Securitywatch: gumawa ng mga korporasyon, hindi mga customer, magdusa para sa mga paglabag sa data | max eddy

Noong Marso 29, inihayag ng Earl Enterprises na ang mga bisita sa mga restawran ng chain nito ay maaaring ninakaw ang kanilang impormasyon sa credit card. Tulad ng dati kapag nangyari ang ganitong uri ng bagay, tinanong akong magtipon ng ilang payo para sa mga mamimili sa kung ano ang maaari nilang gawin upang maprotektahan ang kanilang sarili. Ito ay isang mahusay na pagod na paksa mula sa mga taon ng magkatulad na mga kwento, ngunit sa oras na ito ay iba ang naramdaman. Bahagi ito dahil sa natatanging katangian ng pag-atake, ngunit din dahil ang aming kasanayan na ilagay ang responsibilidad para sa paglilinis ng mga gulo sa mga mamimili ay hindi gumagana. Panahon na upang ilagay ang onus kung saan ito pag-aari, sa mga korporasyon na pinapayagan ang data na makompromiso sa unang lugar.

Sa Pinaslang

Kung kumain ka sa tiyak na Buca di Beppo, Chicken Guy !, Earl ng Sandwich, Mixology, Planet Hollywood, o Tequila Taqueria, maaaring mayroon kang ninakaw na impormasyon sa iyong credit o debit card. Ayon sa Earl Enterprises, maaaring kabilang dito ang halos lahat ng kailangan upang gumawa ng pandaraya: numero ng card, mga petsa ng pag-expire, at ilang pangalan ng cardholder. Ang bilang ng mga taong naapektuhan ay naiulat na halos 2 milyon.

Ang isang kagiliw-giliw na katotohanan tungkol sa partikular na paglabag na ito ay hindi ito isang paglabag sa bawat se . Sa halip, ang mga hacker ay pinamamahalaang malayuan na ma-access ang point-of-sale o POS (oo, iyon ang tunay na acronym) machine sa iba't ibang mga restawran at mai-install ang malware na nag-scrap ng data ng customer. Ang impormasyong iyon ay pinagsama-sama at ibinebenta sa mga website ng itim na merkado.

Ano ang Maaari mong Gawin upang Manatiling Ligtas?

Bukod sa kaunti tungkol sa malware sa mga POS machine, ang medyo paglabag sa / Earl Enterprises ay karaniwang tipikal. Tulad ng payo na maibibigay ko sa kung ano ang magagawa ng mga mamimili (na ikaw) upang manatiling ligtas.

Una, karaniwang sinasabi ko, gumamit ng isang credit card at hindi isang debit card. Ang mga transaksyon sa credit card ay madaling mababaligtaran at ang mga kumpanya ng credit card ay napakahusay na makunan ng pandaraya bago mo magawa. Mahalaga, hindi ka mananagot para sa mga mapanlinlang na singil sa credit card. Ang paggamit ng isang debit card ay mahalagang cash transaksyon. Maaari kang makakuha ng mga bayad para sa mga ito, ngunit kung minsan ay tumatagal ng mas mahaba at sa pinakamasama-kaso na mga sitwasyon ay maaaring humantong sa ilang mga pakikipag-away sa bangko o sa FDIC.

Sa sandaling iyon ay wala nang paraan, napapunta ako sa mga problema sa mga transaksyon ng magstripe. Ang mga magneto ay hangal na simple. Maaari kang mag-hook up ng isang USB magstripe reader, magpatakbo ng isang card, at ipasok ng computer ang impormasyon sa isang text file para sa iyo. Ang isang chip card (EMV card) ay gumagamit ng ibang proseso na malayo mas ligtas at mahirap hawakan.

Iyon ay humahantong sa isang likas na talakayan tungkol sa kung paano ang impormasyong ito ay karaniwang ninakaw sa mga maliliit na aparato na tinatawag na mga skimmer o shimmer. Mayroon akong isang buong kuwento sa kung paano makita ang mga ito, kaya maaari mo lamang basahin ito. Ang gist ay ang magandang ideya na siyasatin ang mga POS machine bago mo ito magamit, sa bawat konteksto na nakatagpo mo ang mga ito ngunit lalo na sa mga gas pump at panlabas na mga ATM. Nai-save ka ng isang pag-click (ngunit mag-click pa rin, makakatulong ito sa akin na mabayaran).

Pagkatapos nito maglulunsad ako sa isang buong bagay tungkol sa mga solusyon sa high-tech para sa mga pagbabayad. Gumagamit ang Android Pay, Apple Pay, at Samsung Pay ng isang sistema ng tokenization na hindi kailanman inihayag ang iyong aktwal na impormasyon sa credit card. Maaaring hindi gaanong ligtas na gamitin ang mga ito dahil ang impormasyon ay ipinadala nang wireless, ngunit talagang napakahusay.

Pagkatapos ay minsan ay pag-aalala ko ang tungkol sa kung paano mo magagamit ang Abine Blur upang lumikha ng prepaid credit card at bogus na mga email address sa fly. Marahil ay babanggitin ko kung paano ang cash at prepaid credit card ay ang pinaka ligtas at nakakamalay sa pagkapribado na paraan ng paggawa ng negosyo. Tiyak na hindi ko i-endorso ang mga serbisyo ng proteksyon sa pagnanakaw ng pagkakakilanlan dahil hindi ako sigurado na talagang nagtatrabaho sila, at hindi ko sasabihin nang labis tungkol sa pagsubaybay sa credit dahil hindi sa palagay ko dapat kang magbayad para sa iyong sariling impormasyon sa pananalapi na pinagsama-sama nang walang pahintulot mo.

Hindi ko kailanman inendorso ang Bitcoin dahil seryoso ang mga lalaki.

Hindi Ito Mahalaga Kung Paano Ka Maingat

Sinusulat namin ang mga ganitong uri ng mga kwento sa lahat ng oras sa PCMag, at kapaki-pakinabang sila upang mailarawan ang mga maliit na bagay na maaaring magkaroon ng pagkakaiba sa buhay ng mga tao. Ang mga tao ay dapat malaman ang mas matalinong mga paraan upang mabayaran, at pinapayuhan na gumamit ng mga tagapamahala ng password at 2FA, o hindi bababa sa alam kung ano ang mga bagay na ito upang makagawa sila ng matalinong mga pagpipilian sa kanilang buhay. Ngunit ang paglabag sa Earl Enterprises ay talagang nakuha sa akin, dahil halos wala namang magagawa ang mga kostumer upang maprotektahan ang kanilang sarili.

Sa atake ng Earl Enterprises, ang mga masasamang tao ay may malayuang pag-access sa mga POS machine. Nangangahulugan iyon kahit gaano pa sinisiyasat ng isang customer ang mga mambabasa ng kard, hindi sila makahanap ng isang kwentong tagamasid dahil ang banta ay nasa loob ng makina. Bukod dito, sa mga restawran ng US, ang mga customer ay hindi palaging nakakakuha ng pagpipilian upang makisali sa terminal ng POS. Ibinibigay namin ang aming pagbabayad sa server, na nagpapatakbo ng card at bumalik kasama ang isang resibo. Nangangahulugan ito na hindi magamit ng mga customer ang mas bago at mas ligtas na sistema ng pagbabayad ng mobile device. Wala ring garantiya na ang anumang naibigay na mangangalakal ay sumusuporta sa EMV chips o mobile na pagbabayad, o ang mga kawani ay sanayin sa kung paano gamitin ito.

Iyon ay hindi sa banggitin na iniulat na Earl Enterprises ay tumagal ng 10 buwan upang tumugon sa paglabag. Hindi rin dahil ang impormasyong ito ay ibinebenta nang maramihan, na pamantayan para sa ganitong uri ng operasyon, ang mga biktima ay maaaring makaranas ng pangalawa- at pangatlong pagkakasunud-sunod na mga kahihinatnan sa darating na taon.

Sa lahat ng mga payo na ibibigay ko sa paksang ito, nag-iiwan lamang ng isang pagpipilian: gumamit ng cash o prepaid card. Iyon ay isang medyo hindi katawa-tawa na kalagayan sa taon ng aming panginoon 2019 kapag maaari akong gumamit ng isang telepono upang bumili ng drone at maipadala ito sa aking bahay bago ako makauwi, habang ang video ay tumatawag sa isang kaibigan sa Thailand.

Ang unang napakalaking paglabag sa data na tila maaaring magbago ng mga bagay ay noong 2013, kapag ang isang bagay tulad ng 110 milyong Target ng mga mamimili ay natuklasan na mayroong isang espesyal na kalokohan sa kanilang pribadong impormasyon. Tulad ng pag-atake ng Earl Enterprises, kaunti lamang ang maaaring gawin ng mga customer upang maprotektahan ang kanilang sarili. Sa oras na ito, may pag-aalala na maaaring lumubog ang backlash ng mamimili sa kumpanya.

Hindi nangyari iyon, at hindi nangyari para sa anuman sa mga kasunod na mga paglabag na gumawa ng mga headline. Ang target ay tumama at nagbayad ng ilang pera, ngunit nanatili ito sa negosyo. Hindi rin nakasisira ang mga kahihinatnan para sa alinman sa iba pang mga kasunod na mga paglabag na gumawa ng mga pamagat, o hindi namin nakita ang totoong sakit sa pananalapi kapag ang isang kumpanya ay kumikilos nang masama at inaabuso ang pribadong impormasyon ng mga customer nito (tinitingnan ka, Facebook !). Sa katunayan, ang ganitong uri ng pagtataksil ng mga customer ay naging pangkaraniwan, hindi naging malinaw para sa PCMag na masakop ang atake ng Earl Enterprises. Ito ay hindi lamang ginagarantiyahan ang pansin.

Walang halaga ng pagtatanggol sa sarili ng mamimili na mapipigilan ang ganitong uri ng pandaraya, at tila walang halaga ng masamang pindutin sa mga paglabag sa seguridad ay mapinsala ang isang korporasyon na sapat para sa kanila sa sapat na pagprotekta sa impormasyon ng customer. Sa isip ko, nag-iiwan ng isang pagpipilian: regulasyon.

Protektahan ng Mga Proteksyon ng Mga Consumer ang Mga Consumer

• Ang Pinakamahusay na Tagapangasiwa ng Password para sa 2019 Ang Pinakamahusay na Tagapangasiwa ng Password para sa 2019
• Na-apektuhan ang target na hack Hanggang sa 70M Shoppers Target Hack Naapektuhan Hanggang sa 70M Mamimili
• Two-Factor Authentication: Sino ang May Ito at Paano Itakda Ito Dalawa-Factor Authentication: Sino May Ito at Paano Itakda Ito

Ang mga korporasyon ay dapat gaganapin nang ligal at pinansyal na mananagot para sa mga paglabag sa seguridad na nakakaapekto sa mga customer. Kailangang magkaroon ng multa, pagsisiyasat, at mga kahihinatnan na ipinag-utos ng korte. Kailangang gastusin ang pera sa mga abogado - maraming pera . Ang kasalukuyang modelo kung saan ang mga customer ay kailangang gumastos ng kanilang sariling pera at enerhiya upang magdala ng mga lawswuits na pasanin ay hindi makatwiran. Tulad ng kinakailangang lakas na protektahan ang ating sarili mula sa maliit na pandaraya, o, mas masahol pa, sinusubukan nating ibalik ang ating buhay matapos ang pagnanakaw ng pagkakakilanlan.

Kailangang seryosohin ng mga kumpanya ang pagbabanta at planuhin ang mga pag-atake. Ang pinakamababang minimum na data ng customer ay dapat na naka-imbak, at anuman ang naka-imbak ay dapat panatilihing naka-encrypt o sa iba pang mga paraan upang magawa itong walang silbi kung ito ay ninakaw. Ang mga tagalikha ng mga sistema ng pagbabayad ay kailangan ding simulan ang seryosong pagbabanta, na sigurado akong gagawin nila kung mayroong isang kahilingan mula sa mga mangangalakal para sa mas ligtas na mga aparato.

Ilang sandali ngayon, pinaghihinalaang ko na ang dami ng mga pribadong impormasyon na nakalantad sa huling dekada ay nangangahulugang ang lahat ay nasaktan o nasaktan. Hindi iyon katanggap-tanggap. Nagsasalita para sa aking sarili, nasa pangalawang debit card ako ng 2019, dahil ang unang dalawa ay nakompromiso ang kanilang mga numero. Ito ay Abril.