Securitywatch: ทำให้ บริษัท ต่างๆไม่ใช่ลูกค้าต้องทนทุกข์กับการรั่วไหลของข้อมูล Max Eddy

เมื่อวันที่ 29 มีนาคม Earl Enterprises ประกาศว่าผู้เยี่ยมชมร้านอาหารในเครืออาจถูกขโมยข้อมูลบัตรเครดิต ตามปกติเมื่อสิ่งนี้เกิดขึ้นฉันถูกขอให้รวบรวมคำแนะนำสำหรับผู้บริโภคเกี่ยวกับสิ่งที่พวกเขาสามารถทำได้เพื่อปกป้องตัวเอง มันเป็นเรื่องที่สวมใส่มานานนับปีจากเรื่องราวที่คล้ายคลึงกัน แต่คราวนี้มันให้ความรู้สึกที่แตกต่าง ส่วนหนึ่งเป็นเพราะลักษณะการโจมตีที่ไม่เหมือนใคร แต่ยังเป็นเพราะการปฏิบัติของเราในการรับผิดชอบต่อการทำความสะอาดผู้บริโภคไม่ได้ทำงาน ถึงเวลาใส่ความรับผิดชอบของตนลงในองค์กรที่อนุญาตให้ข้อมูลถูกโจมตีในครั้งแรก

แก่ผู้ฝ่าฝืน

หากคุณทานอาหารที่ Buca di Beppo, Chicken Guy!, Earl of Sandwich, Mixology, Planet Hollywood หรือ Tequila Taqueria โดยเฉพาะคุณอาจมีข้อมูลบัตรเครดิตหรือบัตรเดบิตของคุณถูกขโมย จากข้อมูลของ Earl Enterprises สิ่งนี้อาจรวมทุกอย่างที่จำเป็นในการหลอกลวง: หมายเลขบัตรวันที่หมดอายุและชื่อผู้ถือบัตรบางส่วน จำนวนผู้ได้รับผลกระทบมีรายงานว่าประมาณ 2 ล้านคน

ข้อเท็จจริงที่น่าสนใจเกี่ยวกับการฝ่าฝืนนี้คือการไม่ละเมิด ต่อ แต่แฮ็กเกอร์สามารถจัดการจุดเข้าถึงการขายหรือ POS (ใช่นั่นคือตัวย่อจริง) จากระยะไกลที่ร้านอาหารต่างๆและติดตั้งมัลแวร์ที่คัดลอกข้อมูลลูกค้า ข้อมูลนั้นถูกรวมเข้าด้วยกันและขายในเว็บไซต์ตลาดมืด

คุณสามารถทำอะไรเพื่อให้ปลอดภัย

นอกเหนือจากเรื่องมัลแวร์บนเครื่อง POS แล้วการละเมิด / การโจมตี Earl Enterprises เป็นเรื่องปกติ ตามคำแนะนำที่ฉันจะให้กับสิ่งที่ผู้บริโภค (คือคุณ) สามารถทำได้เพื่อให้อยู่อย่างปลอดภัย

ก่อนอื่นฉันมักจะพูดว่าใช้บัตรเครดิตไม่ใช่บัตรเดบิต ธุรกรรมบัตรเครดิตนั้นสามารถย้อนกลับได้ง่ายและ บริษัท บัตรเครดิตนั้นสามารถทำการฉ้อโกงได้ดีก่อนที่คุณจะทำเช่นนั้น ที่สำคัญคุณจะไม่รับผิดชอบต่อค่าใช้จ่ายบัตรเครดิตที่ฉ้อโกง การใช้บัตรเดบิตนั้นเป็นธุรกรรมเงินสด คุณสามารถได้รับเงินคืนสำหรับสิ่งเหล่านี้ แต่บางครั้งก็ใช้เวลานานและในสถานการณ์ที่เลวร้ายที่สุดอาจนำไปสู่การถกเถียงกับธนาคารหรือ FDIC

พอฉันไปถึงปัญหากับการทำธุรกรรม magstripe Magstripes นั้นง่ายมาก คุณสามารถต่อเครื่องอ่านแถบแม่เหล็ก USB เรียกใช้การ์ดและคอมพิวเตอร์จะป้อนข้อมูลลงในไฟล์ข้อความสำหรับคุณ ชิปการ์ด (การ์ด EMV) ใช้กระบวนการที่แตกต่างกันซึ่งมีความปลอดภัยมากกว่าและขัดขวางได้ยากกว่า

สิ่งนี้นำไปสู่การอภิปรายอย่างเป็นธรรมชาติเกี่ยวกับวิธีที่ข้อมูลนี้มักถูกขโมยไปด้วยอุปกรณ์ขนาดเล็กที่เรียกว่า skimmers หรือ shimmers ฉันมีเรื่องราวทั้งหมดเกี่ยวกับวิธีตรวจจับพวกเขาดังนั้นคุณสามารถอ่านได้ สิ่งสำคัญคือคุณควรตรวจสอบเครื่อง POS ก่อนใช้งานทุกครั้งที่คุณพบพวกเขา แต่โดยเฉพาะที่ปั๊มแก๊สและตู้ ATM กลางแจ้ง บันทึกการคลิกหนึ่งครั้ง (แต่คลิกต่อไปจะช่วยให้ฉันได้รับเงิน)

หลังจากนั้นฉันจะเปิดตัวเกี่ยวกับโซลูชั่นที่มีเทคโนโลยีสูงสำหรับการชำระเงิน Android Pay, Apple Pay และ Samsung Pay ใช้ระบบ tokenization ที่ไม่เปิดเผยข้อมูลบัตรเครดิตของคุณ มันอาจดูไม่ค่อยปลอดภัยที่จะใช้พวกมันเนื่องจากข้อมูลถูกส่งแบบไร้สาย แต่จริงๆแล้วมันดีมาก

จากนั้นบางครั้งฉันก็จะพูดคุยเกี่ยวกับวิธีที่คุณสามารถใช้ Abine Blur เพื่อสร้างบัตรเครดิตแบบเติมเงินและที่อยู่อีเมลปลอมได้ทันที บางทีฉันจะพูดถึงว่าเงินสดและบัตรเครดิตแบบชำระเงินเป็นวิธีที่ปลอดภัยที่สุดและใส่ใจเรื่องความเป็นส่วนตัวในการทำธุรกิจ ฉันจะไม่รับรองบริการป้องกันการขโมยข้อมูลประจำตัวเพราะฉันไม่แน่ใจว่าพวกเขาใช้งานได้จริงและฉันจะไม่พูดมากเกินไปเกี่ยวกับการตรวจสอบเครดิตเพราะฉันไม่คิดว่าคุณควรจะต้องจ่ายเงินสำหรับข้อมูลทางการเงินของคุณเอง โดยไม่ได้รับความยินยอมจากคุณ

ฉันไม่เคยรับรอง Bitcoin เพราะขันคนเหล่านั้นอย่างจริงจัง

ไม่สำคัญหรอกว่าคุณเป็นคนอย่างไร

เราเขียนเรื่องราวแบบนี้ตลอดเวลาที่ PCMag และพวกมันมีประโยชน์ในการอธิบายสิ่งเล็ก ๆ น้อย ๆ ที่สามารถสร้างความแตกต่างในชีวิตของผู้คน ผู้คนควรรู้วิธีการชำระเงินอย่างชาญฉลาดและควรใช้ตัวจัดการรหัสผ่านและ 2FA อย่างน้อยที่สุดหรืออย่างน้อยก็รู้ว่าสิ่งเหล่านี้คืออะไรเพื่อให้พวกเขาสามารถเลือกได้อย่างชาญฉลาดในชีวิต แต่ Earl Enterprises ฝ่าฝืนฉันจริงๆเพราะไม่มีสิ่งใดที่ลูกค้าสามารถทำได้เพื่อปกป้องตนเอง

ในการโจมตี Earl Enterprises คนร้ายมีการเข้าถึงเครื่อง POS จากระยะไกล นั่นหมายความว่าไม่ว่าลูกค้าจะตรวจสอบเครื่องอ่านบัตรมากแค่ไหนพวกเขาก็ไม่ได้ไปหาเครื่องบอกเล่าเรื่องราวเนื่องจากภัยคุกคาม อยู่ ในเครื่อง ยิ่งไปกว่านั้นที่ร้านอาหารในสหรัฐอเมริกาลูกค้าไม่ได้รับตัวเลือกในการเข้าร่วมกับเครื่อง POS เรามอบการชำระเงินของเราให้กับเซิร์ฟเวอร์ผู้ดำเนินการบัตรและส่งคืนพร้อมใบเสร็จรับเงิน นั่นหมายความว่าลูกค้าไม่สามารถใช้ระบบชำระเงินของอุปกรณ์พกพาที่ใหม่กว่าและปลอดภัยกว่าได้ นอกจากนี้ยังไม่มีการรับประกันว่าผู้ประกอบการค้ารายใดก็ตามจะสนับสนุนชิป EMV หรือการชำระเงินผ่านมือถือหรือพนักงานคนนั้นจะได้รับการฝึกฝนในการใช้งาน

ไม่ต้องพูดถึงว่ามีการรายงานว่า Earl Enterprises ใช้เวลา 10 เดือนในการตอบสนองต่อการละเมิด หรือเพราะข้อมูลนี้ถูกขายเป็นจำนวนมากซึ่งเป็นมาตรฐานสำหรับการดำเนินงานประเภทนี้ผู้ที่ตกเป็นเหยื่ออาจได้รับผลกระทบลำดับที่สองและสามสำหรับปีต่อ ๆ ไป

จากคำแนะนำทั้งหมดที่ฉันต้องให้ในหัวข้อนี้เหลือเพียงตัวเลือกเดียว: ใช้เงินสดหรือบัตรเติมเงิน นั่นเป็นสถานการณ์ที่ไร้สาระในปี พ.ศ. 2562 เมื่อฉันสามารถใช้โทรศัพท์เพื่อซื้อโดรนและส่งไปยังบ้านของฉันก่อนที่ฉันจะกลับบ้านขณะที่วิดีโอโทรหาเพื่อนในประเทศไทย

การรั่วไหลของข้อมูลครั้งใหญ่ครั้งแรกที่ดูเหมือนว่ามันอาจเปลี่ยนแปลงสิ่งต่าง ๆ ในปี 2013 เมื่อผู้ซื้อเป้าหมาย 110 ล้านคนค้นพบว่ามีการเปิดเผยข้อมูลส่วนตัวของพวกเขาเป็นพิเศษ เช่นเดียวกับการโจมตีของ Earl Enterprises มีเพียงเล็กน้อยที่ลูกค้าสามารถทำได้เพื่อปกป้องตนเอง ในเวลานั้นมีความกังวลว่าระยะแบ็คแลชของผู้บริโภคอาจทำให้ บริษัท ตกต่ำ

สิ่งนั้นไม่ได้เกิดขึ้นและมันจะไม่เกิดขึ้นกับการละเมิดอื่น ๆ ที่เกิดขึ้นตามมา เป้าหมายได้รับความนิยมและจ่ายเงินสด แต่ก็ยังคงทำธุรกิจอยู่ นอกจากนี้ยังไม่มีการทำลายล้างผลที่ตามมาจากการละเมิดอื่น ๆ ที่ตามมาซึ่งเป็นหัวข้อข่าวและเราไม่เคยเห็นความเจ็บปวดทางการเงินที่แท้จริงเมื่อ บริษัท ทำงานไม่ดีและใช้ข้อมูลส่วนตัวของลูกค้าในทางที่ผิด (ดูที่คุณ Facebook !) ในความเป็นจริงการทรยศต่อลูกค้าเช่นนี้กลายเป็นเรื่องธรรมดามันไม่สมเหตุสมผลที่ PCMag จะครอบคลุมการโจมตี Earl Enterprises มันก็ไม่รับประกันความสนใจ

ไม่มีการป้องกันตนเองของผู้บริโภคที่จะหยุดยั้งการฉ้อโกงประเภทนี้และเห็นได้ชัดว่าไม่มีการกดปุ่มที่ไม่ดีเกี่ยวกับการละเมิดความปลอดภัยจะทำให้ บริษัท เสียหายมากพอที่จะปกป้องข้อมูลลูกค้าได้อย่างเพียงพอ สำหรับความคิดของฉันมันมีตัวเลือกเดียว: กฎระเบียบ

การคุ้มครองผู้บริโภคปกป้องผู้บริโภค

• ผู้จัดการรหัสผ่านที่ดีที่สุดสำหรับปี 2019 ผู้จัดการรหัสผ่านที่ดีที่สุดสำหรับปี 2019
• การแฮ็คเป้าหมายได้รับผลกระทบมากถึง 70 ล้านผู้ซื้อ
• การรับรองความถูกต้องแบบสองปัจจัย: ใครมีและวิธีการตั้งค่าการตรวจสอบความถูกต้องแบบสองปัจจัย: ใครมีและกำหนดค่าได้อย่างไร

บริษัท จะต้องถูกต้องตามกฎหมายและรับผิดชอบทางการเงินสำหรับการละเมิดความปลอดภัยที่มีผลต่อลูกค้า จะต้องมีค่าปรับการสอบสวนและผลที่ตามมาจากศาล เงินจำเป็นต้องใช้จ่ายกับนักกฎหมาย - เงิน เป็น จำนวนมาก รูปแบบปัจจุบันที่ลูกค้าต้องใช้เงินและพลังงานของตัวเองเพื่อนำชุดกฎหมายมารับนั้นไม่มีเหตุผล เป็นพลังงานที่จำเป็นในการปกป้องตนเองจากการฉ้อโกงเล็กน้อยหรือแย่กว่านั้นคือพยายามทำให้ชีวิตของเรากลับมารวมกันหลังจากการขโมยข้อมูลประจำตัว

บริษัท ต่างๆจำเป็นต้องดำเนินการกับภัยคุกคามอย่างจริงจังและวางแผนการโจมตี ข้อมูลขั้นต่ำสุดของลูกค้าควรถูกเก็บไว้และสิ่งใดก็ตามที่เก็บไว้จะต้องถูกขัดขวางหรือในวิธีอื่น ๆ เพื่อทำให้ไร้ประโยชน์หากถูกขโมย ผู้สร้างระบบการชำระเงินก็ต้องเริ่มคุกคามอย่างจริงจังซึ่งฉันมั่นใจว่าพวกเขาจะทำหากมีความต้องการจากร้านค้าสำหรับอุปกรณ์ที่ปลอดภัยมากขึ้น

ในขณะนี้ฉันสงสัยว่าปริมาณข้อมูลส่วนบุคคลที่ได้รับการเปิดเผยในทศวรรษที่ผ่านมาหมายความว่าทุกคนมีหรือจะได้รับบาดเจ็บในทางใดทางหนึ่ง ไม่สามารถยอมรับได้ สำหรับตัวฉันเองฉันใช้บัตรเดบิตใบที่สองของฉันในปี 2019 เพราะตัวเลขสองใบแรกของพวกเขาถูกบุกรุก มันคือเดือนเมษายน