kobieta trzymająca smartfona

Większość uczestników ostatniego badania nie miała pojęcia, że ​​ich adresy e-mail i inne dane osobowe zostały naruszone w przypadku średnio pięciu naruszeń danych.

Minęło dziewięć lat od wycieku danych na LinkedIn, osiem lat odkąd klienci Adobe padli ofiarami cyberataków, a cztery lata odkąd Equifax trafił na nagłówki gazet w związku z ujawnieniem prywatnych informacji milionów ludzi.

Naukowcy z University of Michigan School of Information pokazali 413 osobom fakty od maksymalnie trzech naruszenia które obejmowały ich własne dane osobowe. Badacze odkryli, że ludzie nie byli świadomi 74% naruszeń.

„To niepokojące. Jeśli ludzie nie wiedzą, że ich informacje zostały ujawnione podczas naruszenia, nie mogą się odpowiednio zabezpieczyć przed skutkami naruszenia, np. zwiększonym ryzykiem kradzieży tożsamości”, mówi doktorant Yixin Zou.

Jak podano w referat konferencyjny, naukowcy odkryli również, że większość naruszonych osób obwinia za zdarzenia swoje osobiste zachowania — używając tego samego hasła na wielu kontach; utrzymywanie tego samego e-maila przez długi czas; i zakładanie kont „szkicowych” — tylko 14% przypisuje problem czynnikom zewnętrznym.


wewnętrzna grafika subskrypcji


„Chociaż na konsumentów spoczywa pewna odpowiedzialność za być ostrożnym Jeśli chodzi o to, komu udostępniają swoje dane osobowe, wina za naruszenia prawie zawsze leży w niewystarczających praktykach bezpieczeństwa stosowanych przez firmę, której dotyczy naruszenie, a nie przez ofiary naruszenia – mówi Adam Aviv, profesor informatyki na George Washington University.

Połączenia Zostałem Pwned baza danych wykorzystana w tym badaniu zawiera prawie 500 włamań online i 10 milionów zhakowanych kont w ciągu ostatniej dekady. Według Identity Theft Resource Center ogólna liczba naruszeń danych dotykających Amerykanów jest jeszcze wyższa, zgłaszając ponad 1,108 naruszeń w samych tylko Stanach Zjednoczonych w 2020 roku.

Wcześniejsze badania dotyczyły ogólnych obaw i reakcji na naruszenia danych lub opierały się na danych zgłoszonych przez samych użytkowników w celu ustalenia, w jaki sposób konkretny incydent wpłynął na ludzi. W tym badaniu wykorzystano publiczne rejestry w zbiorze danych Have I Been Pwned dotyczące tego, kto został dotknięty naruszeniami. Zespół badawczy zebrał 792 odpowiedzi obejmujące 189 unikalnych naruszeń i 66 różnych ujawnionych typów danych. Spośród 431 zapytanych adresów e-mail uczestników 73% uczestników zostało narażonych na jedno lub więcej naruszeń, z największą liczbą 20.

Spośród wszystkich informacji, które zostały naruszone, adresy e-mail zostały naruszone najczęściej, a następnie hasła, nazwy użytkowników, adresy IP i daty urodzenia.

Większość uczestników wyrażała umiarkowane zaniepokojenie, a najbardziej martwiła się o wyciek adresów fizycznych, haseł i numerów telefonów. W odpowiedzi na zhakowane konta zgłosili podjęcie działań lub zamiar zmiany hasła w przypadku 50% naruszeń.

„Możliwe, że niektóre z naruszonych usług uznano za „nieistotne”, ponieważ naruszone konto nie zawierało poufnych informacji. Jednak niski poziom obaw o naruszenie może być również wyjaśniony przez osoby, które nie w pełni rozważają lub nie są świadome tego, w jaki sposób ujawnione dane osobowe mogą być potencjalnie niewłaściwie wykorzystane i wyrządzić im krzywdę” – mówi Peter Mayer, badacz z tytułem doktora w Karlsruhe Institute of Technology.

Zagrożenia sięgają od upychania poświadczeń — lub używania ujawnionego adresu e-mail i hasła w celu uzyskania dostępu do innych kont ofiary — po kradzież tożsamości i oszustwa.

Większość naruszeń nigdy nie pojawiła się w wiadomościach i często obejmowały niewielkie lub żadne powiadomienie osób dotkniętych problemem.

„Dzisiejsze wymagania dotyczące powiadamiania o naruszeniu danych są niewystarczające” — mówi Zou. „Albo ludzie nie są powiadamiani przez firmy, które zostały naruszone, albo powiadomienia są tak źle przygotowane, że ludzie mogą otrzymać powiadomienie e-mail lub list, ale je zignorują. W poprzedniej pracy, przeanalizowaliśmy listy z powiadomieniem o naruszeniu danych wysyłane do konsumentów i stwierdziliśmy, że często wymagają one zaawansowanych umiejętności czytania i niejasnego ryzyka”.

Na koniec badania naukowcy pokazali uczestnikom pełną listę naruszeń, które ich dotyczą, oraz dostarczyli informacje dotyczące podjęcia kroków zabezpieczających przed potencjalnymi zagrożeniami związanymi z naruszeniami danych.

Jak uniknąć naruszeń danych

Gdy Twoje dane zostały skradzione: 

  • Sprawdź, czy konta były częścią naruszenia, korzystając z bezpłatnych usług, takich jak https://haveibeenpwned.com/ or https://monitor.firefox.com/.
  • Przeczytaj uważnie powiadomienia o naruszeniu.
  • Strony internetowe takie jak FTC https://identitytheft.gov/ może pomóc w stworzeniu planu odzyskiwania po kradzieży tożsamości.
  • Pamiętaj, aby zmienić hasło do złamanego konta i wszystkich innych, dla których użyto tego samego hasła. Zrobienie tego raz powinno wystarczyć, chyba że nastąpi nowe naruszenie.
  • Zarejestruj się w oferowanych usługach monitorowania tożsamości. Choć nie są doskonałe, są lepsze niż nic.
  • Jeśli doznasz rzeczywistej szkody w wyniku naruszenia, możesz być również uprawniony do dalszego wsparcia.

Aby zapobiec przyszłym naruszeniom danych: 

  • Użyj unikalnego hasła dla każdego konta online. Nikt nie pamięta ich dziesiątek, więc najlepiej jest używać menedżera haseł do przechowywania i tworzenia silnych haseł.
  • W miarę możliwości używaj uwierzytelniania dwuskładnikowego, które wymaga podania kodu przez telefon oraz nazwy użytkownika i hasła w celu uzyskania dostępu do konta.
  • Zamroź raporty kredytowe w trzech głównych biurach (Equifax, Experian i TransUnion), aby utrudnić złodziejom tożsamości powodowanie szkód finansowych. Widzieć tutaj.
  • Rozważ skorzystanie z usług takich jak Zaloguj się za pomocą Apple  aby zachować prywatność adresu e-mail podczas tworzenia nowych kont (usługodawca widzi tylko adres e-mail utworzony specjalnie dla tego konta).

„Wyniki tego badania dodatkowo podkreślają niepowodzenia i niedociągnięcia obecnych przepisów dotyczących powiadamiania o naruszeniu danych i bezpieczeństwa” – mówi Florian Schaub, adiunkt na Uniwersytecie Michigan.

„W naszej pracy ciągle odkrywamy, że ważne przepisy i regulacje, które mają na celu ochronę konsumentów, stają się w praktyce nieskuteczne z powodu słabych wysiłków komunikacyjnych podejmowanych przez firmy, których to dotyczy, które muszą być bardziej odpowiedzialne za zabezpieczenie danych klientów”.

Naukowcy wskazują na europejskie ogólne rozporządzenie o ochronie danych, które przewiduje wysokie kary dla firm, które nie chronią konsumentów, jako sposób na rozwiązanie problemu. Prawo skłoniło firmy na całym świecie do zmiany swoich programów ochrony prywatności i zabezpieczeń.

Źródło: University of Michigan

 

O autorze

Laurel Thomas-Michigan

Ten artykuł pierwotnie ukazał się w Futurity