У дома Securitywatch Securitywatch: кара корпорациите, а не клиентите, да страдат от нарушения на данните | макс

Securitywatch: кара корпорациите, а не клиентите, да страдат от нарушения на данните | макс

Съдържание:

Видео: unboxing turtles slime surprise toys learn colors (Ноември 2024)

Видео: unboxing turtles slime surprise toys learn colors (Ноември 2024)
Anonim

На 29 март Earl Enterprises обяви, че посетителите на нейните верижни ресторанти може да са били откраднати информацията за техните кредитни карти. Както обикновено, когато се случва подобно нещо, бях помолен да събера някои съвети за потребителите какво могат да направят, за да се защитят. Това е добре износен предмет от години на подобни истории, но този път се почувства различно. Това отчасти се дължи на уникалния характер на атаката, но също така и поради това, че практиката ни да поставяме отговорността за почистване на месите на потребителите не работи. Време е да поставим тежестта там, където принадлежи, на корпорациите, които позволиха на данните да бъдат компрометирани на първо място.

В нарушението

Ако сте яли в конкретни Buca di Beppo, Chicken Guy !, Earl of Sandwich, Mixology, Planet Hollywood или Tequila Taqueria, може да ви е била открадната информация за кредитната или дебитната карта. Според Earl Enterprises, това може да включва почти всичко необходимо за извършване на измама: номер на картата, срокове на годност и имена на някои картодържатели. Съобщава се, че броят на засегнатите е около 2 милиона.

Интересен факт за това конкретно нарушение е, че само по себе си не е било нарушение. Вместо това хакерите успяха да получат достъп от разстояние до местата за продажба или до POS (да, това е истинският акроним) в различни ресторанти и да инсталират зловреден софтуер, който остъргва данните на клиентите. Тази информация беше събрана на едно място и продадена на уебсайтове на черния пазар.

Какво можете да направите, за да сте в безопасност?

Освен малкото за злонамерен софтуер на POS машините, Earl Enterprises нарушаването / атаката е доста типично. Както и съветите, които бих дал относно това какво могат да направят потребителите (това сте вие), за да останете в безопасност.

Първо, обикновено казвам, използвайте кредитна карта, а не дебитна карта. Сделките с кредитни карти лесно се отменят, а компаниите с кредитни карти са много добри в улавянето на измами, преди да го направите. Важното е, че не носите отговорност за измамни такси за кредитни карти. Използването на дебитна карта е по същество парична транзакция. Можете да получите възстановяване за тях, но понякога отнема повече време и в най-лошите сценарии може да доведе до някои спорове с банката или FDIC.

След като това не е на път, влизам в проблемите с транзакциите с мастрипи. Magstripes са глупаво прости. Можете да свържете USB четец за магстрипи, да пуснете карта и компютърът ще въведе информацията в текстов файл за вас. Чиповата карта (EMV карта) използва различен процес, който е много по-сигурен и по-труден за прихващане.

Това води до естествено обсъждане как тази информация обикновено се краде с малки устройства, наречени скимери или блещукачи. Имам цяла история как да ги забележим, така че можете просто да я прочетете. Същността е, че е добра идея да инспектирате POS машините, преди да ги използвате, във всеки контекст, с който се сблъсквате с тях, но особено на бензинопомпи и открити банкомати. Спестихте едно кликване (но кликнете така или иначе, това ми помага да платя).

След това ще започна цялостно нещо за високотехнологичните решения за плащания. Android Pay, Apple Pay и Samsung Pay използват система за токенизиране, която никога не разкрива действителната ви информация за кредитната карта. Може да изглежда по-малко безопасно да ги използвате, тъй като информацията се предава безжично, но всъщност е много добра.

Тогава понякога ще се спра на малко за това как можете да използвате Abine Blur за създаване на предплатени кредитни карти и фалшиви имейл адреси в движение. Може би ще спомена как паричните и предплатените кредитни карти са най-сигурните и защитени от личния живот начини. Определено няма да подкрепя услугите за защита на кражби на самоличност, защото не съм сигурен, че действително работят и няма да кажа твърде много за мониторинг на кредити, защото не мисля, че трябва да плащате за собствената си финансова информация, която се съставя без вашето съгласие

Никога не подкрепям биткойн, защото сериозно прецаквам тези момчета.

Няма значение колко сте внимателни

Ние пишем подобни истории непрекъснато в PCMag и те са полезни за илюстриране на малките неща, които могат да променят живота на хората. Хората трябва да знаят по-интелигентните начини за плащане и да бъдат съветвани да използват мениджъри на пароли и 2FA, или поне да знаят какви са тези неща, за да могат да правят информиран избор в живота си. Но нарушението на Earl Enterprises наистина ми стигна, защото почти нищо клиентите не биха могли да направят, за да се защитят наистина.

При нападението на Earl Enterprises, лошите имат дистанционен достъп до POS машините. Това означава, колкото и клиент да провери четящите карти, той нямаше да намери скимер, тъй като заплахата беше вътре в машината. Нещо повече, в ресторантите в САЩ клиентите не винаги получават възможност дори да работят с POS терминала. Ние предаваме плащането си на сървъра, който управлява картата и се връща с разписка. Това означава, че клиентите не могат да използват по-новата и по-сигурна система за плащане на мобилни устройства. Също така няма гаранция, че всеки даден търговец поддържа EMV чипове или мобилни плащания или че персоналът ще бъде обучен как да го използва.

Това да не говорим, че беше съобщено, че Earl Enterprises отне 10 месеца, за да отговори на нарушението. Освен това, тъй като тази информация се продаваше на едро, което е стандарт за този вид операции, жертвите могат да изпитат последствия от втори и трети ред за години напред.

От всички съвети, които трябва да дам по тази тема, това оставя само една възможност: използвайте пари в брой или предплатени карти. Това е доста нелепо състояние на нещата през годината на нашия господар 2019, когато мога да използвам телефон, за да си купя дрон и да го доставя до къщата ми, преди да се прибера, докато видео се обаждам на приятел в Тайланд.

Първото масово нарушение на данните, което изглеждаше, че може да промени нещата, беше през 2013 г., когато нещо като 110 милиона купувачи на Target откриха, че има специална информация за личната им информация. Подобно на атаката на Earl Enterprises, клиентите можеха да направят малко, за да се защитят. По това време имаше опасения, че реакцията на потребителите може да потопи компанията.

Това не се случи и не се случи за нито едно от останалите последващи нарушения, които направиха заглавия. Таргет взе удар и изплати малко пари, но тя остана в бизнеса. Също така нямаше пагубни последици за някое от другите последващи нарушения, които предизвикаха заглавия, нито видяхме истинска финансова болка, когато една компания се държи зле и злоупотребява с личната информация на своите клиенти (гледайки ви, Facebook !). Всъщност този вид предателство на клиентите стана толкова често срещано, че няма смисъл PCMag да покрива атаката на Earl Enterprises. Това просто не гарантира вниманието.

Никоя част от самозащитата на потребителите няма да спре този вид измама и очевидно няма да има лоша преса за нарушения на сигурността, която да навреди на корпорацията, достатъчно, за да може адекватно да защити информацията за клиентите. Според мен това оставя една възможност: регулиране.

Защитите на потребителите защитават потребителите

  • Най-добрите мениджъри на пароли за 2019 г. Най-добрите мениджъри на пароли за 2019 г.
  • Целеви хак засегнати до 70 милиона купувачи Целевите хакове засегнати до 70 милиона купувачи
  • Двуфакторно удостоверяване: кой го има и как да го настрои Двуфакторно удостоверяване: кой го има и как да го настрои

Корпорациите трябва да бъдат юридически и финансово отговорни за нарушения на сигурността, които засягат клиентите. Трябва да има глоби, разследвания и последици, постановени от съда. Парите трябва да се харчат за адвокати - много пари . Настоящият модел, при който клиентите трябва да харчат собствените си пари и енергия, за да въвеждат закони, които трябва да спазват, е неразумно. Както е необходимата енергия, за да се предпазим от дребни измами или, още по-лошо, да се опитаме да върнем живота си отново след кражба на идентичност.

Компаниите също трябва да вземат сериозно заплахите и да планират атаки. Трябва да се съхранява най-малкият минимум от клиентски данни, а каквото и да се съхранява, трябва да се съхранява в криптирано състояние или по някакъв друг начин, за да го направи безполезен, откраднат. Създателите на платежни системи също трябва да започнат да приемат сериозно заплахите, което съм сигурен, че биха имали, ако имаше търсене от търговците за по-сигурни устройства.

От доста време подозирам, че чистият обем от лична информация, който беше изложен през последното десетилетие, означава, че всички са били или ще наранят по някакъв начин. Това не може да бъде приемливо. Говорейки за себе си, аз съм на втората си дебитна карта от 2019 г., тъй като първите две бяха компрометирани с броя им. Април е.

Securitywatch: кара корпорациите, а не клиентите, да страдат от нарушения на данните | макс