15 кроків, які слід здійснити, якщо на вас постраждали порушення перших капіталів
За даними CNN, порушення капіталу один зачепило понад 105 мільйонів споживачів Північної Америки, які подали заявки на кредитні продукти "Капітал один" між 2005 та початком 2019 року.
Передбачуваний злочинець, інженер-програмний інженер у Сіетлі, ввірвався в системи Capital One через неправильно налаштований брандмауер. Вона отримала доступ до споживчих даних, включаючи контактні дані, кредитні бали, ліміти витрат, залишки на рахунках, інформацію про соціальне страхування та номери банківських рахунків. Потім вона нібито розмістила цю інформацію на GitHub і похвалилася подвигом у соціальних медіа та Slack, доклавши малого зусиль, щоб приховати свою особу. Зацікавлений користувач GitHub повідомив Capital One, який повідомив ФБР, і підозрюваного затримали протягом декількох днів.
Недбала злочинність злочинця, без сумніву, прискорила публічне розголошення цього порушення. Багато порушень даних залишаються непоміченими місяцями або роками, а винні особи, що не знаходяться в межах правоохоронних органів США, можуть ухилятися від правосуддя на невизначений термін.
Незалежно від обставин, якщо ви потенційна жертва порушення корпоративних даних, вам слід діяти швидко. Викрадена особиста інформація може використовуватися в крадіжках особистих даних, що може бути напрочуд важко виявити, особливо для літніх, неповнолітніх дітей та дорослих людей з обмеженим контролем над своїми особистими даними та фінансами.
Якщо ваші дані є частиною корпоративного порушення, ви не обов'язково можете стати жертвою крадіжки особистих даних. Але це значно збільшує ваші шанси, особливо якщо ви не вживаєте рішучих дій незабаром після того, як дізнаєтесь про порушення.
Що робити, коли ви є учасником порушення даних (або підозрюєте, що ви є)
Якщо у вас є підстави вважати, що ваші дані були причетні до порушення корпоративних даних, таких як Capital One's, ось що ви можете зробити, щоб зменшити ризик.
1. Визначте, чи дійсно ви постраждали
Іноді постраждала організація встановлює спеціальний веб-сайт або гарячу лінію для представників громадськості, щоб перевірити їх статус. Оголосивши про порушення у 2017 році, Equifax зробив і те, і інше. Ви все ще можете використовувати його веб-сайт для перевірки експозиції.
В інший час постраждала організація безпосередньо повідомляє жертв. За інформацією CNBC, Capital One пообіцяв сповіщати жертв по декількох каналах, імовірно, включаючи електронні листи та захищені внутрішні повідомлення облікового запису.
Ви також можете використовувати загальновідомі загальновідомі часові шкали та географію порушення для визначення експозиції. Наприклад, порушення капіталу один включило дані майже всіх, хто звернувся за кредитом між 2005 та початком 2019 року. Ви, мабуть, знаєте, що це означає для вас.
2. Визначте обсяг компромісу
Це може бути складніше, ніж визначення експозиції. Наприклад, дані, викрадені в результаті порушення капіталу один, поділяються на три основні групи:
- Дані, як правило, включаються в додатки для отримання кредитних карток, наприклад, імена, дати народження, домашні адреси та дохід, про який повідомляється
- Дані соціального страхування - Номери соціального страхування від американських клієнтів та номери соціального страхування від канадських клієнтів.
- Дані кредитної картки, включаючи історію платежів, кредитні ліміти, кредитні бали та залишки на рахунку, але, мабуть, не самі номери кредитних карт
Передбачуваний злочинець отримав доступ до даних заявки на кредитну карту практично від усіх споживачів, постраждалих від порушення. Вона отримала доступ до інформації про соціальне страхування від меншої кількості потерпілих - близько 1 мільйона, переважно канадських - і змогла отримати лише фрагментарні дані про трансакції за 23 дні 2016, 2017 та 2018 років.
Іншими словами, якщо ви подали заявку на кредитний продукт «Капітал один» між 2005 та початком 2019 року, ви можете припустити, що дані вашої заявки були порушені. Але якщо у вас не було активної кредитної картки Capital One з 2016 по 2018 рік, дані вашої транзакції, ймовірно, безпечні.
Щоб точно знати, зверніться до постраждалої організації за допомогою затверджених каналів, таких як веб-сайт щодо пошуку порушень Equifax. Хоча ви завжди можете зателефонувати на звичайну гарячу лінію обслуговування клієнтів організації або скористатись її функцією онлайн-чату, так це може зробити хто інший. І після серйозних порушень навіть великі групи підтримки великих організацій будуть переповнені запитами.
Крім того, зачекайте, коли постраждала організація зв’яжеться з вами безпосередньо під час роботи в решті цього списку. Не інтерпретуйте постійну тишу, щоб означати, що ви в чистоті; організації може знадобитися певний час, щоб точно визначити, хто постраждав і як.
3. Зверніть увагу на офіційні повідомлення з боку компромісної організації
Якщо компрометована організація зобов’язується повідомити клієнтів, які постраждали від порушення, точно дізнайтеся, як і коли вони це робитимуть. Оскільки вона менш вразлива для компромісів, ніж електронна пошта, і менш схильна до зловживань, ніж телефонні дзвінки, пошта равликів залишається популярним засобом сповіщення про порушення. Фінансові установи також можуть використовувати захищені внутрішні повідомлення рахунків для сповіщення клієнтів.
Не довіряйте посередникам, якщо компромісна компанія не каже, що це добре. Не розмовляйте з тим, хто намагається зв’язатися з вами за межами затвердженого способу розголошення. Якщо організація обіцяє повідомити потерпілих по пошті равликом, а хтось дзвонить вам, заявляючи, що представляєте їх, припустіть, що це афера і повісьте.
Якщо і коли ви отримуєте офіційні повідомлення від постраждалої організації, зверніть пильну увагу на них та дійте за будь-якими отриманими вами інструкціями. Наприклад, після порушення, яке компрометує дані платіжних карток, фінансові установи зазвичай випускають картки з новими номерами. Слідкуйте за своїм поштою та негайно активуйте його.
Офіційні вказівки від компрометованої організації можуть збігатися з деякими або всіма пунктами дій у цьому списку - тим більше підстав сприймати їх серйозно.
4. Змініть паролі для будь-якого облікового запису
Змініть пароль для будь-якого цифрового облікового запису, який ви знаєте або підозрюєте, що порушено порушення. Якщо ви використовуєте той же компрометований пароль в інших облікових записах, на які порушення не постраждали, змініть паролі і на цих. Рухаючись вперед, уникайте повторного використання паролів, використовуйте захищений менеджер зберігання паролів, як-от 1загальне слово, і скористайтеся можливістю переглянути ці поради щодо захисту вашої особистої інформації в Інтернеті.
5. Установіть сповіщення про активність
Якщо ви знаєте чи підозрюєте, що порушення порушило вашу фінансову інформацію, таку як платіжна картка чи номери банківських рахунків, встановіть сповіщення про активність цих облікових записів для контролю за несанкціонованим використанням. Як мінімум, ці сповіщення повинні охоплювати спроби зняття коштів та транзакцій у місцях продажу, а також спроби доступу до ваших облікових записів онлайн.
Майте на увазі, що хакерам не потрібно вриватися в мейнфрейм вашого банку, щоб отримати інформацію про вашу платіжну картку. Більше 100 мільйонів покупців Target втратили інформацію про платіжні картки внаслідок порушення даних роздрібної торгівлі за 2013 рік, наприклад - порушення, яке не вплинуло безпосередньо на жодні фінансові установи.
6. Попросіть нові номери платіжних карток
Компанії, що надають фінансові послуги, зазвичай розповсюджують свіжі платіжні картки, коли їх клієнти порушені порушеннями. Але якщо дані вашої картки причетні до сторонніх порушень, таких як цільовий інцидент, можливо, вам доведеться проявляти активність.
Зателефонуйте за номером на звороті картки та скажіть представнику, чи вважаєте ви, що ваш рахунок порушений. Можливо, вам потрібно буде пояснити сценарій і відповісти на деякі запитання, наприклад, "Чи картка коли-небудь була у вас у власності?" Будьте правдиві, але не переосмислюйте. Ваш банк чи емітент картки не хочуть опинитися на гачку несанкціонованих транзакцій, тому, ймовірно, ви можете скасувати та повторно видати вашу картку з обмеженою віддачею. У більшості випадків вам доведеться почекати, щоб скористатися новим номером, поки фізична картка не надійде до пошти.
7. Зареєструйтесь у службі безоплатного контролю за кредитами або захистом крадіжок особи
Це стандартна практика для організацій, які постраждали від порушення даних, щоб пропонувати клієнтам безкоштовне обмежене відвідування послуг з моніторингу кредитів чи захисту крадіжок особи. Періоди зарахування, як правило, тривають не менше одного року, без зобов’язання повторного зарахування за цінами передплати. Деякі тривають довше; Компанія Equifax запропонувала клієнтам, які постраждали від її порушення в 2017 році, до 10 років безкоштовного моніторингу кредитів.
Оскільки зарахування на ці послуги безкоштовне, і ви не зобов’язані платити, коли закінчується вільний період, мало шансів взяти організацію на її пропозицію. Це найменше, що вони можуть зробити.
8. Повідомлення про шахрайство
Повідомте про шахрайство з кожним із трьох основних бюро кредитної звітності: Experian, Equifax та TransUnion. За законом, бюро кредитної звітності повинно зв’язатися з двома іншими, коли воно отримає запит на попередження про шахрайство, тому технічно вам потрібно лише подати попередження в одне бюро, щоб забезпечити захист усіх трьох. Якщо ви не довіряєте цьому процесу, ви можете зв’язатися з кожним бюро окремо.
Поки ваше попередження про шахрайство залишається в силі, потенційні кредитори повинні підтвердити вашу особу перед відкриттям нових кредитних ліній на ваше ім’я. Коли хтось отримає ваш кредит або спробує відкрити нову кредитну лінію від вашого імені, ви автоматично отримаєте сповіщення. Це набагато складніше злодіям, що посвідчують особу, експлуатувати ваш хороший кредит та стягнути заборгованість без вашого відома.
Повідомлення про шахрайство вільно встановлювати та підтримувати. Вони тривають один рік, і ви можете їх поновити в кінці кожного терміну.
9. Заявляйте свої безкоштовні кредитні звіти
Це все-таки слід зробити, незалежно від того, чи ви причетні до порушення даних. За законом ви маєте право на один безкоштовний кредитний звіт на рік від кожного з трьох основних бюро кредитних звітів. Ви можете отримати своє на AnnualCreditReport.com. Подумайте про те, щоб витягнути один звіт на квартал для моніторингу вашого кредиту протягом року, а не тягнути всі три звіти відразу.
Скануйте свій звіт на предмет раптових чи незрозумілих зниження кредитної оцінки та інших доказів можливої крадіжки особи, наприклад, появи нової кредитної лінії, яку ви не відкрили.
10. Розглянути питання про реєстрацію для постійного моніторингу чи захисту
Після повного використання будь-якого безкоштовного членства або судового розгляду, запропонованого компрометованою організацією, зважте плюси і мінуси оплати за постійний моніторинг кредиту або захист крадіжок особи.
Якщо ви просто хочете вести вкладки на свій кредитний рахунок, надайте безкоштовну послугу моніторингу кредитів, наприклад Кредитний кунжут може бути все, що вам потрібно. Для більш надійної, всебічної захисту від крадіжок особистості врахуйте платну послугу, таку як IdentityGuard, що надається з функцій, які безкоштовні послуги не пропонують, такі як детальні звіти про управління ризиками, інструменти для безпечного перегляду веб-сторінок та темне сканування веб-сторінок..
11. Подумайте про використання темної послуги веб-сканування
Є хороший шанс, що ваша інформація десь у темній павутині. Питання в тому, що з цим робиться?
Хоча темне сканування в Інтернеті не є всеосяжним, воно може виявити, чи потрапив хтось із ваших особистих даних у чужі руки чи загрожує це зробити. Вам не доведеться платити за ці знання; Наприклад, Experian пропонує безкоштовне одноразове темне сканування веб-сторінок. Деякі експерти ставлять під сумнів вартість темного сканування в Інтернеті, але це майже напевно краще, ніж нічого, особливо, коли за це не потрібно платити.
12. Негайно повідомляйте про підозрілу активність облікового запису
Пам’ятайте: це не саме порушення даних, про яке ви повинні турбуватися; це те, що відбувається далі. Дуже часто це ряд узгоджених зусиль, щоб викрасти вашу особу. Наприклад, кіберзлочинці, які потрапили в руки електронних адрес клієнтів, можуть уособлювати компрометовану організацію у складних фішингових електронних листах із запитом номерів рахунків або облікових даних для входу. Або вони можуть надсилати вам шкідливі посилання, які заражають ваш комп’ютер шкідливим програмним забезпеченням.
Повідомте про будь-які спроби подальшого компрометації ваших даних або фінансів зачепленій організації. Компанії іноді встановлюють спеціальні канали звітності про зловживання після великих порушень. Capital One негайно створив електронну адресу [email protected].
Тим самим, якщо ви виявите будь-яку підозрілу активність через службу моніторингу кредитування, у своєму кредитному звіті, у повідомленні про шахрайство в шахрайському бюро або переглянувши виписку вашої кредитної картки, негайно повідомте про це своєму банку або емітенту кредитної картки. Якщо підозріла діяльність пов'язана з кредитною карткою, емітент повинен негайно скасувати та повторно випустити картку.
Банки та кредитні спілки зазвичай мають політику шахрайства з нульовою відповідальністю, яка скасовує або відшкодовує несанкціоновані дебетові операції. Але ви, можливо, будете зачеплені за частину зборів - до 500 доларів - якщо ви будете чекати більше двох робочих днів, щоб повідомити свій банк. Бюро захисту фінансових прав споживачів має більш детальний опис ваших прав відповідно до закону.
Щоб було зрозуміло, вам не доведеться чекати новин про порушення даних, щоб повідомити про підозрілу активність у своїх облікових записах. Несанкціоноване стягнення рахунків, ескізні повідомлення від людей, які можуть бути або не пов’язані з вашою фінансовою установою, та інші можливі випадки шахрайської діяльності завжди вимагають звітування. Але ви повинні бути особливо пильними після виявленого порушення даних.
13. Заморожте свій кредитний звіт
Якщо ви не плануєте скоро подавати заявку на кредит, розгляньте можливість заморозити кредит у кожному з трьох головних бюро кредитних звітів. Як і сповіщення про шахрайство, кредитні заморозки можуть безкоштовно застосовуватися та зніматись. Однак бюро не повинні повідомляти один одного про заморожування, тому вам потрібно буде зв’язатися з кожним безпосередньо.
Поки ваш кредит заморожений, кредитори не можуть витягнути ваш кредитний звіт. Це означає, що ви не можете відкрити нові рахунки на кредитних картках, подати заявку на іпотеку або взяти особисту позику - і жодні особи не зможуть злодіїв..
Федеральна комісія з торгівлі має більше інформації про те, як працює заморожування кредитів та чим вони відрізняються від кредитних блокувань, які можуть нести щомісячну плату.
14. Слідкуйте за ознаками того, що ваша особистість була вкрадена
Ризик крадіжки особистості різко зростає після порушення даних. Згідно з IdentityGuard, майже кожен п'ятий постраждалий від порушення даних згодом зазнав крадіжки особистих даних.
Навчіться визначати можливі ознаки крадіжки особи, наприклад:
- Рахунки за послуги, які ви ніколи не просили
- Відмову від оплати або сплату більше за медичне страхування через умови, яких у вас немає
- Відхилені страхові вимоги через нещодавні претензії, які ви не пред'являли
- Більше не отримували важливих рахунків
- Несподівані сповіщення про зміну адреси від кредиторів або одержувачів
- Несподівані зняття з банківського рахунку або стягнення з кредитної картки
- Повідомлення IRS про те, що протягом останнього податкового року на ваше ім’я було подано більше однієї податкової декларації
- Двофакторні сповіщення про автентифікацію (наприклад, числові коди, надіслані SMS), які ви не запитували
- Кредитні заяви відхилені через поганий кредит
Якщо ви помітили будь-який із цих ознак, ось що робити, якщо ви підозрюєте, що ви є жертвою крадіжки особи.
15. Заявляйте про свою частку будь-якої угоди про порушення
Умови врегулювання порушення Equifax вимагали від бюро надати до 10 років безкоштовний моніторинг кредитів або 125 доларів готівкою клієнтам із наявним покриттям кредитного моніторингу. Цього може бути недостатньо, щоб когось розбагатіти, але все-таки приємний жест.
Якщо порушення даних призведе до судового позову про позовні дії, ви можете мати право на відшкодування збитків у складі цього класу. Члени класу, які мають право на участь, часто, але не завжди, отримують офіційне повідомлення про свою придатність. Тих, хто приєднається до позову, пов'язані умови можливого врегулювання, а ті, хто відмовляється, можуть скористатися іншими правовими засобами. Якщо ви вважаєте, що можете потрапити в клас, для якого ви не отримали офіційного повідомлення, перевірте недорогий сторонній ресурс, такий як Consumer Action.
Заключне слово
У циклі новин, прискореному соціальними медіа та наштовхуючими сповіщеннями, бути в курсі поточних подій є надзвичайно важливим завданням. Але деякі чудові історії, що перетинають ваш віртуальний стіл сьогодні, можуть завтра вплинути на ваші особисті фінанси чи самопочуття.
Варто кілька хвилин вашого часу звернути увагу на повідомлення про серйозне порушення даних. Якщо ви мали будь-яку асоціацію з компрометованою організацією, як би то не було, це дуже ймовірно, що ви постраждаєте.
Якщо це так, вживайте заходів для зменшення шкоди. Підвищення ефективного реагування на порушення корпоративних даних - це здебільшого питання ретельності та пильності, і варто мати час, щоб забезпечити захист вашої інформації..
Ви коли-небудь брали участь у порушенні даних? Як ви відреагували?