Изглежда, че едва ли минава седмица без поредното шокиращо нарушение на данните, което засяга милиони обикновени интернет потребители, които правят заглавия. Но какво е нарушение на данните, как човек може да ви повлияе, как да разберете дали вашите данни са били нарушени и какво можете да направите, ако има?


Нарушение на данните е всяко неволно освобождаване на сигурни или частни данни. Това може да включва класифицирана информация, принадлежаща на военната, чувствителна информация, свързана с корпоративните активи. Терминът е най-широко използван, обаче, за да опише неволно освобождаване на данни, което застрашава неприкосновеността на личния живот и сигурността на обикновените членове на обществото.

Най-често това е под формата на клиентски бази данни, изтичащи по някакъв начин от частни компании, въпреки че правителствата за опасност изтичат дори по-чувствителна информация за здравеопазването и други подобни са много реални.

Информацията, изложена на нарушения на данните, често включва неща като имена на клиенти, имейл адреси, потребителски имена, пароли, пощенски адреси, история на поръчките и дори банкови данни за плащане.

Нарушаването на данни може да бъде случайно, може да бъде резултат от действията на вътрешните служители (например податели на сигнали за нарушения или недоволни служители) или от действията на външни хакери.

Повечето такива хакери са обикновени престъпници, въпреки че мотивите могат също да включват политически активизъм или просто бравадо от децата, желаещи да си изградят репутация в хакерската общност. Независимо от мотива, щом информацията е в публичното пространство, почти сигурно е, че ще бъде експлоатирана от престъпници.

В хакерското говорене да pwn нещо е да го притежавате. The '; - бях ли pwned? Инструментът по-долу ще ви помогне да разберете дали частните данни, принадлежащи на вас, са достъпни в интернет, като търсите широк набор от изтекли бази данни, за да видите дали някоя от тях съдържа вашия имейл адрес.

Проверка

Изпълнява се от haveibeenpwned.com

Нарушават ли се нарушенията на данните?

Това не е само вашето въображение. Нарушенията на данните наистина са във възход. И не само че те стават все по-често срещани, но мащабът (брой на засегнатите хора) и обхватът (чувствителност на изтичащата информация) на буковете става все по-лош.

Счита се, че през 2020 г. всяка минута се губят или открадват около четири хиляди записа, като всеки ден се добавят над 6 милиона записа! Между 2017 г. и 2020 г. се увеличи 88 процента на броя на хората, засегнати от нарушаване на здравните данни.

Общият брой на нарушенията на данните в Съединените щати нарасна с 44,4 процента между 2016 и 2017 г., въпреки че това спадна до 13 процента през 2018 г. Въпреки това, тези данни смятат за мащаба на проблема, тъй като общият брой на откритите записи между 2016 и 2018 г. е нарасна с 1117 процента до изумителните 446,5 милиона!

Кои компании са имали нарушения на данните?

Почти може да се попита кои компании не са имали нарушения на данните! Следва обаче списък на най-големите нарушения на данни в света през последните няколко години.

Кой

Кога

Колко голям

суровост

Тип данни

Encrypted?

Yahoo

2013-14

3 милиарда (!!!) потребители

умерен

Имейли, пароли, телефонни номера. Но

Повечето (но не всички) детайли бяха хеширани чрез силен bcrypt алгоритъм).

Marriott International

2014

500 милиона клиенти

тежък

Информация за връзка, номера на паспорт, данни за кредитна карта, планове за пътуване.

Не.

Търси приятел за възрастни

2016

412,2 милиона потребители

Много високо

Имена, имейл адреси, пароли.

Хеширано с използване на слаб SHA1 алгоритъм. В рамките на 1 месец 99% са били напукани.

иБей

2014

145 милиона потребители

Високо

Имена, адреси, дати на раждане, пароли.

Паролите бяха разбъркани с помощта на собствена мярка. не се знае колко са силни.

Equifax

2017

143 милиона потребители в САЩ.

тежък

Социалноосигурителни номера, дати на раждане, адреси, номера на шофьорските книжки. 209 000 нещастни потребители също бяха изложени на данни за своите кредитни карти.

Не.

Heartland разплащателни системи

2008

134 милиона кредитни карти

тежък

Данни за кредитната карта

Не.

Целеви магазини

2013

До 110 милиона души

тежък

Имена, адреси, имейли, телефонни номера, данни за кредитна карта

Не.

Uber

2016

57 милиона потребители + 600 000 драйвери

умерен

Имена, имейл адреси и номера на мобилни телефони

Не.

JP Morgan Chase

2014

76 милиона домакинства и 7 милиона малки предприятия

умерен

Имена, адреси, телефонни номера и имейли.

Не.

Ще бъда уведомен, ако данните ми бъдат нарушени?

Между 2013 и 2014 г. Yahoo стана жертва на най-голямото нарушение на данни, регистрирано досега, но не направи тази информация публична до септември 2016 г. Marriot, през 2013 г. жертва на второто най-голямо нарушение на данни, регистрирано някога, изчака до ноември 2018 г., преди да предупреди клиентите си да опасността.

Това въпреки факта, че от 2002 г. всички 50 щата в Съединените щати са приели закони за уведомяване за нарушаване на данните (въпреки че последният от тях е приет едва през 2016 г.). В Европа Общият регламент за защита на данните от 2016 г. (GDPR) налага на дружествата да съобщават на своите надзорни органи нарушения на личните данни, които „представляват риск за правата и свободите на физическите живи лица“. Например Офисът на комисаря по информация (ICO) във Великобритания.

Това, което ни показва историята, е, че изправени пред огромни финансови загуби и щети на репутацията, на компаниите просто не може да се вярва да уведомяват обществеността своевременно, ако данните им са нарушени. Независимо от закони, които изискват от тях да го правят.

Бил съм pwned

Използвайте '; - бях ли pwned? инструмент за сканиране на огромен и непрекъснато актуализиран списък с нарушени бази данни, за да откриете дали вашият имейл адрес е участвал в (известно) нарушение.

Инструментът ще ви каже в кои бази данни се появява вашият имейл адрес, заедно с кратка история на нарушението и обобщение на вида информация, която е изтекла и сега е публично достояние. Опитай!

Проверка

Изпълнява се от haveibeenpwned.com

Олеле! Бил съм pwned! Сега какво?

Не паникьосвайте! Освен ако нарушението не е ново, е малко вероятно да се окажете в непосредствена опасност. Ако нарушението е ново и включва данни за плащане, незабавно проверете банковите си извлечения.

Дори и да не откриете подозрителна дейност, струва си да се свържете с вашата банка, за да я предупредите за ситуацията. По всяка вероятност ще предприеме предпазни мерки, като преиздаване на вашата карта. Но дори и да не стане, вие сте в много по-силна позиция да поискате обезщетение, ако парите мистериозно изчезнат от вашия акаунт.

Независимо от тежестта или времето, изминало след нарушението, трябва незабавно да промените паролата си (ако акаунтът все още е активен) и да се уверите, че не сте използвали отново тази парола в различни уебсайтове. Всъщност повторната употреба на пароли е може би най-голямата опасност, причинена от повечето нарушения на данните.

През 2011 г. например, Sony претърпя поредица от нарушения на данните, които доведоха до повече от 77 милиона клиентски акаунта, разкрити от едно нарушение в PlayStation през тази година, станаха публични. Yahoo Voice бе хакнат за 453 491 имейл адреси и пароли.

Анализът разкри, че 59 процента от хората, чиято парола е изложена от хак на Sony, все още използват същата парола за Yahoo цяла година по-късно. Други 2 процента бяха променили само случая.

Как да сведем до минимум въздействието

Как компаниите, социалните медийни платформи и правителствените организации съхраняват и защитават данните, които им предоставяме за извършване на услугата, която предоставят, в голяма степен са извън нашите ръце. Въпреки неопровержимите доказателства, че на такива организации просто не може да се вярва, за да запазят чувствителните ни данни, ние нямаме възможност, освен да им се доверим. Такъв е животът.

Можем обаче да гарантираме, че паролите, получени при нарушаване на данните, не могат да бъдат използвани за достъп до другите ни акаунти.

Използвайте мениджър на пароли

За всеки уебсайт и онлайн услуга, която използвате, трябва да създадете силна парола, която е уникална за този сайт или услуга. Имайте предвид, че 123456, името на вашия домашен любимец или на любимия ви футболен отбор, не са силна парола. Наистина силна парола се състои от дълъг низ от произволни буквено-цифрови знаци със смесени главни букви и (за предпочитане) символи.

Разбира се, ние, бедните хора, често се борим да запомним дори една такава сигурна парола, да не говорим за такава за всеки уебсайт и онлайн услуги, които използваме! Ето защо за щастие компютрите могат да направят тежкото повдигане за нас!

Приложенията за мениджър на пароли генерират сигурни и уникални пароли и след това удобно автоматично ги попълват в данните за вход в уебсайта, когато е необходимо. Те също се синхронизират между устройства, така че те да са винаги достъпни, когато имате нужда от тях.

Тук, в ProPrivacy, ние предпочитаме мениджърите на пароли с отворен код като KeePass и BitWarden, но всеки наполовина приличен мениджър на пароли е леки години, преди изобщо да не използвате такава..

Двуфакторна автентификация

Еднофакторното удостоверяване е нещо, което знаете, т.е. вашите данни за вход, което може да бъде компрометирано от нарушаване на данните. Двуфакторната автентификация (2FA) използва допълнително нещо, което трябва да потвърдите самоличността си.

В момента тази секунда обикновено нещо е вашият смарт телефон. Обикновено код за потвърждение се изпраща на телефона ви чрез SMS съобщения или потвърждавате вход чрез приложение за удостоверяване (често използвайки биометрична автентификация, като пръстов отпечатък).

Активирането на 2FA във вашите акаунти прави достъпа до тях без вашето разрешение почти но невъзможен, освен ако в детайли за вашия акаунт хакер има и физически достъп до телефона ви.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me