Yeni tarifler

Kötü Haber, MyFitnessPal Kullanıcıları: Bilgileriniz Veri İhlalinin Parçası Olabilir

Kötü Haber, MyFitnessPal Kullanıcıları: Bilgileriniz Veri İhlalinin Parçası Olabilir

Adım 1: şifrenizi değiştirin.

Büyük bir veri ihlali her zaman bir endişe kaynağıdır - ancak popüler fitness yazılımı MyFitnessPal'in en son güvenlik açığı, kişisel sağlık verilerinizin açığa çıkmasına neden olabilir.

Mobil sağlık uygulamasının kullanıcıları Şubat ayında meydana gelen bir güvenlik ihlalinden haberdar etmesi yalnızca bu haftaydı. Bugün, tüm uygulama kullanıcılarına neler olduğunu ve tam olarak hangi bilgilerin ele geçirildiğini açıklayan bir bildiri gönderdiler.

Sağlıklı olmanın şimdi ne anlama geldiği konusunda güncel kalın.

Daha harika makaleler ve lezzetli, sağlıklı tarifler için günlük bültenimize kaydolun.

Açıklamaya göre, yetkisiz bir üçüncü taraf, MyFitnessPal kullanıcı hesaplarıyla ilişkili, kişilerin kullanıcı adları, e-posta adresleri ve şifreli şifreleri de dahil olmak üzere verileri elde etti.

MyFitnessPal'in Baş Dijital Sorumlusu Paul Fipps yaptığı açıklamada, "[Veri ihlalinin] farkına vardığımızda, sorunun niteliğini ve kapsamını belirlemek için hızla adımlar attık. Araştırmamıza yardımcı olması için önde gelen veri güvenliği firmalarıyla çalışıyoruz. Biz de bilgilendirdik ve kolluk kuvvetleriyle koordine halindeyiz.”

MyFitnessPal kullanıcısıysanız, bilgilerinizi korumak için yapabileceğiniz birkaç şey vardır. Öncelikle hesap şifrelerinizi (e-posta, MyFitnessPal vb.) hemen değiştirin. Ardından, herhangi bir şüpheli etkinlik için hesaplarınızı izlemeye devam edin ve şüpheli bağlantıların ve istenmeyen e-postaların farkında olun; bunlar bilgilerinizi almaya çalışan bilgisayar korsanları olabilir.


ChatBooks, karanlık web'de satılan verilerden sonra veri ihlalini ifşa ediyor

ChatBooks fotoğraf baskı hizmeti, bir siber saldırı sonrasında kullanıcı bilgilerinin sistemlerinden çalındığını müşterilerine bildirdi. 15 milyon kullanıcı kaydından oluşan veriler artık dark web'de satışa sunuluyor.

Bu ihlal, şu anda 11 şirketten 73 milyondan fazla kullanıcı kaydı satan bir grup bilgisayar korsanından gelen sızıntıların bir parçası.

Hizmet, kaynak olarak Instagram ve Facebook sosyal medya hesaplarını kullanarak fotoğraf kitapları oluşturmanın kolay bir yolunu sunar.

Bilgisayar korsanları verileri bir aydan fazla tuttu

3 Mayıs'ta Shiny Hunters adlı bir hacker grubu, karanlık bir web pazarında ChatBooks kullanıcı kayıtlarının reklamını yapmaya başladı ve 15 milyon satır veri için 2.000 dolar istedi.

E-posta adresleri, karma parolalar (SHA-512), sosyal medya erişim belirteçleri ve kişisel olarak tanımlanabilir bilgiler içeren bir örnek sağladılar.

Güvenlik ihlali bildirimini paylaşan kullanıcılar, 8 Mayıs Cuma günü bilgisayar korsanlarının hizmete giriş bilgilerini, adları, e-posta adreslerini ve şifreleri (tuzlanmış ve hash edilmiş) çaldığını söyleyerek kötü haberi aldı.

&ldquoAyrıca, etkilenen kayıtların küçük bir kısmı için bazı telefon numaraları, Facebook kimlikleri ve etkin olmayan sosyal medya erişimi ve satıcı jetonları da çalındı&rdquo - ChatBooks kurucu ortağı ve CEO'su Nate Quigley

Şirket, ödeme veya kredi kartı bilgilerinin veri tabanında bulunmadığını ve bu nedenle etkilenmediğini bildirdi. Ayrıca, fotoğraflar gibi kişisel verilerin çalındığına dair bir kanıt da yok.

Bildirime göre şirket, izinsiz girişten, bilgisayar korsanlarının bir dark web pazarında ChatBooks kullanıcı kayıtlarının reklamını yapmaya başlamasından iki gün sonra, 5 Mayıs Salı günü öğrendi. Adli soruşturmaya göre, ihlal 26 Mart'ta meydana geldi.

ChatBook'lar Shiny Hunters'ın tek kurbanı değil, saldırıya uğradığını kabul eden ve müşterilerini uyaran ilk şirket.

BleepingComputer, aynı bilgisayar korsanlarının birden fazla şirketten kullanıcı kayıtları sattığını tespit etti. Bazıları medyadan kullanıcı kayıtlarının satışta olduğunu öğrendi ve BleepingComputer yorum için ulaştığında yeni bir soruşturma başlattı.

Şu anda ChatBooks veritabanının fiyatı daha yüksek, 3.500$. Bilgisayar korsanları bilgileri münhasıran sunmuyor ve içerdiği ayrıntılar artan sayıda alıcıyı çekmiş olabilir.

Çalınan şifreler bir miktar güvenlik sağlar ancak şirket, müşterilerine şifrelerini en kısa sürede değiştirmelerini tavsiye eder.

Karma, orijinal dizeye geri dönmeye izin vermeyen tek yönlü bir işlem olsa da, bilgisayar korsanlarının çok sayıda parola listesi vardır. Bunları karmalara dönüştürebilir, tuzu ekleyebilir ve sonuçları çalınan veritabanının sağladığıyla karşılaştırabilirler. Herhangi bir eşleşme, kırılmış bir şifredir.


Veri ihlalleri nasıl olur?

bir istismar siber suçluların bir sisteme ve verilerine yetkisiz erişim elde etmek için kullandığı yazılım hatalarından veya güvenlik açıklarından yararlanan bir saldırı türüdür. Bu güvenlik açıkları sistemin kodunda gizlidir ve suçlular ile siber güvenlik araştırmacıları arasında onları ilk kimin bulabileceğini görmek için bir yarış vardır. Suçlular, bir yandan açıkları kötüye kullanmak isterken, araştırmacılar ise tam tersine, açıkları yazılım üreticilerine bildirmek ve böylece hataların yamalanabilmesini ister. Yaygın olarak kullanılan yazılımlar, işletim sisteminin kendisini, İnternet tarayıcılarını, Adobe uygulamalarını ve Microsoft Office uygulamalarını içerir. Siber suçlu grupları bazen birden fazla istismarı, teknik bilgisi çok az olan veya hiç olmayan suçluların istismarlardan faydalanmasını kolaylaştıran otomatik istismar kitlerine paketler.

Bir SQL enjeksiyonu (SQLI) güvenli olmayan web sitelerinin SQL veri tabanı yönetim yazılımındaki zayıflıklardan yararlanarak web sitesinin aslında olmaması gereken bilgileri veri tabanından dışarı tükürmesini sağlayan bir saldırı türüdür. İşte nasıl çalıştığı. Bir siber suçlu, örneğin müşterilerin normalde &ldquotop dereceli kablosuz kulaklıklar&rdquo veya ldquoen çok satan spor ayakkabılar gibi şeyler için arama yaptığı bir perakende sitesinin arama alanına kötü amaçlı kod girer. Web sitesi, bir kulaklık veya spor ayakkabı listesiyle geri dönmek yerine, bilgisayar korsanına müşterilerin bir listesini ve kredi kartı numaralarını verin. SQLI, minimum teknik bilgi gerektiren, gerçekleştirilmesi en az karmaşık saldırılardan biridir. Malwarebytes Labs, SQLI'yi sıralamada üç numara olarak sıraladı. Yine de İşe Yarayan En Aptal 5 Siber Tehdit. Saldırganlar, kendileri için saldırıyı gerçekleştirmek için otomatik programları bile kullanabilirler. Tek yapmaları gereken hedef sitenin URL'sini girmek, ardından arkanıza yaslanıp yazılım gerisini hallederken rahatlamak.

casus yazılım bilgisayarınıza veya ağınıza bulaşan ve sizinle, İnternet kullanımınız ve ele geçirebileceği diğer değerli verilerle ilgili bilgileri çalan bir tür kötü amaçlı yazılımdır. Casus yazılımları, zararsız görünen bazı indirmelerin (diğer bir deyişle paket yazılım) bir parçası olarak yükleyebilirsiniz. Alternatif olarak, casus yazılım Emotet gibi bir Truva Atı aracılığıyla ikincil bir enfeksiyon olarak bilgisayarınıza girebilir. Malwarebytes Labs blogunda bildirildiği gibi, Emotet, TrickBot ve diğer bankacılık Truva Atları, casus yazılımlar ve diğer kötü amaçlı yazılım türleri için dağıtım araçları olarak yeni bir hayat buldu. Sisteminize virüs bulaştığında, casus yazılım tüm kişisel verilerinizi siber suçlular tarafından çalıştırılan komuta ve kontrol (C&C) sunucularına geri gönderir.

E-dolandırıcılık saldırılar, açgözlülük ve korku gibi duygularımızı manipüle etmek için sosyal mühendisliği kullanarak, genellikle normal mantık ve mantığa aykırı olarak, kullanıcı adlarımız ve şifrelerimiz gibi hassas bilgileri paylaşmamızı sağlayarak çalışır. Tipik bir kimlik avı saldırısı, iş yaptığınız bir şirketten veya güvenilir bir iş arkadaşınızdan geliyormuş gibi görünmesi için sahte veya sahte bir e-postayla başlar. Bu e-posta, agresif veya talepkar bir dil içerecek ve ödemeleri veya hiç yapmadığınız satın alma işlemlerini doğrulamak gibi bir tür işlem gerektirecektir. Sağlanan bağlantıya tıklamak sizi kullanıcı adınızı ve şifrenizi ele geçirmek için tasarlanmış kötü amaçlı bir giriş sayfasına yönlendirecektir. Çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmediyseniz, siber suçlular hesabınızı hacklemek için ihtiyaç duydukları her şeye sahip olacaklardır. E-postalar oltalama saldırısının en yaygın biçimi olsa da, SMS metin mesajları ve sosyal medya mesajlaşma sistemleri de dolandırıcılar arasında popülerdir.

Bozuk veya yanlış yapılandırılmış erişim kontrolleri belirli bir web sitesinin özel bölümlerini, olması gerekmediğinde herkese açık hale getirebilir. Örneğin, bir çevrimiçi giyim perakendecisindeki bir web sitesi yöneticisi, web sitesindeki belirli arka uç klasörlerini, yani müşterilerle ilgili hassas verileri ve ödeme bilgilerini içeren klasörleri özel yapacaktır. Ancak, web yöneticisi ilgili alt klasörleri de özel yapmayı unutabilir. Bu alt klasörler ortalama bir kullanıcı tarafından kolayca görülmese de, iyi hazırlanmış birkaç Google araması kullanan bir siber suçlu, bu yanlış yapılandırılmış klasörleri bulabilir ve içindeki verileri çalabilir. Açık bir pencereden bir eve tırmanan bir hırsız gibi, bu tür bir siber saldırıyı gerçekleştirmek çok fazla beceri gerektirmez.


Facebook Veri İhlalinden Alınan Dersler

Yaklaşık 90 milyon diğer insan gibi, Facebook'tan bir güvenlik “olay” olduğuna dair bir bildirimle uyandım. Büyük bir Facebook veri ihlali olmuştu. Facebook'a ve bir düzine başka siteye yeniden giriş yapmam gerekiyordu.

Bu benim ilk kahvemden önceydi, asla kötü haber için iyi bir zaman değildi.

Evet, ilk kahvemi yaparken Facebook ve Twitter'a bakıyorum. beni yargılama.

Bu, kafamda bazı sorulara yol açtı - ve şüphesiz 89.999.999 başka soru. Hepimiz sorduk:

  • Ne oldu?
  • Nasıl oldu?
  • Neden oldu?
  • Bunun hakkında ne yapabiliriz?

Peki ne oldu?

Facebook ve Google ve Github gibi diğer birçok büyük İnternet şirketi, genel olarak tek oturum açma (SSO) adı verilen bir hizmet sunar. Tek oturum açma, Facebook'un üçüncü taraflara, mobil uygulamalar ve diğer web siteleri gibi bu üçüncü tarafların, kendilerininkini sağlamak yerine Facebook'un oturum açma sürecinden yararlanmalarını sağlayan bir hizmet sağladığı anlamına gelir.

Kullanıcıları güvenilir bir şekilde belirlemek - "kimlik doğrulama sorunu" olarak adlandırılan - herkes ve özellikle küçük şirketler için zordur.

SSO kimlik doğrulaması, sağlayıcıya bağlıdır - bu durumda Facebook - sahte olması zor bir veri parçası oluşturur. Bu veri yığınına token denir. Ardından jeton, Facebook'ta şifrenizle yerinde bu diğer üçüncü taraflara erişim için kimlik bilgileriniz olur.

SSO'nun birçok avantajı vardır. Web siteleri ve uygulamalar için bu, kendi kimlik doğrulama uygulamanıza sahip olmanız gerekmediği ve kullanıcılarınızın başka bir parola hatırlaması gerekmediği anlamına gelir. (Parolaların zaten korkunç güvenlik sorunları var, ancak bu başka bir makalenin konusu.)

TOA, kullanıcılar için de daha uygundur, çünkü kendi şifrelerine sahip olmak yerine, her site için farklı şifreler icat edip yönetin ve ardından tek tek sitelerin saldırıya uğramayacağına güvenin.

Tabii ki Facebook için de bir avantaj. Bu üçüncü taraflar, kimlik doğrulama için Facebook SSO'yu kullanıyorsa, bu uygulamaların kullanıcılarını Facebook hesapları almaya teşvik eder ve bu hesapları tutmak için büyük bir teşvik sağlar.

Başka bir deyişle, Facebook'un SSO için güvenilir bir kimlik doğrulama kaynağı olabilmesi herkesin yararınadır.

Facebook'a güvenilebildiği sürece.

Bu veri ihlali nasıl oldu?

Kısa cevap, Facebook'un kimsenin beklemediği ve dolayısıyla hiç test etmediği bir güvenlik açığına sahip bir özelliğe sahip olmasıdır.

Daha uzun cevap, henüz her şeyi bilmediğimizdir. Bildiğimiz şu ki, şu şekilde çalıştı: Facebook, gizlilik ayarlarınızın hesabınızdan görebileceklerini nasıl değiştirdiğini görmek için geçici olarak başka birinin kimliğine bürünmenize izin veren "farklı görüntüle" adlı bir özelliğe sahiptir. (Örneğin, şeker hastalığı doktorunuzun dondurma ve cheesecake tarifleri koleksiyonunuzu göreceğinden endişeleniyorsanız düşünün.)

Kusur, "farklı görüntüle"yi kullandığınızda, Facebook'un bunu biraz almasıydı. fazla kelimenin tam anlamıyla, kimliğine büründüğünüz kişinin "kimlik doğrulama jetonunu" açığa çıkarmak. Gelişmiş bir saldırgan daha sonra bu kimlik doğrulama jetonunu alabilir ve bu da bu kişinin diğer sitelerde ve diğer uygulamalarda kimliğine bürünmelerine olanak tanır.

Güven meselesi

Bu terimi siber güvenlikte kullanmak eski moda oldu, ancak güvenlik sorunları güven sorunlarına indirgendi. Yani, önemsediğiniz bir şeyin sorumluluğunu başka birine devretme isteğiniz.

Üçüncü taraf uygulamalar, doğru kullanıcıya sahip olduklarından emin olmak için sorumluluklarını Facebook'a devrediyor. Facebook kullanıcıları, tanımlayıcı bilgilerini doğru bir şekilde yönetmek için Facebook'a güveniyor. Ve Facebook'un bu güvenin yersiz olduğunu kanıtlamamak için her türlü nedeni var.

Bu sefer, Facebook patladı.

Neden oldu?

Yine kısa bir cevap var: güvenlik NS zor. Bu veri ihlali, bir araya gelen birkaç kod hatasının sonucuydu. Bu tür bir sorunu tespit etmek veya yakalamak çok zordur. Sorunu çözmeye yönelik yaklaşımlar on yıllardır biliniyor, ancak bunlar paraya mal oluyor ve sistemlerin kullanımını zorlaştırıyor. Bunu düşünürseniz, herhangi bir güvenlik, kullanıcıları yapmak istedikleri şeyleri yapmaktan alıkoymak anlamına gelir. Güvenlik her zaman sistemi daha az kullanılabilir hissettirir.

Unsplash'ta rawpixel'in fotoğrafı

Başka bir veri ihlalini önlemek için ne yapabiliriz?

Önerilen bir çözüm, çok faktörlü kimlik doğrulama kullanmaktır. Bankam bunu kullanıyor ve siz olduğunuzdan emin olmak için kısa mesajla bir kod gönderiyorlar. Büyük bir çok uluslu şirketin bilgi güvenliği sorumlusu Shon Gerber, bu kısa mesajların da özellikle güvenli olmadığına dikkat çekiyor.

‘bu sizin güvenli çözümünüz’ diye satıyorlar – ama sadece daha fazla güvenli. Onlar hala üzerinize düşeni yapacağınıza güveniyorlar ve siz de bankanızın üzerine düşeni yapacağına güveniyorsunuz. Hesabınızın güvenliği ihlal edildiyse, yine de güvenliği ihlal edilmiştir.

Gerçek şu ki, bir projeye güvenlik gerçekten eklenemez. Güvenlik, performans ve kullanılabilirlik gibi diğer "işlevsel olmayan" gereksinimler gibi tek bir bileşenden veya özellikten gelmez. Baştan düşünülmeli. Güvenli sistemler konusunda deneyimli geliştirme ekipleri - Flint Hills Group'taki ekibimiz gibi mütevazı ekipler - bunları en baştan projelere dahil edecek deneyime ve eğitime sahip.

Güvenlik zordur ama göz ardı edilemez.

Çözümün bir kısmı, güvenlik konusunda daha fazla araştırma ve geliştirmeyi teşvik etmektir. Başlangıçta siber güvenlik araştırmaları büyük ölçüde Savunma Bakanlığı tarafından finanse edildi. Hala devlet finansmanı için bir yer var, ancak siber güvenlik artık sadece gizli bilgileri koruma meselesi değil. Şirketler güvenlik araştırmalarına da yatırım yapmalıdır.

Sorun şu ki, Facebook gibi şirketlerin daha iyi güvenlik peşinde koşmak için çok güçlü bir teşviki yok. Ah, Facebook bundan utandı ve yanıt vermenin şüphesiz milyonlara mal oldu - ancak Facebook'un harcayacak çok milyonları var ve bir veri ihlali nedeniyle gerçekten yaralanan herkes herhangi bir gerçek zararı telafi etmekte çok zorlanabilir. Çoğu hizmet şartı - bilirsiniz, kedi resimlerinize erişmek için kabul etmeniz gereken 14 sayfalık yasal belgeler - herhangi bir sorumluluk kabul etmez

Bununla birlikte, bu şeyler ne kadar sık ​​olursa, hükümetin harekete geçmesi için o kadar fazla baskı olacaktır. Hiçbir şirket bunu istemez, ancak şirketler daha iyi bir çözüm bulmadıkça hükümetin harekete geçmesi gerekecek.


Kötü haber: 125 $'lık Equifax veri ihlali ödemeniz pek olası değil

Herkes payını talep ederse, 25 sentten daha az alacaksın.

Anlaşmada düşündüğünüzden daha az nakit geri alabilirsiniz.

2017 Equifax veri ihlalinden etkilendiyseniz, bir seçeneğiniz var - 125 $ ödeme veya 10 yıllık ücretsiz kredi izleme. Sorun şu ki, hack'ten kurtulmak için çektiğiniz keder için 125 dolarlık tazminatınız 125 dolara kadar çıkmayabilir. FTC, uygun olan herkesin izleme üzerinden parayı talep etmesi durumunda, kazancınızın "125 doların yakınında hiçbir yerde" olmayacağı konusunda uyardı.

İşte sorun. Equifax, veri ihlalinin 147 milyon kurbanını tazmin etmek için 700 milyon dolara kadar ödemeyi kabul etti, ancak FTC'ye göre 125 dolarlık ödeme için ayrılan para havuzu sadece 31 milyon dolar. Bu kişi başı yaklaşık 20 sente denk geliyor.

Yine de başka bir seçeneğiniz var. Ayrıca 10 yıllık ücretsiz kredi izlemeyi de seçebilirsiniz. Ve bu, FTC'nin zorladığı seçimdir.

FTC web sitesinde "Açıkçası, ücretsiz kredi izleme çok daha değerlidir - piyasa değeri yılda yüzlerce dolar olacaktır" dedi. "Ve bu izleme hizmeti muhtemelen sahip olabileceğiniz herhangi bir hizmetten daha güçlü ve daha faydalıdır."

FTC ve ücretsiz kredi raporu şirketi arasında varılan anlaşmanın bir parçası olarak, dolandırıcılık ve kimlik hırsızlığından kurtulmak için harcanan zaman, kendinizi ihlalden korumak için harcanan para ve Equifax kredisinin maliyeti için geri ödeme talebinde bulunabilirsiniz. abonelikleri izlemek. Talebinizi destekleyecek belgeler ve makbuzlar sağlayarak 20.000$'a kadar tazminat talebinde bulunabilirsiniz.

Hangisinin sizin için daha iyi olduğunu düşünüyorsanız, seçenekler arasında nasıl seçim yapacağınız konusunda bir kılavuzumuz var. Ve zaten hak talebinde bulunduysanız, FTC fikrinizi değiştirebileceğinizi söyledi. Talimatları içeren yerleşim yöneticisinden bir e-posta bekleyin. Dolandırıcılar zaten kurbanları kandırmak için web siteleri kuruyorlar, ancak ne aradığınızı bildiğiniz sürece bunlardan kaçınmak kolaydır.


Saldırı Altında: 2018 Yılı İhlalde

2018'de dünya genelinde veri ihlallerinin hızlandırılmış bir kaydını kaydetseydik, üç ana kategoride tutarlı artışlar ortaya çıkardı:

Bir ihlalin ortalama toplam maliyeti %6,4 artarak 3,6 milyon dolardan 3,86 milyon dolara yükseldi.

Bir veri ihlalinin ortalama boyutu %2,2 arttı

İhlal nedeniyle bir rekor kaybının ortalama toplam maliyeti, rekor başına 1,41 dolardan yüzde 4,8 artarak 1,48 dolara yükseldi.

Ponemon Enstitüsü tarafından 2018 Veri Maliyeti İhlali'ne göre, tek bir ihlalin ortalama toplam fiyat etiketinde (şu anda 3,86 milyar ABD doları) yıldan yıla %6,4'lük bir artışın yanı sıra, kaybolan veya çalınan kayıtların sayısı arttı Sadece bu yıl %2.2.

Daha da kötüsü, güvenliği ihlal edilen (yetkisiz bir saldırgana ifşa edilen) her kaydın dolar maliyeti sonucu hızla artmaya devam ediyor. Kişi başına küresel ortalama maliyet 141 dolardan 148 dolara çıktı ve ABD, Kanada ve Almanya sırasıyla 233, 202 ve 188 dolarla lider oldu.

Bununla birlikte, ortaya çıkan ortak bir tema, bir ihlalin yükünü önemli ölçüde azaltabilecek algılama ve azaltmada hızın önemidir. Ortalama Tespit Süresi (MTTI) ve Kontrol Etme Süresi (MTTC) sırasıyla 197 ve 69 günlük rekor seviyelere yükselse de, 30 günden daha kısa bir sürede bir ihlali kontrol altına alabilen kuruluşlar, daha uzun sürenlere kıyasla 1 milyon doların üzerinde tasarruf sağladı. Bunu bir perspektife oturtmak gerekirse, bir Olay Müdahale (IR) ekibiyle çalışmanın sağladığı ortalama maliyet tasarrufu, güvenliği ihlal edilen kayıt başına 14 ABD doları kadar yüksekti. Başka bir deyişle, hazırlıklı olmak öder.

Bu arada, Avrupa Birliği'nin Genel Veri Koruma Yönetmeliği (GDPR) ve Avustralya'nın Bildirilebilir Veri İhlali (NDB) gibi gizlilik düzenlemeleri, en yaygın ihlal türü olan kimlik hırsızlığı konusunda parlak bir ışık tutuyor. Gemalto'nun İhlal Düzeyi Endeksi, kimlik hırsızlığının 2018'in ilk yarısında meydana gelen Exactis ve Firebase gibi ihlallerin %65'ini temsil ettiğini bildiriyor. Geçmişte gördüğümüz gibi, siber suçlular kişisel bilgileri ele geçirdiklerinde, doğrudan Karanlık Web'de kimlik ayak izlerini satarak veya ödeme sahtekarlığı düzenleri düzenleyerek bu bilgileri paraya çevireceklerdir.

Kendinizi, müşterilerinizi ve çalışanlarınızı korumak için size eyleme geçirilebilir içgörüler sağlayarak, ID Agent Ekibi Amerika Birleşik Devletleri'ndeki küresel veri ihlalleri manzarasını keşfederken takip edin.

Amerika Birleşik Devletleri

ABD kuruluşları için kaybedilen iş maliyeti, bir sonraki ikinci ülkenin neredeyse iki katıdır.

Son manşetlere bir bakış, 2018'deki çoğu ABD veri ihlalini karakterize edebilir: haber değeri taşıyan ve pahalı. 7,91 milyon dolarla, Amerika Birleşik Devletleri'ndeki ortalama toplam maliyet, dünyadaki en yüksek maliyettir. Bu, büyük ölçüde ihlal sonrası yanıtlar, bildirim maliyetleri ve müşteri kaybı için yapılan organizasyonel harcamalara atfedilebilse de, aynı zamanda kültürel bir fenomeni de vurgulamaktadır.

Bildirim yasalarını çevreleyen mevcut Amerikan mevzuatı, son kullanıcının veri ihlalleri, şirketler tarafından kimlik koruması için daha yüksek beklentiler ve diğer seçeneklerin kullanılabilirliğinin neden olduğu kısa süreli sadakat konusunda daha fazla farkındalığa sahip olduğu bir domino etkisi yaratıyor. Bu anlayış, ABD kuruluşları için 4.2 milyon dolarlık kayıp iş maliyeti ile gösterilmektedir; bu, bir sonraki ikincinin neredeyse iki katıdır.

2018'deki ABD İhlallerinin Zaman Çizelgesi

17 Mart 2018 - Facebook profillerinden özel bilgilerin toplanmasından Cambridge Analytica'nın sorumlu olduğu ortaya çıktı.

Mart 2018 Sonu – Mart ayının sonlarında Under Armor, bir veri ihlalinin MyFitnessPal uygulamasının tahmini 150 milyon kullanıcısını etkilediğini duyurdu.

Mayıs 2018 – Twitter, bir aksaklığın verilerin hash (şifreli) yerine okunabilir biçimde (şifrelenmemiş) depolanmasına neden olduğunu bildirdikten sonra 330 milyondan fazla kullanıcıyı şifrelerini değiştirmeye çağırıyor.

Haziran 2018 Sonu - Haziran ayının sonlarında, bir güvenlik araştırmacısı, Exactis pazarlama firmasının veritabanının, 340 milyon kaydın açığa çıktığı, herkesin erişebileceği bir sunucuda saklandığını keşfetti.

Eylül 2018 - Facebook, 50 milyondan fazla kullanıcının hesaplarının güvenliğinin ihlal edildiğine dair bir başka büyük veri ihlali olduğunu kullanıcılara bildirdi. Bilgisayar korsanları, otomatik oturum açma kimlik bilgilerini çalmak için Temmuz 2017'den bu yana sosyal ağ kodunda bulunan bir güvenlik zayıflığından yararlandı.

Kasım 2018 - Marriott 30 Kasım'da 500 milyon kayıttan oluşan bu hack'in 2014'ten beri Marriott Starwood tesislerinde kalan konuklarla ilgili isimlerden, adreslerden, telefon numaralarından, pasaport numaralarından ödeme kartı numaralarına ve son kullanma tarihlerine kadar her şeyi içeren verileri sürekli olarak tehlikeye attığını açıkladı. .

Raporun geri kalanı Kanada, Avrupa, Avustralya ve Yeni Zelanda hakkında ayrıntılara giriyor ve okumaya değer. Raporun tamamını buradan okuyun.

2018'deki veri ihlallerini düşündüğümüzde, iyiyi kötüyle birlikte hesaba katmak önemli olacak.

Siber saldırıların maliyeti, boyutu ve etkisi artıyor olsa da, daha iyi siber güvenliğin temeli olarak hizmet edecek gelişmiş bir küresel farkındalık ve uyanıklık duygusu var.

En çok etkilenen ülkelerde gizlilik düzenlemelerinin şekillenmesiyle birlikte, tanımlama, üst düzeye çıkarma ve azaltmanın ileriye dönük birçok kuruluşun odak noktası olacağını tahmin edebiliriz.

Hepimizin daha önce duyduğu gibi, artık bir "eğer" sorusu değil, bir şirketin ihlali "ne zaman" olacak.

Kendimizi, çalışanlarımızı ve müşterilerimizi geleceğe hazırlamak için, tehditleri proaktif olarak tespit edebilen, tavizleri hızla içeren ve etkilenen tarafları harekete geçmeleri için güçlendiren çözümlere yatırım yapmak çok önemli hale gelecektir.

Her Şey Neyle İlgili?

İşinizi, kendinizi ve yaşam tarzınızı koruyorsunuz. Bu kadar!

Uyanık ve aktif olarak kendinizi savunmazsanız, yaşam tarzınız bir Veri İhlalinin yok edebileceği şeydir.

Kendinizi Nasıl Savunursunuz?

Dört strateji kullanarak proaktif olarak kendinizi savunun. Onlar:

3. Teknik uzmanlık

Kendi işinin sahibi olan kişisel arkadaşlarım da dahil olmak üzere konuştuğumuz bazı insanlar, işlerini doğal bir felakete veya elektronik bir felakete karşı korumak için tek ihtiyaçları olan bir yönlendirici ve birkaç yedekleme olduğuna inanıyor (Veri İhlalini okuyun). Hiçbir şey gerçeklerden daha uzak olamazdı.

Bilgisayar korsanlarının işlerindeki bilgisayarlarına sızmakla ilgilenmeleri için işlerinin çok küçük olduğuna inanıyorlar. Daha fazla yanılamazlardı. Unutmayın, bilgisayar korsanları sadece SİZİN işinizle ilgilenmez. Tüm müşterilerinizden de çıkarabilecekleri her şeyi umursuyorlar.

Bugün, Ekim 2019'da işletmenizi savunmak için birden fazla strateji kullanmanız gerekiyor. Bunu yapmazsanız, büyük olasılıkla, istatistiklerin yanlış tarafında olursunuz. Yani işletmeniz, bir veri ihlali sonrasında kapılarını kapatmak zorunda kalan küçük işletmelerden biri olarak tanınacak.

DTS InfoTech Yardımcı Olabilir

Veri İhlallerini önlemede ve çalışanlarınızı uyanık olmaları için eğitme konusunda iyiyiz. Cidden, öyleyiz.

Teknolojinin ne kadar göz korkutucu olabileceğini biliyoruz, tıpkı sizin gibi her şeyin teknolojisi hakkında soruları olan insanlara yardım ederek geçimimizi sağlıyoruz ve buna bir veri ihlalinin önlenmesi de dahildir.

Çoğu küçük işletme, tüm bu inek olaylarını anlamak için teknik kaynaklara veya zamana sahip değildir. Bu sizi tanımlarsa, yardımcı olabiliriz.

Bir veri ihlalini önleme hakkında daha fazla bilgi almak isterseniz bizi arayın, sohbet etmekten her zaman memnuniyet duyarız ve arama ücretsizdir!


Verilerinizi koruyun

Tartıştığımız gibi, ShareThis etkilenen kullanıcıları zaten devre dışı bıraktı. Bu kullanıcılar, Ocak 2017'den önce kaydolanları içerir.

Ancak, bir süredir ShareThis'e giriş yapmamış olsanız bile, kayıtsız kalmayın. Niye ya?

Diğer hesaplarınızda aynı e-postayı veya şifreleri kullanıyor olabilirsiniz. Bu nedenle, bilgisayar korsanları yine de erişim elde etmek için bunu kullanabilir.

Daha kötü olan ne? Bu bilgileri banka hesabınızda kullandıysanız, giriş yapabilirler!

Bu yüzden şifrelerinizi değiştirmenizi tavsiye ederiz. Ayrıca, mümkün olan en kısa sürede değiştirin. İhlallerin olmasını beklemeyin.

İşte bazı iyi şifre alışkanlıkları.

  1. Düzenli bir şifre değişikliği yapın. Ayrıca, ihlaller olduğunda bu önemlidir.
  2. Şifreleri tekrar kullanmayın. Bu nedenle, her web sitesi için farklı şifreler kullanmalısınız.
  3. Güçlü ve benzersiz şifreler oluşturun. Güçlü bir parola, büyük ve küçük harfleri içerir. Ayrıca, semboller gibi özel karakterler karmaşıklık katabilir. Numaraları da olmalıdır.

Ne yapabilirsin

Şirket izinsiz girişi duyurduğundan, bilgilerinizin ele geçirilip geçirilmediğini görmek için gidebileceğiniz özel bir web sitesi kurdu. Sitenin Kayıt sayfasına gidebilir, soyadınızı ve Sosyal Güvenlik numaranızın son altı hanesini girebilirsiniz. Equifax daha sonra kişisel bilgilerinizin gizliliğinin ihlal edilip edilmediğini size söyleyecektir.

Kaydolarak, kullanıcılar daha sonraki bir tarihte Equifax'a karşı bir toplu davaya katılma hakkından feragat edebilirler.

Ardından, ücretsiz bir Equifax TrustedID Premier yılına kaydolmak isteyip istemediğinize karar verebilirsiniz. TrustedID Premier, bilgilerinizin ele geçirilip geçirilmediğine bakılmaksızın, etkilenip etkilenmediğinizi kontrol ettikten sonra Equifax'ın sunduğu ücretsiz kimlik hırsızlığı koruması ve kredi dosyası izleme ürünüdür. Equifax, kayıt işleminin birkaç gün sürebileceğini ve bu nedenle benzersiz bir kayıt tarihi alacağınızı söylüyor. Kayıt döneminin 21 Kasım 2017'de sona erdiğini unutmayın.

Bir toplu davaya katılma hakkından olası feragat konusunda, Equifax, New York Eyaleti Başsavcısı Eric Schneiderman'ın bir sorusuna yanıt vererek, söz konusu tahkim şartının bilgisayar korsanlığı olayı için geçerli olmadığını söyledi:

Ofisimle yaptığımız görüşmelerden sonra @Equifax, tahkim konusundaki politikasını netleştirdi. Yakından incelemeye devam ediyoruz. pic.twitter.com/WcPZ9OqMcL

&mdash Eric Schneiderman (@AGSchneiderman) 8 Eylül 2017

Equifax, üç büyük bürodan ve Equifax, Experian ve TransUnion'dan kredi raporunuzun ücretsiz bir kopyasını almanızı tavsiye ediyor. Ayrıca Equifax, herhangi bir bilginizin çalındığını düşünüyorsanız, bir kolluk kuvvetiyle iletişime geçmeniz gerektiğini söylüyor.

Bilgilerinizin güvenliği ihlal edildiyse, kredi raporlarınızı dondurmayı da düşünebilirsiniz. MarketWatch'in bildirdiği gibi, raporlarınızın dondurulmasını talep etmek için Equifax, Experian ve TransUnion ile iletişime geçin ve bu, herhangi birinin yeni bir hesap açmasını engelleyecektir. Küçük bir ücretle gelir, ancak yakın veya uzun vadeli gelecekte herhangi bir sorundan kaçınmak için buna değer olabilir.

Equifax'ın ihlali açıklamasından kısa bir süre sonra, şirkete karşı bir toplu dava açıldı. Oregon, Portland'da yapılan şikayette kullanıcılar, Equifax'ın tüketici verilerini koruma konusunda ihmalkar davrandığını ve bunun yerine güvenlik önlemleri uygulamak yerine paradan tasarruf etmeyi seçtiğini söylüyor. Equifax dava hakkında yorum yapmadı.

Bu gönderi, ilk olarak, kullanıcıların Equifax'ın TrustedID Premier izleme hizmetine kaydolarak bazı yasal haklarından feragat edebileceklerini yansıtacak ve ardından Equifax'ın bu feragatin bilgisayar korsanlığı olayı için geçerli olmayacağını belirttiğini gösterecek şekilde değiştirilmiştir.


Bir Veri İhlalinden Sonra Kredinizi Nasıl İzlersiniz?

Kullandığınız bir hizmetten o korkunç e-postayı veya mektubu aldınız: Bir veri ihlali oldu ve bilgileriniz ele geçirilmiş olabilir.

Muhtemelen daha önce de başınıza gelmiştir çünkü veri ihlalleri sıklıkla meydana gelir. Bu bildirimler, en azından müşterilere şifrelerini değiştirme talimatı verme eğilimindedir, ancak ihlalin düzeyine ve hizmet tarafından tutulan bilgilerin hassasiyetine bağlı olarak, müşterilere banka hesaplarını izlemeleri söylenebilir veya ücretsiz kimlik hırsızlığı koruması alabilir.

Ezici ve uygunsuz görünebilir, ancak böyle bir senaryoda eylem planı oldukça basittir.

Şifreleri Yönet
İlk olarak, veri ihlalinin gerçek olduğundan emin olun. Sizden e-posta yoluyla kişisel bilgilerinizi doğrulamanız istenmemelidir, bu nedenle bir mesaj bunu istiyorsa yanıt vermeyin. Bir ihlalle ilgili haberler için hizmetin web sitesine bakın veya ayrıntılar için müşteri desteğine ulaşın.

Parolaları değiştirmek başka bir erken eylem olmalıdır, ancak şu önemli adımı gözden kaçırmayın: E-posta parolanızı değiştirin. Birisi e-postanıza bağlı bir hesabı tehlikeye attıysa, e-postanız bilgisayar korsanları için potansiyel bir hedef olabilir. Güvenli olmayan bir e-posta adresine yeni parola bildirimleri göndermek istemezsiniz, bu nedenle değiştirilmesi gereken ilk paroladır.

Veri ihlali yaşayan bir servisten bildirim almamış olsanız bile önlem olarak şifrenizi değiştirmelisiniz. Bir şirket saldırıya uğradığında, genellikle haberlerde olur, bu nedenle sizi etkileyebilecek bir şey duyarsanız proaktif olun.

Birden fazla hesap için bir şifre kullanmamanız gerekirken, insanlar genellikle kullanır. Güvenliği ihlal edilmiş olanla aynı parolayı kullanabilecek herhangi bir hesabı güncellediğinizden emin olun.

Paranızı İzleyin

Tüketiciler, finansal hedefler doğrultusunda ilerlemek ve sahtekarlığa işaret edebilecek düzensiz faaliyetlere dikkat etmek için banka hesaplarını, kredi raporlarını ve kredi puanlarını düzenli olarak gözden geçirmelidir.

Veri ihlali mağdurları için bu özellikle önemlidir. Birisi bilgileriniz var ve hırsızların bununla ne yapabilecekleri her zaman net değil. Yapmadığınız kredi kartı işlemlerini veya tanımadığınız bir şirketten gelen yazışmaları arayın - bunlar kimlik hırsızlığının işaretleri olabilir.

Tüketiciler, üç büyük kredi raporlama kuruluşundan ücretsiz yıllık kredi raporları alma hakkına sahiptir: Experian, Equifax ve TransUnion. Bu raporlar doğru kişisel bilgileri yansıtmalıdır, ancak yanlış bir şey varsa derhal itiraz edilmelidir. Ani değişiklikler için kredi puanlarını izlemek, dolandırıcılık faaliyetlerini ortaya çıkarmaya da yardımcı olacaktır ve tüketiciler bunu Credit.com'un ücretsiz aylık Kredi Rapor Kartı'na kaydolarak yapabilirler.

Birçok banka, müşterilerin belirli bir dolar tutarındaki işlemler için uyarılar oluşturmasına da izin verir; bu, yapmadıkları işlemleri tespit etmelerine yardımcı olabilir.

Neler Sunduklarını Görün

Bazı durumlarda, bilgilerinizi elinde tutan şirket, kendi ürünlerinde indirimler gibi bir veri ihlaline yanıt olarak hizmetler sunacaktır. Compromised companies often arrange for their customers to receive a yearlong credit monitoring or identity theft protection membership.

While you can monitor your credit on your own, using techniques described above, these services provide tools such as alerts, identity theft insurance, a support team, credit reports and credit scores for free or at a discount. The free, extra protection could be helpful if your information was compromised.

But the risk isn’t gone after a year, because once your information is stolen, there’s no knowing where it may be. This is why regular credit monitoring is important, though consumers can also pay for protection after a complimentary membership has expired.

Regardless of the method, individuals should always watch their personal information closely and know that risks after a data breach do not go away with time.


MGM Resorts Breach

MGM Resorts suffered a breach in the summer of 2019. The company did not publicly disclose the breach until 2020 when hackers started selling the data on a cybercrime marketplace. The company did not reveal the severity of the breach, but 10.6 million users’ information was put up for sale in February. By July of 2020, the number of affected users skyrocketed by 14 times to 142 million users.

The data disclosed included full names and addresses, as well as dates of birth and phone numbers. Hackers claimed to have obtained the information by breaching Night Lion Security, a third-party that offers increased cyber-security to businesses. Vinny Troia, the company’s founder, claims the hackers are just trying to ruin his company’s reputation.

The head of research for cyber intelligence firm KELA speculates that the breach could be even bigger. According to posts on Russian-speaking hacking forums, up to 200 million users may have had their data stolen.


CNET's best tech products of 2019

October

A show-stopping 4 billion social media profile records were exposed to the public on an unsecure Elasticsearch server, for a mind-blowing total of 1.2 billion unique people exposed originating from two data enrichment companies. That's one of the largest single-source exposures we've ever seen. Adobe left 7.5 million Creative Cloud customer records on an unsecure database. Meanwhile in the Motherland, over 20 million Russian citizen tax records were left sitting on an open database for anyone to see, showcasing information collected from 2009 to 2016.

November

In November's laundry list of leaks, hacks, breaches and exposures, a couple of tech employee incidents stand out. Facebook was back in the headlines after about 100 app developers were given inappropriate access to profile data. A previous breach came to light this month, detailing the account of a rogue employee at cybersecurity firm Trend Micro, who stole the personal data of about 70,000 of the firm's customers and later used it to scam customers.

December

Some 100 women who were the victims of an explicit photo leak are expecting a present on Christmas Eve when the offending leaker, a former Dutch politician, will stand for sentencing. Prosecutors have asked the judge to hand down at least three years of hard time after the disgraced Nederlander was found to have hacked the women's personal iCloud accounts with credentials found in earlier public database breaches.


Videoyu izle: สรปทกประเดน นรโทษกรรมวคซน เหมาเขง. workpointTODAY HASHTAG @NailName# (Ocak 2022).