Itthon Securitywatch Biztonsági óra: hogy a vállalatokat, és nem az ügyfeleket szenvedjék el az adatok megsértése miatt max örvény

Biztonsági óra: hogy a vállalatokat, és nem az ügyfeleket szenvedjék el az adatok megsértése miatt max örvény

Tartalomjegyzék:

Videó: 5 Common Mistakes When Installing Video Security System (November 2024)

Videó: 5 Common Mistakes When Installing Video Security System (November 2024)
Anonim

Március 29-én az Earl Enterprises bejelentette, hogy üzletláncának látogatóit ellophatták hitelkártya-adataikkal. Mint általában, amikor ilyen jellegű dolog történik, felkérték, hogy készítsen néhány tanácsot a fogyasztók számára arról, hogy mit tehetnek maguk védelme érdekében. Ez egy nagyon viselt tárgy a hasonló történetek évei óta, de ezúttal másként érezte magát. Ez részben annak oka, hogy a támadás egyedülálló, hanem azért is, mert nem működik az a gyakorlatunk, hogy a rendetlenség megtisztításáért a fogyasztókat viseljük. Itt az ideje, hogy a felelősséget ott helyezzük, ahol tartozik, elsősorban azoknak a vállalatoknak, amelyek lehetővé tették az adatok veszélyeztetését.

A jogsértésig

Ha meghatározott Buca di Beppo-ban, a Chicken Guy! -Ben, a Sandwich Earl-ben, a Mixology-ban, a Planet Hollywood-ban vagy a Tequila Taqueria-ban étkezett, akkor ellophatták a hitel- vagy bankkártya-adatait. Az Earl Enterprises szerint ez szinte mindent tartalmazhat a csalás elkövetéséhez: a kártya számát, a lejárat dátumát és néhány kártyatulajdonos nevét. A jelentések szerint az érintett személyek száma körülbelül 2 millió.

Érdekes tény erről a konkrét jogsértésről az, hogy önmagában nem volt jogsértés. Ehelyett a hackereknek sikerült távoli hozzáférést biztosítani a különféle éttermekben található értékesítési pontokhoz vagy POS-okhoz (igen, ez az igazi rövidítés), és telepíteni az ügyfelek adatait lekaparó rosszindulatú programokat. Ezeket az információkat összegyűjtötték és eladták a fekete piac webhelyein.

Mit tehetsz, hogy biztonságban maradj?

A POS gépeken való rosszindulatú programok mellett az Earl Enterprises megsértése / támadása is jellemző. Ahogy azt a tanácsot adom, amit a fogyasztók (azaz te vagyok) megtehetsz a biztonság megőrzése érdekében.

Először is azt mondom, hogy hitelkártyát használjon, és ne betéti kártyát. A hitelkártya-tranzakciók könnyen megfordíthatók, és a hitelkártya-társaságok nagyon jól tudnak csalni a csalások előtt. Fontos szempont, hogy nem vállal felelősséget a csaló hitelkártya-díjakért. A betéti kártya használata alapvetően készpénzes tranzakció. Ezek visszatérítést kaphatnak, de néha hosszabb időt vesz igénybe, és a legrosszabb esetekben a bank vagy az FDIC összezavarodhat.

Ha már nincs útban, belemegyek a magstripe-tranzakciókkal kapcsolatos problémákba. A csíkok hülye egyszerű. Összekapcsolhat egy USB csíkos olvasót, futtathat egy kártyát, és a számítógép beírja az információkat egy szöveges fájlba. A chipkártya (EMV kártya) egy másik, sokkal biztonságosabb és nehezebben elfogható folyamatot használ.

Ez természetes vitához vezet ahhoz, hogy ezt az információt hogyan lopják el általában kis méretű eszközökkel, melyeket skimmernek vagy shimmernek hívnak. Van egy egész történetem arról, hogyan lehet észrevenni őket, így csak elolvashatod. A lényeg az, hogy érdemes megvizsgálni a POS-gépeket, mielőtt felhasználnák őket, minden helyzetben, ahol találkozol velük, de különösen a gázszivattyúk és a kültéri ATM-eknél. Egy kattintást takarított meg Önnek (de a kattintás egyébként is segít, így fizetni tudok).

Ezután egy egész dolgot bevezettem a csúcstechnológiai fizetési megoldásokról. Az Android Pay, az Apple Pay és a Samsung Pay olyan tokenizáló rendszert használnak, amely soha nem tárja fel a valós hitelkártya-adatait. Kevésbé biztonságosnak tűnik ezeket használni, mivel az információt vezeték nélkül továbbítják, de valójában nagyon jó.

Akkor néha megbeszéljük egy kicsit arról, hogyan lehet Abine Blur segítségével előre fizetett hitelkártyákat és hamis e-mail címeket létrehozni menet közben. Talán megemlítem, hogy a készpénz és az előre fizetett hitelkártya a legbiztonságosabb és magánélet-tudatosabb üzletviteli mód. Természetesen nem fogom támogatni a személyazonosság-lopás elleni védelmet, mert nem vagyok biztos benne, hogy azok ténylegesen működnek, és nem mondok túl sokat a hitelfigyelésről, mert nem hiszem, hogy fizetnie kellene a saját összeállított pénzügyi információkért. az Ön hozzájárulása nélkül.

Soha nem támogatom a Bitcoint, mert komolyan csavarom be ezeket a srácokat.

Nem számít, mennyire óvatos vagy

Az ilyen történeteket állandóan írjuk a PCMag-nál, és hasznosak azoknak a kis dolgoknak a bemutatására, amelyek változtathatnak az emberek életében. Az embereknek tudniuk kell a fizetés okosabb módjairól, és tanácsot kell adniuk a jelszókezelők és a 2FA használatához, vagy legalább tudniuk, mi ezek a dolgok, hogy megalapozott döntéseket hozzanak az életükben. De az Earl Enterprises megsértése valóban nekem jutott, mert szinte semmit sem tehetettek az ügyfelek azért, hogy valóban megvédjék magukat.

Az Earl Enterprises támadás során a rossz fiúk távoli hozzáféréssel rendelkeztek a POS gépekhez. Ez azt jelenti, hogy függetlenül attól, hogy egy ügyfél kivizsgálta a kártyaolvasókat, nem akarták megtalálni a visszajelző lámpatestet, mert a fenyegetés a gép belsejében volt. Sőt, az amerikai éttermekben az ügyfelek nem mindig kapják meg a lehetőséget, hogy még a POS terminállal is kapcsolatba lépjenek. A kifizetést a szervernek adjuk át, aki elindítja a kártyát, és visszatér számlával. Ez azt jelenti, hogy az ügyfelek nem használhatják az újabb és biztonságosabb mobil eszköz fizetési rendszert. Nem garantáljuk azt sem, hogy valamely kereskedő támogatja az EMV chipeket vagy mobil fizetéseket, vagy hogy az alkalmazottakat kiképzik a használatához.

Nem is említve, hogy az Earl Enterprisesnek 10 hónapot vett igénybe a válasz megsértése. Mivel ezt az információt ömlesztve is értékesítették, ami az ilyen típusú műveletekre szokásos, az áldozatok az elkövetkezendő években második és harmadik rendű következményekkel járhatnak.

A témával kapcsolatban megfogalmazandó összes tanács közül csak egy lehetőség marad: használjon készpénzt vagy előre fizetett kártyákat. Ez egy nagyon nevetséges helyzet a mi Urunk 2019-es évében, amikor telefon segítségével drónát vásárolhatok, és házhoz szállíthatom, mielőtt hazaértem, mindazonáltal, hogy videohívást folytattam egy barátomnak Thaiföldön.

Az első súlyos adatsértés, amely úgy tűnt, hogy megváltoztathatja a dolgokat, 2013-ban volt, amikor a 110 millió Target-vásárlóhoz hasonlóan felfedezték, hogy kék fényű különlegesség van a személyes adataikban. Mint az Earl Enterprises támadása, kevés volt, amit az ügyfelek megvalósíthatóan megtettek volna maguk védelmére. Abban az időben aggodalom volt, hogy a fogyasztói visszaesés elsüllyedheti a társaságot.

Ez nem történt meg, és nem történt meg a többi későbbi, a címsorra kerülő jogsértés sem. A Target találatot kapott és készpénzt fizetett ki, de az üzletben maradt. Ugyancsak nem voltak pusztító következmények a címsorot okozó többi későbbi jogsértésre, és nem láttuk valódi pénzügyi fájdalmakat sem, amikor egy vállalat rosszul viselkedik és visszaél az ügyfelek személyes adataival (rád nézve, Facebook !). Valójában az ügyfelek ilyenfajta árulása oly gyakran megszokottá vált, hogy nem volt értelme, hogy a PCMag fedezze az Earl Enterprises támadást. Egyszerűen nem indokolta a figyelmet.

Semmilyen fogyasztói önvédelem nem fogja megállítani az ilyen típusú csalást, és nyilvánvalóan a biztonsági megsértések miatt bekövetkező rossz sajtó nem fogja megrongálni a vállalatokat annyira, hogy számukra megfelelővé tegyék az ügyfelek információinak védelmét. Véleményem szerint ez egy lehetőséget hagy: a szabályozást.

A fogyasztóvédelem a fogyasztókat védi

  • A legjobb jelszókezelők 2019-ig A legjobb jelszókezelők 2019-ig
  • Célzott csapkod érinti legfeljebb 70 millió vásárló. Célzott hack érinti legfeljebb 70 millió vásárlót
  • Kétfaktoros hitelesítés: ki rendelkezik és hogyan állíthatja be Kétfaktoros hitelesítés: ki rendelkezik és hogyan kell beállítani

A vállalatokat jogilag és pénzügyileg felelősségre kell vonni az ügyfeleket érintő biztonsági szabálysértésekért. Bírságokra, nyomozásokra és bíróságok által elrendelt következményekre van szükség. Pénzt kell ügyvédeknek költeni - sok pénzt . A jelenlegi modell, amelyben az ügyfeleknek saját pénzüket és energiájukat kell költeniük a törvényi előírások betartásához, ésszerűtlen. Ugyanúgy, ahogyan az energiaszükséglethez szükségünk van, hogy megvédjük magunkat a kicsi csalásoktól, vagy ami még rosszabb, amikor megpróbáljuk újra összeállítani az életünket az identitás lopása után.

A vállalatoknak a veszélyeket is komolyan kell venniük és támadásokra kell tervezniük. Az ügyfelek adatait legkevesebbet kell tárolni, és a tárolt elemeket titkosítással vagy más módon kell tárolni, hogy lopásuk esetén használhassák őket. A fizetési rendszerek készítőinek is komolyan kell venniük a fenyegetéseket, és biztos vagyok benne, hogy ezt tennék, ha a kereskedők igényelnék a biztonságosabb eszközöket.

Már jó ideje azt gyanítom, hogy az elmúlt évtizedben nyilvánvalóan nagy mennyiségű magáninformáció azt jelentette, hogy mindenki megsértette, vagy valamilyen módon fájni fog. Ez nem elfogadható. Amagamért beszélve, én vagyok a második 2019-es betéti kártyámon, mert az első kettő száma veszélybe került. Április van.

Biztonsági óra: hogy a vállalatokat, és nem az ügyfeleket szenvedjék el az adatok megsértése miatt max örvény