare meno sicuro usarli poiché le informazioni vengono trasmesse in modalità wireless, ma in realtà è molto buono.

Poi a volte mi soffermerò su come utilizzare Abine Blur per creare al volo carte di credito prepagate e indirizzi di posta elettronica fasulli. Forse menzionerò come contanti e carte di credito prepagate sono i modi più sicuri e attenti alla privacy per fare affari. Sicuramente non avallerò i servizi di protezione dai furti di identità perché non sono sicuro che funzionino effettivamente, e non parlerò troppo del monitoraggio del credito perché non penso che dovresti pagare per le tue informazioni finanziarie che vengono compilate senza il tuo consenso.

Non approvo mai Bitcoin perché seriamente, fanculo quei ragazzi.

Non importa quanto stai attento

Scriviamo questo tipo di storie in ogni momento su PCMag e sono utili per illustrare le piccole cose che possono fare la differenza nella vita delle persone. Le persone dovrebbero conoscere modi più intelligenti di pagamento ed essere avvisati di utilizzare i gestori di password e 2FA, o almeno sapere cosa sono queste cose in modo da poter fare scelte informate nella loro vita. Ma la violazione di Earl Enterprises mi ha davvero colpito, perché non c'è quasi nulla che i clienti avrebbero potuto fare per proteggersi davvero.

Nell'attacco di Earl Enterprises, i cattivi avevano accesso remoto alle macchine POS. Ciò significa che non importa quanto un cliente abbia indagato sui lettori di carte, non avrebbero trovato uno skimmer per racconti perché la minaccia era all'interno della macchina. Inoltre, nei ristoranti statunitensi, i clienti non hanno sempre la possibilità di interagire con il terminale POS. Consegniamo il nostro pagamento al server, che gestisce la carta e restituisce con una ricevuta. Ciò significa che i clienti non possono utilizzare il sistema di pagamento per dispositivi mobili più recente e più sicuro. Inoltre, non esiste alcuna garanzia che un determinato commerciante supporti chip EMV o pagamenti mobili o che il personale sia addestrato su come utilizzarlo.

Questo non vuol dire che è stato riferito che Earl Enterprises ha impiegato 10 mesi per rispondere alla violazione. Né perché queste informazioni sono state vendute in blocco, che è standard per questo tipo di operazioni, le vittime potrebbero subire conseguenze di secondo e terzo ordine per gli anni a venire.

Di tutti i consigli che devo dare su questo argomento, resta solo un'opzione: usare contanti o carte prepagate. È uno stato piuttosto ridicolo nell'anno del nostro signore 2019 quando posso usare un telefono per comprare un drone e farlo consegnare a casa mia prima di tornare a casa, tutto mentre videochiamo un amico in Tailandia.

La prima massiccia violazione dei dati che sembrava potesse cambiare le cose è stata nel 2013, quando qualcosa come 110 milioni di acquirenti Target ha scoperto che c'era una luce blu speciale sulle loro informazioni private. Come l'attacco della Earl Enterprises, c'era poco che i clienti avrebbero potuto fare in modo fattibile per proteggersi. All'epoca, c'era il timore che il contraccolpo dei consumatori potesse affondare la società.

Ciò non è accaduto e non è accaduto per nessuna delle altre successive violazioni che hanno fatto notizia. Target ha subito un colpo e ha pagato un po 'di denaro, ma è rimasto in attività. Inoltre, non vi sono state conseguenze devastanti per nessuna delle altre successive violazioni che hanno fatto notizia, né abbiamo visto un vero dolore finanziario quando un'azienda si comporta male e abusa delle informazioni private dei suoi clienti (guardandoti, Facebook !). In effetti, questo tipo di tradimento nei confronti dei clienti è diventato così banale, che non aveva senso per PCMag coprire l'attacco di Earl Enterprises. Semplicemente non meritava l'attenzione.

Nessuna quantità di autodifesa dei consumatori fermerà questo tipo di frode e apparentemente nessuna quantità di cattiva stampa sulle violazioni della sicurezza danneggerà una società abbastanza da consentire loro di proteggere adeguatamente le informazioni dei clienti. A mio avviso, ciò lascia un'opzione: regolamento.

Protezioni dei consumatori Proteggi i consumatori

  • I migliori gestori di password per il 2019 I migliori gestori di password per il 2019
  • Target Hack interessato fino a 70 milioni di acquirenti Target Hack interessato fino a 70 milioni di acquirenti
  • Autenticazione a due fattori: chi ce l'ha e come configurarla Autenticazione a due fattori: chi ce l'ha e come configurarla

Le società devono essere ritenute legalmente e finanziariamente responsabili delle violazioni della sicurezza che colpiscono i clienti. Ci devono essere multe, indagini e conseguenze ordinate dal tribunale. Il denaro deve essere speso per gli avvocati, molti soldi . Il modello attuale in cui i clienti devono spendere i propri soldi ed energia per far valere le cause legali è irragionevole. Come l'energia necessaria per proteggerci da piccole frodi o, peggio ancora, cercare di rimettere insieme le nostre vite dopo il furto di identità.

Le aziende devono anche prendere sul serio le minacce e pianificare attacchi. Il minimo indispensabile di dati dei clienti dovrebbe essere archiviato e tutto ciò che è archiviato dovrebbe essere tenuto crittografato o in qualche altro modo per renderlo inutile in caso di furto. I creatori dei sistemi di pagamento devono anche iniziare a prendere sul serio le minacce, cosa che sono sicuro che farebbero se ci fosse una richiesta da parte dei commercianti di dispositivi più sicuri.

Per un po 'di tempo, ho sospettato che l'enorme volume di informazioni private che è stato esposto nell'ultimo decennio significhi che tutti sono stati o faranno del male in qualche modo. Non può essere accettabile. Parlando da solo, sono sulla mia seconda carta di debito del 2019, perché i primi due avevano i loro numeri compromessi. È aprile

Securitywatch: far soffrire le società, non i clienti, per le violazioni dei dati | Eddy max