Жінка тримає смартфон

Більшість учасників недавнього дослідження навіть не підозрювали, що їх електронні адреси та інша особиста інформація були скомпрометовані в середньому за п’ять випадків порушення даних.

Минуло дев'ять років з моменту порушення даних LinkedIn, вісім років з тих пір, як клієнти Adobe стали жертвами кібер-зловмисників, і чотири роки з тих пір, як Equifax зробив заголовки для викриття приватної інформації мільйонів людей.

Дослідники з Інформаційної школи Університету Мічигану показали 413 людям факти з трьох порушення які включали власну особисту інформацію. Дослідники виявили, що люди не знали про 74% порушень.

“Це стосується. Якщо люди не знають, що їх інформація була викрита внаслідок порушення, вони не можуть належним чином захиститися від наслідків порушення, наприклад, підвищеного ризику крадіжки особистості », - говорить кандидат докторських наук Ісінь Цзоу.

Як повідомляється в доповідь конференції, дослідники також виявили, що більшість порушених людей звинувачують у подіях власну поведінку - використовуючи один і той же пароль для кількох облікових записів; збереження одного і того ж електронного листа протягом тривалого часу; і підписка на "схематичні" рахунки - лише 14% приписують проблему зовнішнім факторам.


Innersele підписатися графіка


“Хоча споживачі несуть певну відповідальність за це бути обережним щодо того, з ким вони діляться своєю особистою інформацією, виною порушень майже завжди є недостатня практика безпеки з боку постраждалої компанії, а не жертв порушення ”, - говорить Адам Авів, доцент кафедри комп’ютерних наук в Університеті Джорджа Вашингтона.

Команда Чи я пірнув база даних, використана в цьому дослідженні, містить перелік майже 500 порушень в Інтернеті та 10 мільйонів скомпрометованих акаунтів за останнє десятиліття. За даними Ресурсного центру з викрадення особистих даних, загальна кількість порушень даних, що зачіпають американців, ще більша, повідомляючи про понад 1,108 порушень лише в США у 2020 році.

Попереднє дослідження ставило питання про занепокоєння та реакцію на порушення даних загалом, або воно спиралося на дані, про які повідомляли самі, щоб визначити, як певний інцидент впливає на людей. У цьому дослідженні використовувались загальнодоступні записи в наборі даних «Я був переведений» про те, кого постраждали від порушень. Дослідницька група зібрала 792 відповіді, включаючи 189 унікальних порушень та 66 різних типів даних. Із 431 запитуваних електронних адрес учасників 73% учасників були викриті в одному чи кількох порушеннях, а найбільша кількість - 20.

З усіх порушених відомостей адреси електронної пошти були порушені найбільше, а потім паролі, імена користувачів, IP-адреси та дати народження.

Більшість учасників висловлювали помірне занепокоєння та найбільше хвилювались через витік фізичних адрес, паролів та номерів телефонів. У відповідь на свої скомпрометовані облікові записи вони повідомили про вжиття заходів або намір змінити паролі для 50% порушень.

«Можливо, деякі з порушених служб вважалися« неважливими », оскільки порушений обліковий запис не містив конфіденційної інформації. Однак низьке занепокоєння щодо порушення може також пояснюватися людьми, які не до кінця розглядають або не знають про те, як витоки особистої інформації можуть потенційно бути зловживаними та нашкодити їм », - говорить Пітер Майер, докторант з Технологічного інституту Карлсруе.

Ризики варіюються від заповнення облікових даних - або використання витоку електронної адреси та пароля для отримання доступу до інших облікових записів жертви - до викрадення особистих даних та шахрайства.

Більшість порушень ніколи не робили новин, і часто вони мало або взагалі не повідомляли постраждалих осіб.

"Сьогодні вимоги щодо сповіщення про порушення даних недостатні", - говорить Цоу. «Або люди не отримують сповіщення від порушених компаній, або сповіщення створені настільки погано, що люди можуть отримувати сповіщення по електронній пошті або лист, але нехтувати ними. У попередній роботі, ми проаналізували листи сповіщень про порушення даних, надіслані споживачам, і виявили, що вони часто потребують вдосконалених навичок читання та неясних ризиків ".

Наприкінці дослідження дослідники показали учасникам повний перелік порушень, що їх стосуються, та надали інформацію щодо вжиття захисних заходів від потенційних ризиків від порушення даних.

Як уникнути порушення даних

Коли ваші дані були вкрадені: 

  • Перевірте, чи не були рахунки частиною порушення, використовуючи безкоштовні сервіси, такі як https://haveibeenpwned.com/ or https://monitor.firefox.com/.
  • Уважно читайте повідомлення про порушення.
  • Веб-сайти, такі як FTC https://identitytheft.gov/ може допомогти створити план відновлення після викрадення особистих даних.
  • Не забудьте змінити пароль порушеного облікового запису та будь-якого іншого, для якого використовувався той самий пароль. Робити це один раз має бути достатньо, якщо не буде нового порушення.
  • Підпишіться на послуги моніторингу, які вам пропонують. Хоча вони не ідеальні, вони кращі, ніж ніщо.
  • Якщо ви зазнаєте фактичної шкоди від порушення, ви також можете отримати право на подальшу підтримку.

Щоб запобігти майбутнім порушенням даних: 

  • Використовуйте унікальний пароль для кожного облікового запису в Інтернеті. Ніхто не може запам'ятати десятки таких, тому найкраще використовувати менеджер паролів для зберігання та створення надійних паролів.
  • Використовуйте, коли це можливо, двофакторну автентифікацію, яка вимагає телефонного коду на додаток до імені користувача та пароля для доступу до облікового запису.
  • Заморожте кредитні звіти у трьох основних бюро (Equifax, Experian та TransUnion), щоб ускладнити для злодіїв, які посвідчують особу, нанесення фінансової шкоди. Побачити тут.
  • Подумайте про використання таких послуг, як Увійти за допомогою Apple  зберегти приватну адресу електронної пошти під час створення нових облікових записів (постачальник послуг бачить лише електронну адресу, унікально створену для цього облікового запису).

"Результати цього дослідження ще більше підкреслюють невдачі та недоліки чинних законів про повідомлення про порушення даних і безпеки", - говорить Флоріан Шауб, доцент кафедри інформації в Університеті Мічигану.

"Що ми знову і знову знаходимо у своїй роботі, так це те, що важливе законодавство та нормативні акти, призначені для захисту споживачів, стають неефективними на практиці через погані комунікаційні зусилля з боку постраждалих компаній, які повинні нести більшу відповідальність за захист даних клієнтів".

Дослідники вказують на загальний європейський регламент про захист даних, який законодавчо визначає великі штрафи для компаній, які не захищають споживачів, як засіб вирішення проблеми. Закон змусив компанії по всьому світу переобладнати свої програми та засоби захисту конфіденційності.

джерело: Мічиганський університет

 

про автора

Лорел Томас-Мічиган

Ця стаття спочатку з’явилася на сайті Futurity