מתכונים חדשים

חדשות רעות, משתמשי MyFitnessPal: המידע שלך עשוי להיות חלק מהפרת נתונים

חדשות רעות, משתמשי MyFitnessPal: המידע שלך עשוי להיות חלק מהפרת נתונים

שלב 1: שנה את הסיסמה שלך.

הפרה מאסיבית של נתונים היא תמיד דאגה - אך שטף האבטחה העדכני ביותר מתוכנת הכושר הפופולרית MyFitnessPal יכול להציג את נתוני הבריאות האישיים שלך בשטח פתוח.

רק השבוע אפליקציית הבריאות לנייד גרמה למשתמשים להיות מודעים להפרת אבטחה שהתרחשה כבר בפברואר. היום הם שלחו הצהרה לכל משתמשי האפליקציות המסבירים מה קרה - ובאיזה מידע בדיוק נפגע.

הישאר מעודכן מה המשמעות של בריא עכשיו.

הירשם לניוזלטר היומי שלנו למאמרים מעולים נוספים ומתכונים טעימים ובריאים.

על פי ההצהרה, צד שלישי בלתי מורשה השיג נתונים הקשורים לחשבונות משתמשים של MyFitnessPal, כולל שמות משתמש של אנשים, כתובות דוא"ל וסיסמאות מגובשות.

קצין הדיגיטל הראשי של MyFitnessPal, פול פיפס, אמר בהצהרה, "ברגע שנודע לנו [להפרת הנתונים], נקטנו במהירות צעדים כדי לקבוע את מהותו והיקפו. אנו עובדים עם חברות אבטחת מידע מובילות בכדי לסייע בחקירתנו. הודענו גם ומתאמים עם רשויות אכיפת החוק ".

אם אתה משתמש ב- MyFitnessPal, יש כמה דברים שאתה יכול לעשות כדי להגן על המידע שלך. ראשית, שנה מיד את סיסמאות החשבון שלך (דוא"ל, MyFitnessPal וכו '). לאחר מכן, המשך לעקוב אחר החשבונות שלך לגבי כל פעילות חשודה, ותהיה מודע לקישורים מעוותים ודוא"ל לא רצוי - הם יכולים להיות האקרים שמנסים להשיג את המידע שלך.


ChatBooks חושף הפרת נתונים לאחר נתונים שנמכרו באינטרנט כהה

שירות הדפסת התמונות של ChatBooks הודיע ​​ללקוחותיו כי מידע משתמשים נגנב ממערכותיהם בעקבות מתקפת סייבר. נתונים המורכבים מ -15 מיליון רשומות משתמשים מוצעים כעת למכירה ברשת האפלה.

הפרה זו היא חלק ממסע הדלפות מקבוצת האקרים שמוכרים כעת מעל 73 מיליון רשומות משתמשים מ -11 חברות.

השירות מספק דרך קלה ליצירת ספרי תמונות באמצעות חשבונות אינסטגרם ופייסבוק ברשתות החברתיות כמקור.

האקרים החזיקו נתונים במשך יותר מחודש

קבוצת האקרים בשם Shiny Hunters ב -3 במאי החלה לפרסם רשומות משתמשים של ChatBooks בשוק אינטרנט חשוך, וביקשה 2,000 $ עבור 15 מיליון שורות נתונים.

הם סיפקו דוגמה עם כתובות דוא"ל, סיסמאות מגובשות (SHA-512), אסימוני גישה לרשתות חברתיות ומידע מזהה אישית.

משתמשים שחלקו את ההודעה על הפרת אבטחה קיבלו את החדשות הרעות ביום שישי, 8 במאי, ואמרו כי ההאקרים גנבו אישורי התחברות לשירות, שמות, כתובות דוא"ל וסיסמאות (מומלחות וחבולות).

בנוסף, עבור חלק קטן מהרישומים המושפעים נגנבו גם כמה מספרי טלפון, FacebookID, וגישה לא פעילה לרשתות חברתיות ואסימוני סוחר - נייט קוויגלי, מייסד ומנכ"ל צ'טבוקס.

החברה הודיעה כי פרטי התשלום או כרטיס האשראי אינם נמצאים במאגר הנתונים שלהם, ולכן אין לכך השפעה. כמו כן, אין הוכחות המצביעות על כך שנגנבו נתונים אישיים, כמו תמונות.

על פי ההודעה, החברה למדה על הפלישה ביום שלישי, 5 במאי, יומיים לאחר שהאקרים החלו לפרסם רשומות משתמשים של ChatBooks בשוק אינטרנט חשוך. בהתבסס על חקירה משפטית, ההפרה אירעה ב -26 במרץ.

ChatBooks הם לא הקורבנות היחידים של ציידים מבריקים, אך זו החברה הראשונה שהודתה כי נפרצה והזהירה את לקוחותיהם.

BleepingComputer גילה שאותם האקרים מוכרים רשומות משתמשים ממספר חברות. לחלקם נודע מהתקשורת כי רשומות המשתמשים שלהם נמכרו ורק החלו בחקירה כאשר BleepingComputer הגיע להודעה.

כרגע המחיר למסד הנתונים של ChatBooks גבוה יותר, ועמד על 3,500 דולר. ההאקרים אינם מציעים את המידע באופן בלעדי, וייתכן כי הפרטים הכלולים משכו מספר קונים גדל.

הסיסמאות הגנובות נהנות מאבטחה מסוימת אך החברה מייעצת ללקוחותיה לשנות אותן בהקדם האפשרי.

למרות ש- hashing הוא תהליך חד כיווני שאינו מאפשר חזרה למחרוזת המקורית, להאקרים יש רשימות ענק של סיסמאות. הם יכולים להמיר אותם ל- hash, להוסיף את המלח ולהשוות את התוצאות למה שמסד הנתונים הגנוב מספק. כל התאמה היא סיסמה סדוקה.


כיצד מתרחשות הפרות נתונים?

ניצול הוא סוג של התקפה המנצלת באגים או פגיעויות תוכנה, בהם פושעי רשת משתמשים כדי לקבל גישה בלתי מורשית למערכת ולנתוניה. נקודות תורפה אלה חבויות בתוך הקוד של המערכת והיא מהווה מירוץ בין הפושעים לחוקרי אבטחת הסייבר כדי לראות מי יכול למצוא אותם תחילה. הפושעים, מצד אחד, רוצים להתעלל במעללים בעוד שהחוקרים, לעומת זאת, רוצים לדווח ליצרני התוכנה על הניצולים כדי שאפשר יהיה לתקן את הבאגים. תוכנות המנוצלות בדרך כלל כוללות את מערכת ההפעלה עצמה, דפדפני אינטרנט, יישומי Adobe ויישומי Microsoft Office. קבוצות פושעי רשת לפעמים אורזות מעללים מרובים לערכות ניצול אוטומטיות שמקלות על עבריינים ללא ידע טכני מועט, ללא ניצול של ניצול.

הזרקת SQL (SQLI) הוא סוג של התקפה המנצלת חולשות בתוכנת ניהול מסדי הנתונים של SQL של ​​אתרים לא מאובטחים על מנת לגרום לאתר לירוק מידע ממאגר הנתונים שהוא באמת לא אמור לעשות. הנה & rsquos איך זה עובד. פושע רשת מזין קוד זדוני לשדה החיפוש של אתר קמעונאי, למשל, כאשר לקוחות בדרך כלל נכנסים לחיפושים אחר דברים כמו אוזניות אלחוטיות עם דירוג ldquotop & נעלי rdquo או & ldquobest. & Rdquo במקום לחזור עם רשימת אוזניות או נעלי ספורט, האתר תן להאקר רשימה של לקוחות ומספרי כרטיס האשראי שלהם. SQLI היא אחת ההתקפות הפחות מתוחכמות לביצוע, הדורשת ידע טכני מינימלי. Malwarebytes Labs דירג את SQLI כמקום השלישי ב- 5 איומי הסייבר הכי מטומטמים שעובדים בכל מקרה. התוקפים יכולים אפילו להשתמש בתוכניות אוטומטיות לביצוע ההתקפה עבורם. כל מה שהם צריכים לעשות הוא להזין את כתובת האתר של אתר היעד ואז לשבת ולהירגע בזמן שהתוכנה עושה את השאר.

תוכנת ריגול הוא סוג של תוכנה זדונית שמדביקה את המחשב או הרשת שלך וגונבת מידע אודותיך, השימוש שלך באינטרנט וכל מידע יקר אחר שהוא יכול לשים עליו. ייתכן שתתקין תוכנות ריגול כחלק מהורדות שפירות לכאורה (aka bundleware). לחלופין, תוכנת ריגול יכולה לפלס את דרכה אל המחשב שלך כזיהום משני באמצעות טרויאני כמו Emotet. כפי שפורסם בבלוג Malwarebytes Labs, Emotet, TrickBot וסוסים טרויאנים בנקאיים אחרים מצאו חיים חדשים ככלי העברת תוכנות ריגול וסוגים אחרים של תוכנות זדוניות. לאחר שהמערכת שלך נגוע, תוכנת הריגול שולחת את כל הנתונים האישיים שלך בחזרה לשרתי הפקודה והבקרה (C & ampC) המנוהלים על ידי פושעי הרשת.

דיוג התקפות פועלות בכך שגרמו לנו לשתף מידע רגיש כמו שמות המשתמש והסיסמאות שלנו, לרוב בניגוד להיגיון והנמקה רגילים, באמצעות הנדסה חברתית כדי לתמרן את הרגשות שלנו, כגון חמדנות ופחד. התקפת התחזות טיפוסית תתחיל בדוא"ל המזוהם או מזויף, שייראה כך ומזכירות המגיעות מחברה שאיתה אתה עושה עסקים או עמית מהימן. דוא"ל זה יכיל שפה תוקפנית או תובענית ודורש פעולה כלשהי, כגון אימות תשלומים או רכישות שמעולם לא ביצעת. לחיצה על הקישור המצורף תוביל אותך לדף התחברות זדוני שנועד ללכוד את שם המשתמש והסיסמה שלך. אם אין לך אימות מרובה גורמים (MFA) מופעל, לפושעי הרשת יהיה כל מה שהם צריכים כדי לפרוץ לחשבון שלך. בעוד מיילים הם הצורה הנפוצה ביותר של התקפת פישינג, הודעות טקסט SMS ומערכות הודעות מדיה חברתית פופולריות גם בקרב רמאים.

פקדי גישה שבורים או לא הוגדרו כהלכה יכול להפוך חלקים פרטיים של אתר נתון לציבורי כאשר הם לא אמורים להיות. לדוגמה, מנהל אתר בקמעונאי בגדים מקוון יהפוך תיקיות גב מסוימות לאתר פרטיות, כלומר התיקיות המכילות נתונים רגישים על לקוחות ופרטי התשלום שלהם. עם זאת, מנהל האינטרנט עשוי לשכוח להפוך את תיקיות המשנה הקשורות לפרטיות גם כן. תיקיות המשנה האלה אמנם אינן ברורות למשתמש הממוצע, אך פושע רשת שמשתמש בכמה חיפושים מעוצבים היטב בגוגל יכול למצוא את התיקיות שהוגדרו לא נכון ולגנוב את הנתונים הכלולים בהן. בדומה לפורץ המטפס היישר לתוך בית מבעד לחלון פתוח, אין צורך במיומנות רבה כדי לפגוע במתקפת סייבר מסוג זה.


לקחים שנלמדו מהפרת הנתונים בפייסבוק

כמו כ -90 מיליון אנשים אחרים, התעוררתי להודעה מפייסבוק כי אירעה תקרית אבטחה ומספרת. הייתה הפרה גדולה של נתוני פייסבוק. הייתי צריך להיכנס מחדש לפייסבוק ולעשרות אתרים אחרים.

זה היה לפני כוס הקפה הראשונה שלי, אף פעם לא זמן טוב לחדשות רעות.

כן, אני מסתכל על פייסבוק וטוויטר בזמן שאני מכין את כוס הקפה הראשונה שלי. אל תשפוט אותי.

זה עורר במוחי כמה שאלות - וללא ספק, 89,999,999 אחרות. כולנו שאלנו:

  • מה קרה?
  • איך זה קרה?
  • למה זה קרה?
  • מה אנחנו יכולים לעשות לגבי זה?

אז מה קרה?

פייסבוק, והרבה חברות אינטרנט גדולות אחרות כמו Google ו- Github, מספקות שירות שנקרא באופן כללי כניסה יחידה (SSO). כניסה יחידה פירושה שפשוט פייסבוק מספקת שירות לצדדים שלישיים המאפשרת לאותם צד שלישי, כמו יישומים ניידים ואתרים אחרים, למנף את תהליך הכניסה של פייסבוק ולא לספק את שלהם.

זיהוי משתמשים אמין - מה שמכונה "בעיית האימות" - קשה לאף אחד, ובמיוחד לחברות קטנות.

אימות SSO תלוי בכך שהספק - במקרה זה פייסבוק - ייצר נתון שקשה לזייף. נתח הנתונים הזה נקרא אסימון. לאחר מכן האסימון הופך לאישור שלך לגישה לצדדים שלישיים אחרים אלה עם הסיסמה שלך בפייסבוק.

ל- SSO יש הרבה יתרונות. עבור אתרים ויישומים זה אומר שאתה לא צריך להיות בעל יישום אימות משלך, והמשתמשים שלך לא צריכים לזכור סיסמה אחרת. (לסיסמאות יש בעיות אבטחה איומות בכל מקרה, למרות שזה נושא למאמר אחר.)

SSO נוח יותר גם למשתמשים, מכיוון שבמקום שיהיה צורך לקבל סיסמא משלהם, המצא ונהל סיסמאות שונות עבור כל אתר, ולאחר מכן סמוך על כך שהאתרים הבודדים לא ייפרצו.

זה יתרון גם לפייסבוק, כמובן. אם צדדים שלישיים אלה משתמשים ב- SSO של פייסבוק לצורך אימות, הוא מעודד משתמשים באפליקציות אלה לקבל חשבונות פייסבוק ומספק תמריץ גדול לשמור על חשבונות אלה.

במילים אחרות, זה לטובת כולם אם פייסבוק יכולה להוות מקור אימות מהימן עבור SSO.

כל עוד אפשר לסמוך על פייסבוק.

כיצד התרחשה הפרת נתונים זו?

התשובה הקצרה היא שלפייסבוק הייתה תכונה עם חור אבטחה שאף אחד לא ציפה ולכן מעולם לא בדק.

התשובה הארוכה יותר היא שאנחנו עדיין לא יודעים הכל. מה שאנו יודעים הוא שזה עבד כך: לפייסבוק יש תכונה בשם "הצג כ-" המאפשרת לך להתחזות באופן זמני למישהו אחר כדי לראות כיצד הגדרות הפרטיות שלך משנות את מה שהוא יכול לראות מהחשבון שלך. (תארו לעצמכם, למשל, אם אתם חוששים שרופא הסוכרת שלכם יראה את אוסף המתכונים שלכם של גלידות ועוגות גבינה.)

הפגם היה שכאשר השתמשת ב"צפה כ- ", פייסבוק לקחה את זה קצת גַם פשוטו כמשמעו, חשיפת "אסימון האימות" של האדם שאתה מתחזה אליו. תוקף מתוחכם יכול לקבל את אסימון האימות הזה, שיאפשר לו להתחזות לאותו אדם באתרים אחרים ועם יישומים אחרים.

עניין של אמון

זה נהיה מיושן להשתמש במונח זה בתחום אבטחת הסייבר, אך נושאי האבטחה מסתכמים בנושאי אמון. כלומר, הנכונות שלך להאציל אחריות על משהו שאכפת לך ממנו למישהו אחר.

יישומי צד שלישי מאצילים את אחריותם לוודא שיש להם את המשתמש הנכון לפייסבוק. משתמשי פייסבוק סומכים על פייסבוק שתנהל את המידע המזהה שלהם בצורה נכונה. ולפייסבוק יש כל סיבה שלא להוכיח כי אמון זה אינו מוצדק.

הפעם, פייסבוק פוצצה את זה.

למה זה קרה?

שוב, יש תשובה קצרה: אבטחה הוא קָשֶׁה. הפרת נתונים זו הייתה תוצאה של מספר טעויות קוד שהתרכבו. קשה לזהות או לתפוס סוג כזה של בעיות. גישות לפתרון הבעיה היו ידועות כבר עשרות שנים אך הן עולות כסף והופכות את המערכות לקשות יותר לשימוש. אם אתה חושב על זה, כל אבטחה פירושה למנוע מהמשתמשים לעשות דברים שהם רוצים לעשות. האבטחה תמיד גורמת למערכת להרגיש פחות שימושית.

צילום: rawpixel ב- Unsplash

מה אנו יכולים לעשות כדי למנוע הפרת נתונים נוספת?

פתרון אחד המוצע הוא שימוש באימות רב-גורמי. הבנק שלי משתמש בזה וכדי להבטיח שאתה אתה, הם שולחים קוד בהודעת טקסט. שון גרבר, מנהל אבטחת המידע הראשי של תאגיד רב לאומי גדול, מציין כי גם הודעות הטקסט הללו אינן מאובטחות במיוחד.

הם מוכרים זה הפתרון המאובטח שלך ’ - אבל זה פשוט יותר לבטח. הם עדיין סומכים עליך שתעשה את שלך, ואתה סומך על הבנק שלך שיעשה את חלקם. אם חשבונך נפגע, הוא עדיין נפגע.

העובדה היא שבאמת לא ניתן להוסיף אבטחה לפרויקט. אבטחה, בדומה לדרישות אחרות ובלתי פונקציונאליות כגון ביצועים ושימושיות, איננה מגיעה מרכיב או מאפיין אחד. יש לשקול זאת מההתחלה. לצוותי פיתוח עם ניסיון במערכות מאובטחות - צוותים כמו הצוות שלנו בקבוצת פלינט הילס, אמר בצניעות - יש את הניסיון וההכשרה כדי לשלב אותם בפרויקטים מההתחלה.

האבטחה קשה אך אי אפשר להתעלם ממנה.

חלק מהפתרון הוא לעודד מחקר ופיתוח נוסף בתחום האבטחה. מחקר אבטחת הסייבר במקור מומן ברובו על ידי משרד ההגנה. עדיין יש מקום למימון ממשלתי, אבל אבטחת הסייבר היא כבר לא רק נושא של הגנה על מידע מסווג. חברות צריכות להשקיע גם במחקר אבטחה.

הבעיה היא שלחברות כמו פייסבוק אין תמריץ חזק במיוחד לרדוף אחריות טובה יותר. הו, פייסבוק נבוכה מכך, והתגובה עלתה ללא ספק למיליונים - אבל לפייסבוק יש הרבה מיליונים להוציא, וכל מי שנפגע בעצם מפגיעה בנתונים יכול להתקשות מאוד לשחזר נזקים אמיתיים. רוב תנאי השימוש - אתה יודע, אותם מסמכים משפטיים של 14 עמודים שעליהם עליך להסכים על מנת לגשת לתמונות החתול שלך - מתנערים מכל אחריות

אולם ככל שהדברים האלה קורים יותר, כך יהיה לחץ גדול יותר על הממשלה לפעול. אף חברה לא רוצה את זה, אבל אם חברות לא ימצאו פתרון טוב יותר, הממשלה תצטרך לפעול.


חדשות רעות: התשלום שלך בגין הפרת נתוני Equifax בסך $ 125 הוא די בלתי סביר

תקבל פחות מ -25 סנט אם כל אדם יתבע את חלקו.

אתה יכול לקבל פחות מזומנים בהסדר ממה שאתה חושב.

אם נפגעת מהפרת הנתונים של Equifax לשנת 2017, יש לך אפשרות לבחור - לקבל תשלום של 125 $ או 10 שנים של ניטור אשראי בחינם. הבעיה היא שפיצוי של $ 125 שלך על האבל שעברת כדי להתאושש מהפריצה עשוי שלא להסתכם בסכום של 125 $. ה- FTC הזהיר כי אם כל הזכאים יבקשו את הכסף על הניטור, ההטבה שלך תהיה "לא קרובה ל -125 דולר".

הנה הבעיה. אקוויפקס הסכימה לשלם עד 700 מיליון דולר כדי לפצות את 147 מיליון קורבנות הפרת הנתונים, אך מאגר הכספים שהופרשו לתשלום של 125 דולר עומד על 31 מיליון דולר בלבד, על פי ה- FTC. זה מסתכם בכ -20 סנט לאדם.

בכל זאת יש לך אפשרות אחרת. אתה יכול גם לבחור 10 שנות ניטור אשראי חינם. וזו הבחירה ש- FTC לוחץ עליה.

"בכנות, ניטור האשראי החינמי שווה הרבה יותר - שווי השוק יעמוד על מאות דולרים בשנה", אמר ה- FTC באתר האינטרנט שלו. "ושירות הניטור הזה כנראה חזק ועוזר יותר מכל מה שכבר היה לך."

כחלק מההסדר שהושג בין FTC לבין חברת דוחות האשראי החינמיים, תוכל גם להגיש תביעות שיוחזרו לך בגין זמן התאוששות ממרמה וגניבת זהות, על כסף שהוצא כדי להגן על עצמך מפני ההפרה ועל עלות האשראי של Equifax. מעקב אחר מנויים. אתה יכול לדרוש פיצוי של עד 20,000 $, תוך מתן מסמכים וקבלות לתמיכה בתביעה שלך.

יש לנו מדריך כיצד לבחור בין האפשרויות, אם אתה חושב כיצד היא הבחירה הטובה ביותר עבורך. ואם כבר הגשת את תביעתך, ה- FTC אמר שאתה יכול לשנות את דעתך. חפש הודעת דוא"ל ממנהל ההתנחלות עם הוראות. הרמאים כבר מקימים אתרים כדי להערים על קורבנות, אבל קל להימנע מהם כל עוד אתה יודע מה אתה מחפש.


תחת מתקפה: שנת 2018 בהפרה

אם היינו רושמים חלוף זמן של הפרות נתונים ברחבי העולם בשנת 2018, זה היה מגלה עליות עקביות בשלוש קטגוריות מפתח:

העלות הכוללת הממוצעת של הפרה עלתה ב -6.4% מ -3.6 מיליון דולר ל -3.86 מיליון דולר

הגודל הממוצע של הפרת נתונים עלה ב -2.2%

העלות הממוצעת הכוללת של אובדן שיא עקב הפרה עלתה ב -4.8% מ -1.41 דולר לשיא ל -1.48 דולר.

על פי עלות הפרת הנתונים לשנת 2018 על ידי מכון פונמון, מלבד עלייה של 6.4% בשנה לעומת המחיר הכולל הממוצע של הפרה אחת (כיום 3.86 מיליארד דולר), מספר השיאים שאבדו או נגנבו טיפס ב 2.2% השנה בלבד.

כדי להחמיר את המצב, התוצאה בעלות הדולר של כל שיא שנפגע (שנחשף לתוקף לא מורשה) ממשיכה להרקיע שחקים. העלות הממוצעת העולמית לנפש הלכה מ -141 דולר ל -148 דולר, כאשר ארצות הברית, קנדה וגרמניה מובילות עם 233, 202 דולר ו -188 דולר בהתאמה.

עם זאת, נושא נפוץ שעולה הוא חשיבות המהירות באיתור והקלה, שיכולה להוריד משמעותית את נטל ההפרה. למרות שהזמן הממוצע לזיהוי (MTTI) והכיל (MTTC) עלה לשיאים של 197 ו -69 ימים בהתאמה, ארגונים שהצליחו להכיל הפרה תוך פחות מ -30 יום חסכו למעלה ממיליון דולר בהשוואה לאלה שלקח להם יותר זמן. כדי לשים את זה בפרספקטיבה, החיסכון הממוצע בעלויות שנוצר מעבודה עם צוות תגובת תקריות (IR) היה גבוה עד $ 14 לכל שיא שנפגע. במילים אחרות כדאי להיות מוכן.

בינתיים, תקנות הפרטיות, כגון תקנת הגנת הנתונים הכללית של האיחוד האירופי (GDPR) ופגיעה בנתונים הניתנים לאוסטרליה (NDB) מאירות קרן בהירה על סוג ההפרה הנפוץ ביותר: גניבת זהות. מדד רמת הפרה של Gemalto מדווח כי גניבת זהות ייצגה 65% מההפרות שהתרחשו במחצית הראשונה של 2018, כגון Exactis ו- Firebase. כפי שראינו בעבר, ברגע שפושעי הרשת ישימו את ידיהם על מידע אישי, הם ירוויחו ממנו על ידי מכירת עקבות זהות ישירות באינטרנט האפל או ארגון תוכניות הונאת תשלומים.

עקוב אחריו כאשר צוות סוכן הזיהוי בוחן את הנוף העולמי של הפרות נתונים ברחבי ארצות הברית, ומספק לך תובנות ניתנות לפעולה להגנה על עצמך, הלקוחות והעובדים.

ארצות הברית

עלות העסקים האבודים של ארגונים אמריקאים היא כמעט פי שניים מהמדינה הבאה.

הצצה לכותרות האחרונות יכולה לאפיין את רוב הפרות הנתונים בארה"ב בשנת 2018: חדשות חדשות ויקרות. בעלות של 7.91 מיליון דולר, העלות הכוללת הממוצעת בארצות הברית היא הגבוהה ביותר ברחבי העולם. למרות שניתן לייחס זאת במידה רבה להוצאה הארגונית לתגובות שלאחר הפרה, עלויות התראות וצמצום לקוחות, היא גם מדגישה תופעה תרבותית.

החקיקה האמריקאית הנוכחית הנוגעת לחוקי ההודעות יוצרת אפקט דומינו, כאשר למשתמש הקצה יש מודעות רבה יותר להפרות נתונים, ציפיות גבוהות יותר להגנה על זהות על ידי חברות ונאמנות חולפת הנגרמת על ידי זמינות של אפשרויות אחרות. תובנה כזו ממחישה את עלות העסקים האבודים של 4.2 מיליון דולר עבור ארגונים אמריקאים, מספר הגבוה כמעט פי שניים מהסגנית הבאה.

ציר הזמן של הפרות ארה"ב בשנת 2018

17 במרץ 2018 - נחשף כי קיימברידג 'אנליטיקה אחראית על קצירת מידע פרטי מפרופילי פייסבוק.

סוף מרץ 2018 - בסוף מרץ הודיעה אנדר ארמור כי הפרת נתונים השפיעה על כ -150 מיליון משתמשים ביישום MyFitnessPal שלה.

מאי 2018 - טוויטר קוראת ליותר מ -330 מיליון משתמשים לשנות את הסיסמאות שלהם לאחר שדיווחו כי תקלה גרמה לאחסון נתונים בצורה קריאה (לא מוצפנת) במקום להיגרם (מוצפן).

סוף יוני 2018 - בסוף יוני, חוקר אבטחה גילה שמאגר הנתונים של חברת השיווק Exactis מאוחסן בשרת נגיש לציבור כאשר 340 מיליון רשומות נחשפות.

ספטמבר 2018 - פייסבוק הודיעה למשתמשים שעוד הפרת נתונים מסיבית מסכנת את החשבונות של למעלה מ -50 מיליון משתמשים. האקרים ניצלו חולשת אבטחה הקיימת בקוד הרשת החברתית מאז יולי 2017 כדי לגנוב אישורי כניסה אוטומטיים.

נובמבר 2018 - מריוט חשפה ב -30 בנובמבר את הפריצה הזו, של עד 500 מיליון רשומות, התפשרה ללא הרף על נתוני אורחים השוהים בנכסי מריוט סטארווד מאז 2014, כולל שמות, כתובות, מספרי טלפון, מספרי דרכון ועד מספרי כרטיס תשלום ותאריכי תפוגה. .

שאר הדוח מפרט על קנדה, אירופה, אוסטרליה וניו זילנד וכדאי לקרוא. קרא את הדו"ח המלא כאן.

כאשר נשקף על הפרות נתונים בשנת 2018, יהיה חשוב לתת דין וחשבון על הטוב עם הרע.

למרות שתקיפות הסייבר גדלות בעלות, גודל והשפעה, יש תחושה משופרת של מודעות ועירנות עולמית שישמשו בסיס לאבטחת סייבר טובה יותר.

כאשר תקנות הפרטיות מתעצבות במדינות המושפעות ביותר, אנו יכולים לחזות שזיהוי, הסלמה והפחתה יהיו מוקד של ארגונים רבים בהמשך.

כפי שכולנו שמענו בעבר, זו כבר לא שאלה של "אם", אלא "מתי" חברה תיפרץ.

כדי להגן על עצמנו, העובדים והלקוחות שלנו בעתיד, יהפוך להיות בעל חשיבות עליונה להשקיע בפתרונות שיכולים לאתר איומים באופן יזום, להכיל פשרות במהירות ולהעצים גורמים שנפגעים כדי שיוכלו לפעול.

במה מדובר?

אתה מגן על העסק שלך, על עצמך ועל אורח חייך. זה הכל!

אורח החיים שלך הוא מה שפרצת נתונים יכולה להרוס אם אינך ערני ומגן על עצמך באופן פעיל.

איך אתה מגן על עצמך?

הגן על עצמך באופן יזום באמצעות ארבע אסטרטגיות. הם:

3. מומחיות טכנית

יש אנשים שאנו מדברים איתם, כולל חברים אישיים שלי שמחזיקים בעסק משלהם, מאמינים כי נתב וכמה גיבויים הם כל מה שהם צריכים כדי להבטיח את העסק שלהם כנגד אסון טבע, או אסון אלקטרוני (קרא הפרת נתונים). שום דבר לא יכול להיות רחוק יותר מהאמת.

הם סבורים שהעסק שלהם קטן מכדי שהאקרים לא יתעניינו בפגיעה במחשבים שלהם בעסק שלהם. הם לא יכלו לטעות יותר. זכור, להאקרים לא אכפת רק מהעסק שלך. אכפת להם מכל מה שהם יכולים לחלץ מכל הלקוחות שלך גם כן.

היום, באוקטובר 2019, עליך להשתמש במספר אסטרטגיות כדי להגן על העסק שלך. אם לא תעשה זאת, סביר להניח שתגיע לצד הלא נכון של הסטטיסטיקה. כלומר, העסק שלך יוכר כאחד העסקים הקטנים שנאלצים לסגור את דלתותיו לאחר הפרת נתונים.

DTS InfoTech יכול לעזור

אנו טובים במניעת הפרות נתונים ובהכשרת העובדים שלכם להיות ערניים. ברצינות, אנחנו כן.

אנו יודעים עד כמה טכנולוגיה יכולה להיות מאיימת, אנו מתפרנסים בעזרת אנשים בדיוק כמוכם שיש להם שאלות לגבי כל הטכנולוגיה של הדבר, וזה כולל מניעת הפרת נתונים.

לרוב העסקים הקטנים אין משאבים טכניים או זמן להבין את כל הדברים החנונים האלה. אם זה מתאר אותך, נוכל לעזור.

אם אתה רוצה מידע נוסף על מניעת הפרת נתונים, התקשר אלינו, אנו תמיד שמחים לשוחח בצ'אט והשיחה היא בחינם!


הגן על הנתונים שלך

כפי שדנו, ShareThys כבר השבית את המשתמשים המושפעים. משתמשים אלה כוללים את אלה שנרשמו לפני ינואר 2017.

אבל, גם אם לא נכנסת ל- ShareThis לזמן מה, אל תהיה שאנן. למה?

ייתכן שאתה משתמש באותו דוא"ל או סיסמאות בחשבונות האחרים שלך. אז האקרים עדיין יכולים להשתמש בזה כדי לקבל גישה.

מה גרוע יותר? אם השתמשת בפרטים אלה בחשבון הבנק שלך, הם יכולים להיכנס!

לכן, אנו ממליצים לך לשנות סיסמאות. חוץ מזה, שנה אותו בהקדם האפשרי. אל תחכה עד שהפרות יתרחשו.

להלן כמה הרגלי סיסמה טובים.

  1. יש לשנות את הסיסמה באופן קבוע. כמו כן, הדבר חשוב בכל פעם שמתרחשות הפרות.
  2. אין לעשות שימוש חוזר בסיסמאות. לכן, עליך להשתמש בסיסמאות שונות עבור כל אתר.
  3. צור סיסמאות חזקות וייחודיות. סיסמה חזקה כוללת את האותיות הגדולות ואת האותיות הקטנות. כמו כן, תווים מיוחדים כמו סמלים יכולים להוסיף מורכבות. זה צריך להיות גם מספרים.

מה אתה יכול לעשות

מאז שהכריזה החברה על הפלישה, היא הקימה אתר אינטרנט ייעודי אליו תוכל לבדוק אם המידע שלך נפגע. אתה יכול להיכנס לדף הרשמה של האתר, להזין את שם המשפחה ושש הספרות האחרונות של מספר הביטוח הלאומי שלך. לאחר מכן, Equifax יגיד לך האם ייתכן שהמידע האישי שלך נפגע או לא.

על ידי הרשמה, משתמשים עשויים לוותר על זכותם לקחת חלק בתביעה ייצוגית נגד Equifax במועד מאוחר יותר.

לאחר מכן תהיה לך האפשרות אם אתה רוצה להירשם לשנה חינם של Equifax TrustedID Premier או לא. TrustedID Premier הוא המוצר המגן על גניבת זהות וניטור קבצי האשראי החופשיים ש- Equifax מציעה לאחר שתבדוק אם נפגעת, ללא קשר אם המידע שלך נפגע. Equifax אומר שתהליך ההרשמה עשוי להימשך מספר ימים, כך שתקבל תאריך הרשמה ייחודי. זכור שתקופת ההרשמה מסתיימת ב- 21 בנובמבר 2017.

בנוגע לוויתור אפשרי על הזכות לקחת חלק בתובענה ייצוגית, אמרה אקוויפקס, בתגובה לשאלת התובע הכללי של מדינת ניו יורק אריק שניידרמן, כי סעיף הבוררות המדובר אינו חל על אירוע הפריצה:

לאחר שיחות במשרד שלי, @Equifax הבהירה את המדיניות שלה בנושא בוררות. אנו ממשיכים לסקור מקרוב. pic.twitter.com/WcPZ9OqMcL

& mdash אריק שניידרמן (@AGSchneiderman) 8 בספטמבר 2017

Equifax ממליצה לקבל עותק חינם של דוח האשראי שלך משלוש הלשכות הגדולות ו- mdash Equifax, Experian ו- TransUnion. בנוסף, Equifax אומר שאם אתה סבור שמידע שלך נגנב, עליך לפנות לרשות אכיפת חוק.

אם המידע שלך נפגע, תוכל גם לשקול להקפיא את דוחות האשראי שלך. כפי שמדווח MarketWatch, צור קשר עם Equifax, Experian ו- TransUnion כדי לבקש הקפאה של הדוחות שלך וימנע מאף אחד לפתוח חשבון חדש. זה כרוך בתשלום קטן, אבל זה יכול להיות שווה את זה כדי להימנע מבעיות בעתיד הקרוב או הארוך.

זמן לא רב לאחר שהודיעה אקוויפקס על ההפרה, הוגשה תביעה ייצוגית נגד החברה. בתלונה, שהוגשה בפורטלנד, אורגון, משתמשים אומרים כי Equifax התרשלה בהגנה על נתוני הצרכנים ובחרה במקום זאת לחסוך כסף במקום ליישם אמצעי הגנה. Equifax לא הגיבה לתביעה.

פוסט זה תוקן תחילה על מנת לשקף שמשתמשים עשויים לוותר על חלק מהזכויות החוקיות שלהם על ידי הרשמה לשירות ניטור Equifax & rsquos TrustedID Premier ולאחר מכן כדי לציין כי Equifax הצהיר כי ויתור זה לא יחול על אירוע הפריצה.


כיצד לעקוב אחר האשראי שלך לאחר הפרת נתונים

קיבלת את הדוא"ל או המכתב המפחיד הזה משירות שאתה משתמש בו: אירעה הפרת נתונים וייתכן שהמידע שלך נפגע.

זה כנראה קרה לך בעבר, כי הפרות נתונים מתרחשות לעתים קרובות. הודעות אלה נוטות לפחות להורות ללקוחות לשנות את הסיסמאות שלהם, אך בהתאם לרמת ההפרה ורגישות המידע הנשמר על ידי השירות, ייתכן שיידרשו ללקוחות לעקוב אחר חשבונות הבנק שלהם או שהם עשויים לקבל הגנה חינם על גניבת זהות.

זה יכול להיראות סוחף ולא נוח, אבל תוכנית הפעולה בתרחיש כזה היא די פשוטה.

נהל סיסמאות
ראשית, ודא שהפרת הנתונים היא אמיתית. אין לבקש ממך לאמת מידע אישי באמצעות דוא"ל, כך שאם זה מה שההודעה מבקשת, אל תגיב. בדוק באתר האינטרנט של השירות לקבלת חדשות על הפרה או פנה לתמיכת לקוחות לקבלת פרטים.

שינוי סיסמאות אמור להיות פעולה מוקדמת נוספת, אך אל תתעלם משלב חשוב זה: שנה את סיסמת הדוא"ל שלך. אם מישהו התפשר על חשבון שקשור לדוא"ל שלך, הדוא"ל שלך עשוי להיות יעד פוטנציאלי להאקרים. אינך רוצה לשלוח התראות על סיסמה חדשה לכתובת דוא"ל לא מאובטחת, כך שהסיסמה היא הראשונה שצריך לשנות.

גם אם לא קיבלת הודעה משירות שחווה הפרת נתונים, עליך לשנות את הסיסמה כאמצעי זהירות. כשחברה נפרצת, זה בדרך כלל בחדשות, אז אם אתה שומע על משהו שיכול להשפיע עליך, תהיה פרואקטיבי.

אמנם אינך צריך להשתמש בסיסמה למספר חשבונות, אך אנשים בדרך כלל עושים זאת. הקפד לעדכן כל חשבון שעשוי להשתמש באותה סיסמה כמו זו שנפגעת.

עקוב אחר הכסף שלך

על הצרכנים לבדוק באופן קבוע את חשבונות הבנק, דיווחי האשראי וציוני האשראי שלהם כדרך להישאר במסלול עם מטרות פיננסיות ולחפש פעילות לא סדירה, מה שעלול להצביע על הונאה.

עבור קורבנות של הפרת נתונים, הדבר חשוב במיוחד. למישהו יש את המידע שלך, ולא תמיד ברור מה הגנבים מסוגלים לעשות איתו. חפש עסקאות בכרטיסי אשראי שלא ביצעת או התכתבות של חברה לא מוכרת - אלה יכולים להיות סימנים לגניבת זהות.

הצרכנים זכאים לדוחות אשראי שנתיים בחינם משלוש סוכנויות דיווח האשראי הגדולות: Experian, Equifax ו- TransUnion. דיווחים אלה צריכים לשקף מידע אישי מדויק, אך אם משהו אינו כשורה, יש לערער עליו באופן מיידי. צפייה בציוני אשראי לשינויים פתאומיים תעזור גם לחשוף פעילות הונאה, והצרכנים יכולים לעשות זאת על ידי הרשמה לכרטיס דו"ח האשראי החודשי החינמי של Credit.com.

בנקים רבים גם מאפשרים ללקוחות להקים התראות על עסקאות בסכום מסוים של דולר, מה שיכול לעזור להם לזהות עסקאות שלא ביצעו.

ראה מה הם מציעים

במקרים מסוימים, החברה שהחזיקה במידע שלך תציע שירותים בתגובה להפרת נתונים, כמו הנחות על המוצרים שלהן. חברות שנפגעות לעתים קרובות דואגות ללקוחותיהן לקבל מעקב אחר אשראי לאורך שנים או חברות להגנה מפני גניבת זהות.

While you can monitor your credit on your own, using techniques described above, these services provide tools such as alerts, identity theft insurance, a support team, credit reports and credit scores for free or at a discount. The free, extra protection could be helpful if your information was compromised.

But the risk isn’t gone after a year, because once your information is stolen, there’s no knowing where it may be. This is why regular credit monitoring is important, though consumers can also pay for protection after a complimentary membership has expired.

Regardless of the method, individuals should always watch their personal information closely and know that risks after a data breach do not go away with time.


MGM Resorts Breach

MGM Resorts suffered a breach in the summer of 2019. The company did not publicly disclose the breach until 2020 when hackers started selling the data on a cybercrime marketplace. The company did not reveal the severity of the breach, but 10.6 million users’ information was put up for sale in February. By July of 2020, the number of affected users skyrocketed by 14 times to 142 million users.

The data disclosed included full names and addresses, as well as dates of birth and phone numbers. Hackers claimed to have obtained the information by breaching Night Lion Security, a third-party that offers increased cyber-security to businesses. Vinny Troia, the company’s founder, claims the hackers are just trying to ruin his company’s reputation.

The head of research for cyber intelligence firm KELA speculates that the breach could be even bigger. According to posts on Russian-speaking hacking forums, up to 200 million users may have had their data stolen.


CNET's best tech products of 2019

October

A show-stopping 4 billion social media profile records were exposed to the public on an unsecure Elasticsearch server, for a mind-blowing total of 1.2 billion unique people exposed originating from two data enrichment companies. That's one of the largest single-source exposures we've ever seen. Adobe left 7.5 million Creative Cloud customer records on an unsecure database. Meanwhile in the Motherland, over 20 million Russian citizen tax records were left sitting on an open database for anyone to see, showcasing information collected from 2009 to 2016.

November

In November's laundry list of leaks, hacks, breaches and exposures, a couple of tech employee incidents stand out. Facebook was back in the headlines after about 100 app developers were given inappropriate access to profile data. A previous breach came to light this month, detailing the account of a rogue employee at cybersecurity firm Trend Micro, who stole the personal data of about 70,000 of the firm's customers and later used it to scam customers.

December

Some 100 women who were the victims of an explicit photo leak are expecting a present on Christmas Eve when the offending leaker, a former Dutch politician, will stand for sentencing. Prosecutors have asked the judge to hand down at least three years of hard time after the disgraced Nederlander was found to have hacked the women's personal iCloud accounts with credentials found in earlier public database breaches.


צפו בסרטון: MyFitnessPal Descripción para Español 204 (דֵצֶמבֶּר 2021).