женщина держит смартфон

Большинство участников недавнего исследования понятия не имели, что их адреса электронной почты и другая личная информация были скомпрометированы в среднем в пяти случаях утечки данных каждый.

Прошло девять лет с момента взлома данных LinkedIn, восемь лет с тех пор, как клиенты Adobe стали жертвами кибератак, и четыре года с тех пор, как Equifax попала в заголовки новостей о разглашении частной информации миллионов людей.

Исследователи из Школы информации Мичиганского университета показали 413 людям фактов от трех до трех. нарушения которые связаны с их личной информацией. Исследователи обнаружили, что люди не знали о 74% нарушений.

«Это беспокоит. Если люди не знают, что их информация была раскрыта в результате взлома, они не смогут должным образом защитить себя от последствий взлома, например, от повышенного риска кражи личных данных », - говорит кандидат в докторантуру Исинь Цзоу.

Как сообщается в доклад конференцииисследователи также обнаружили, что большинство взломанных обвиняют в этих событиях свое личное поведение - использование одного и того же пароля для нескольких учетных записей; хранить одну и ту же электронную почту долгое время; и подписка на «отрывочные» аккаунты - только 14% объясняют проблему внешними факторами.

графика подписки внутри себя

«Хотя потребители несут определенную ответственность за будь осторожен Что касается того, с кем они делятся своей личной информацией, то вина за нарушения почти всегда кроется в недостаточных мерах безопасности со стороны пострадавшей компании, а не со стороны жертв взлома », - говорит Адам Авив, доцент кафедры информатики в Университете Джорджа Вашингтона.

Ассоциация Я был обманут База данных, использованная в этом исследовании, перечисляет около 500 онлайн-взломов и 10 миллионов взломанных учетных записей за последнее десятилетие. По данным Ресурсного центра по краже личных данных, общее количество утечек данных, затрагивающих американцев, еще выше: только в 1,108 году в Соединенных Штатах было зарегистрировано более 2020 нарушений.

В предыдущих исследованиях задавались вопросы о проблемах и реакциях на утечки данных в целом, или они полагались на данные, полученные от участников, чтобы определить, как конкретный инцидент повлиял на людей. В этом исследовании использовались общедоступные записи из набора данных Have I Been Pwned о том, кто пострадал от взломов. Исследовательская группа собрала 792 ответа, включающих 189 уникальных нарушений и 66 различных открытых типов данных. Из 431 запрошенного адреса электронной почты участников 73% участников были обнаружены в одном или нескольких взломах, наибольшее число - 20.

Из всей информации, которая была взломана, больше всего были скомпрометированы адреса электронной почты, за которыми следовали пароли, имена пользователей, IP-адреса и даты рождения.

Большинство участников выразили умеренную озабоченность и больше всего обеспокоены утечкой физических адресов, паролей и телефонных номеров. В ответ на свои взломанные учетные записи они сообщили о принятии мер или намерении изменить пароли для 50% взломов.

«Возможно, некоторые из взломанных сервисов были сочтены« не важными », потому что взломанная учетная запись не содержала конфиденциальной информации. Однако низкая обеспокоенность по поводу нарушения может быть также объяснена тем, что люди не полностью осознают или не осознают, как утечка личной информации может потенциально быть использована не по назначению и нанести им вред », - говорит Питер Майер, научный сотрудник Технологического института Карлсруэ.

Риски варьируются от заполнения учетных данных - или использования просочившегося адреса электронной почты и пароля для получения доступа к другим учетным записям жертвы - до кражи личных данных и мошенничества.

Большинство нарушений никогда не попадали в новости, и часто они сопровождались минимальным уведомлением или вообще отсутствием уведомления для затронутых лиц.

«Сегодняшние требования к уведомлению об утечке данных недостаточны», - говорит Цзоу. «Либо люди не получают уведомления от взломанных компаний, либо уведомления составлены настолько плохо, что люди могут получить уведомление по электронной почте или письмо, но проигнорируют его. В предыдущей работе, мы проанализировали письма с уведомлениями об утечке данных, отправленные потребителям, и обнаружили, что они часто требуют высоких навыков чтения и скрывают риски »

В конце исследования исследователи показали участникам полный список затрагивающих их нарушений и предоставили информацию для принятия мер защиты от потенциальных рисков, связанных с утечкой данных.

Как избежать утечки данных

Когда ваши данные были украдены: 

  • Проверьте, были ли учетные записи частью взлома, используя бесплатные сервисы, такие как https://haveibeenpwned.com/ or https://monitor.firefox.com/.
  • Внимательно прочтите уведомления о нарушениях.
  • Такие сайты, как FTC https://identitytheft.gov/ может помочь создать план восстановления после кражи личных данных.
  • Обязательно измените пароль взломанной учетной записи и любых других, для которых использовался тот же пароль. Достаточно сделать это один раз, если только не возникнет новая брешь.
  • Подпишитесь на предлагаемые вам услуги по мониторингу личности. Хотя они и не идеальны, они лучше, чем ничего.
  • Если вы понесли реальный ущерб в результате нарушения, вы также можете иметь право на дальнейшую поддержку.

Чтобы предотвратить утечку данных в будущем: 

  • Используйте уникальный пароль для каждой онлайн-учетной записи. Никто не может запомнить десятки таких паролей, поэтому для хранения и создания надежных паролей лучше всего использовать менеджер паролей.
  • По возможности используйте двухфакторную аутентификацию, которая требует телефонного кода в дополнение к имени пользователя и паролю для доступа к учетной записи.
  • Заморозьте кредитные отчеты в трех основных бюро (Equifax, Experian и TransUnion), чтобы похитителям личных данных было сложнее нанести финансовый ущерб. Видеть здесь.
  • Рассмотрите возможность использования таких сервисов, как Войти через Apple  для сохранения конфиденциальности адреса электронной почты при создании новых учетных записей (поставщик услуг видит только адрес электронной почты, созданный для этой учетной записи).

«Результаты этого исследования еще раз подчеркивают несостоятельность и недостатки действующих законов об уведомлении о нарушениях в данных и безопасности», - говорит Флориан Шауб, доцент кафедры информации Мичиганского университета.

«В своей работе мы снова и снова обнаруживаем, что важное законодательство и нормативные акты, предназначенные для защиты потребителей, на практике оказываются неэффективными из-за слабых коммуникационных усилий со стороны затронутых компаний, которые должны нести большую ответственность за защиту данных клиентов».

Исследователи указывают на Европейское общее постановление о защите данных, которое предусматривает огромные штрафы для компаний, не защищающих потребителей, как средство решения проблемы. Закон побудил компании по всему миру переоснастить свои программы и меры защиты конфиденциальности.

Источник: Мичиганский университет

 

Об авторе

Лорел Томас-Мичиган

Эта статья изначально была опубликована на сайте Futurity