Huis Securitywatch Securitywatch: maak bedrijven, niet klanten, lijden voor datalekken | max eddy

Securitywatch: maak bedrijven, niet klanten, lijden voor datalekken | max eddy

Inhoudsopgave:

Video: Bernold Nieuwesteeg: 'Bedrijven, maak datalekken gewoon openbaar!' (December 2024)

Video: Bernold Nieuwesteeg: 'Bedrijven, maak datalekken gewoon openbaar!' (December 2024)
Anonim

Op 29 maart kondigde Earl Enterprises aan dat bezoekers van haar ketenrestaurants mogelijk hun creditcardgegevens hebben gestolen. Zoals gewoonlijk wanneer dit soort dingen gebeurt, werd mij gevraagd om wat advies voor consumenten samen te stellen over wat zij konden doen om zichzelf te beschermen. Het is een versleten onderwerp uit jarenlange vergelijkbare verhalen, maar deze keer voelde het anders. Dit komt deels door het unieke karakter van de aanval, maar ook omdat onze praktijk om de verantwoordelijkheid voor het opruimen van de rommel bij de consument op te leggen niet werkt. Het is tijd om de verantwoordelijkheid te leggen waar het hoort, bij de bedrijven die in de eerste plaats toestaan ​​dat de gegevens worden gecompromitteerd.

Naar de overtreding

Als u uit eten bent gegaan bij specifieke Buca di Beppo, Chicken Guy !, Earl of Sandwich, Mixology, Planet Hollywood of Tequila Taqueria, is uw creditcard- of betaalpasinformatie mogelijk gestolen. Volgens Earl Enterprises had dit zo ongeveer alles kunnen omvatten dat nodig is om fraude te plegen: kaartnummer, vervaldata en enkele kaarthoudernamen. Het aantal getroffen mensen is naar verluidt ongeveer 2 miljoen.

Een interessant feit over deze specifieke inbreuk is dat het niet per se een inbreuk was. In plaats daarvan slaagden hackers erin om op afstand toegang te krijgen tot verkooppunten of POS (ja, dat is het echte acroniem) in verschillende restaurants en malware te installeren die klantgegevens schraapte. Die informatie werd samengevoegd en verkocht op websites van de zwarte markt.

Wat kunt u doen om veilig te blijven?

Afgezien van het stukje malware op de POS-machines, is de inbreuk / aanval van Earl Enterprises vrij typisch. Net als het advies dat ik zou geven over wat consumenten (dat ben jij) kunnen doen om veilig te blijven.

Meestal zeg ik meestal: gebruik een creditcard en geen betaalpas. Creditcardtransacties worden gemakkelijk teruggedraaid en creditcardbedrijven zijn erg goed in het vangen van fraude voordat u dat doet. Belangrijk is dat u niet verantwoordelijk bent voor frauduleuze creditcardkosten. Het gebruik van een betaalpas is in wezen een contante transactie. U kunt hiervoor een vergoeding krijgen, maar dit duurt soms langer en in het slechtste geval kunnen er wat problemen met de bank of de FDIC ontstaan.

Zodra dat uit de weg is, ga ik in op de problemen met magstripe-transacties. Magstripes zijn dom simpel. U kunt een USB-magneetstriplezer aansluiten, een kaart uitvoeren en de computer voert de informatie in een tekstbestand voor u in. Een chipkaart (EMV-kaart) gebruikt een ander proces dat veel veiliger en moeilijker te onderscheppen is.

Dat leidt tot een natuurlijke discussie over hoe deze informatie meestal wordt gestolen met kleine apparaten die skimmers of shimmers worden genoemd. Ik heb een heel verhaal over hoe ze te herkennen, dus je kunt het gewoon lezen. De kern is dat het een goed idee is om POS-machines te inspecteren voordat je ze gebruikt, in elke context die je tegenkomt, maar vooral bij benzinepompen en geldautomaten buiten. Je hebt een klik bespaard (maar hoe dan ook, het helpt me om betaald te krijgen).

Daarna zal ik alles beginnen over hightech oplossingen voor betalingen. Android Pay, Apple Pay en Samsung Pay gebruiken een tokenisatiesysteem dat nooit uw werkelijke creditcardinformatie onthult. Het lijkt misschien minder veilig om ze te gebruiken omdat de informatie draadloos wordt verzonden, maar het is eigenlijk heel goed.

Dan zal ik soms een beetje ingaan op hoe je Abine Blur kunt gebruiken om prepaid creditcards en valse e-mailadressen te maken. Misschien zal ik vermelden hoe contant en prepaid creditcards de meest veilige en privacybewuste manieren zijn om zaken te doen. Ik zal absoluut geen bescherming bieden voor identiteitsdiefstal omdat ik niet zeker weet of ze echt werken, en ik zal niet te veel zeggen over kredietbewaking omdat ik denk dat je niet zou moeten betalen voor je eigen financiële informatie die wordt verzameld zonder uw toestemming.

Ik keur Bitcoin nooit goed, want serieus met die jongens.

Het maakt niet uit hoe voorzichtig je bent

We schrijven dit soort verhalen de hele tijd bij PCMag, en ze zijn nuttig om de kleine dingen te illustreren die een verschil kunnen maken in het leven van mensen. Mensen moeten slimmere manieren om te betalen kennen en worden geadviseerd om wachtwoordbeheerders en 2FA te gebruiken, of op zijn minst weten wat deze dingen zijn, zodat ze weloverwogen keuzes kunnen maken in hun leven. Maar de schending van Earl Enterprises heeft me echt geraakt, omdat klanten bijna niets hadden kunnen doen om zichzelf echt te beschermen.

Bij de aanval van Earl Enterprises hadden de slechteriken toegang op afstand tot de POS-machines. Dat betekent dat het niet uitmaakt hoeveel een klant de kaartlezers onderzocht, ze zouden geen veelzeggende skimmer vinden omdat de dreiging in de machine zat. Bovendien krijgen klanten in Amerikaanse restaurants niet altijd de mogelijkheid om de POS-terminal te gebruiken. We overhandigen onze betaling aan de server, die de kaart beheert en met een ontvangstbewijs retourneert. Dat betekent dat klanten het nieuwe en veiligere betalingssysteem voor mobiele apparaten niet kunnen gebruiken. Er is ook geen garantie dat een bepaalde verkoper EMV-chips of mobiele betalingen ondersteunt, of dat personeel zou worden getraind in het gebruik ervan.

Dat wil niet zeggen dat werd gemeld dat Earl Enterprises 10 maanden nodig had om op de inbreuk te reageren. Ook niet omdat deze informatie in bulk werd verkocht, wat standaard is voor dit soort operaties, slachtoffers de gevolgen van de tweede en derde orde nog jaren konden ondervinden.

Van alle adviezen die ik over dit onderwerp moet geven, blijft er maar één optie over: gebruik contant geld of prepaidkaarten. Dat is een behoorlijk belachelijke gang van zaken in het jaar van onze heer 2019, wanneer ik een telefoon kan gebruiken om een ​​drone te kopen en deze thuis te laten bezorgen voordat ik thuis kom, allemaal terwijl ik een vriend bel in Thailand.

De eerste enorme datalek die leek te veranderen, was in 2013, toen ongeveer 110 miljoen Target-shoppers ontdekten dat er een speciale bluelight op hun privé-informatie stond. Net als de aanval van Earl Enterprises was er weinig dat klanten uitvoerbaar hadden kunnen doen om zichzelf te beschermen. Destijds was er bezorgdheid dat de terugslag van de consument het bedrijf zou doen zinken.

Dat gebeurde niet, en het gebeurde niet voor andere opeenvolgende inbreuken die krantenkoppen haalden. Target kreeg een hit en betaalde wat geld, maar het is gebleven. Er waren ook geen verwoestende gevolgen voor de andere daaropvolgende inbreuken die krantenkoppen haalden, noch hebben we echte financiële pijn gezien wanneer een bedrijf zich slecht gedraagt ​​en misbruik maakt van de privéinformatie van zijn klanten (kijkend naar jou, Facebook !). Dit soort verraad van klanten is zelfs zo gewoon geworden dat het geen zin had voor PCMag om de aanval van Earl Enterprises te dekken. Het rechtvaardigde gewoon niet de aandacht.

Geen enkele hoeveelheid zelfverdediging van de consument zal dit soort fraude stoppen, en blijkbaar zal geen enkele hoeveelheid slechte pers over inbreuken op de beveiliging een bedrijf voldoende schade toebrengen om de klantinformatie adequaat te beschermen. Dat laat mijns inziens één optie over: regulering.

Consumentenbescherming Consumenten beschermen

  • De beste wachtwoordbeheerders voor 2019 De beste wachtwoordbeheerders voor 2019
  • Target-hack getroffen tot 70 miljoen shoppers Target-hack getroffen tot maximaal 70 miljoen shoppers
  • Twee-factor authenticatie: wie heeft het en hoe het in te stellen Twee-factor authenticatie: wie heeft het en hoe het in te stellen

Bedrijven moeten wettelijk en financieel aansprakelijk worden gesteld voor inbreuken op de beveiliging die klanten aangaan. Er moeten boetes, onderzoeken en gerechtelijke gevolgen zijn. Geld moet worden uitgegeven aan advocaten - veel geld . Het huidige model waarbij klanten hun eigen geld en energie moeten spenderen om rechtszaken aan te spannen, is onredelijk. Net als de energie die nodig is om onszelf te beschermen tegen kleine fraude, of erger nog, proberen ons leven weer samen te brengen na identiteitsdiefstal.

Bedrijven moeten ook bedreigingen serieus nemen en aanvallen plannen. Het kleinst mogelijke minimum aan klantgegevens moet worden opgeslagen en alles wat wordt opgeslagen, moet versleuteld worden bewaard of op een andere manier worden gebruikt om het onbruikbaar te maken als het wordt gestolen. De makers van betalingssystemen moeten de bedreigingen ook serieus gaan nemen, wat ik zeker weet dat ze zouden doen als er vraag was van verkopers naar veiligere apparaten.

Al een tijdje vermoed ik dat de enorme hoeveelheid privé-informatie die het afgelopen decennium is blootgelegd, betekent dat iedereen op de een of andere manier pijn heeft gedaan of zal krijgen. Dat kan niet acceptabel zijn. Sprekend voor mezelf, ik sta op mijn tweede betaalpas van 2019, omdat de eerste twee hun nummers hadden gecompromitteerd. Het is april.

Securitywatch: maak bedrijven, niet klanten, lijden voor datalekken | max eddy