数据泄露究竟发生了什么(以及您可以做些什么)

无论你从哪里获得新闻,你都无法避免似乎每周一次的关于最新数据泄露的报道。银行、商家、密码管理器、电信运营商和几乎任何其他公司都可能在保护敏感用户数据方面失败。然而,并不是所有的违规行为都是一样的,而且违规行为对你的影响可能会有很大的差异。

我们在这里帮助你了解什么是数据泄露,并提供一些技巧来保护你的个人生活免受数据泄露的最坏影响。

数据窃贼想要什么?

想象一下,一个犯罪团伙推着一辆装满贵重物品的保险箱的装甲车。他们似乎赚了一大笔钱,但实际上,他们不知道每个保险箱的主人是谁,他们不知道里面装的是什么,他们还需要数光年才能弄清楚这些组合。这与数据窃贼从密码管理器或类似公司获得加密数据保险库时发生的情况非常相似。如果实现得当,这样的金库只能由所有者打开,所有解密都在所有者的设备上本地进行。

面对神秘的保险箱或未知的加密数据块,窃贼可能会转移到更容易的目标。然而,即使是一点点额外的信息也可以使破解保险箱变得更容易。例如,在最近的LastPass入侵事件中,窃贼获得了保险库中密码的非加密版本的URL。这使得猜测主密码变得更容易,当然,一旦窃贼手中有了你的金库的个人副本,他们就可以花费任何时间试图破解它。

如果您的数据被盗,会发生什么情况?

在另一种类型的入侵中,窃贼获得了一家公司的客户名单,要么全部,要么部分。无论他们是闯进办公室拿起纸质清单,还是侵入在线数据库,结果都是一样的。在最好的情况下,他们只会得到不是很隐私的细节,比如你的名字、地址、电话号码和电子邮件。没错,他们可以把这些信息卖给数据聚合器和经纪人。他们可能会得到你的购买清单,也是经纪人感兴趣的。

可以想象,被盗的数据可能包括你的信用卡号码,但这并不像你想象的那么大的担忧。长期存在的支付卡行业数据安全标准(PCI-DSS)协议对信用卡交易的安全进行了极其详细的定义,只要企业遵守规则,它在大多数情况下都是有效的。无论如何,你不必为欺诈性的信用卡收费买单(至少在美国是这样)。请注意,在许多情况下,您的信用卡详细信息保存在第三方提供商那里,而不是您支付的商家那里。

在线商家和其他网站有责任保护您的帐户详细信息。许多人做得很好,保持所有数据的加密,并使用零知识技术,使他们能够在不知道或存储密码的情况下验证您的登录密码。但如果一个网站以不安全的方式存储你的密码,导致密码在被入侵时暴露,你就失去了对该账户的控制。根据网站的类型,黑客可以用你的名字下单、转账、发送电子邮件,甚至通过更改密码将你锁在门外。

在两个方面,情况变得更糟。首先,如果您没有时间寻求密码管理器的帮助,您可能会在多个站点上使用相同的密码。黑客知道这一点,并迅速检查被盗的凭据与其他受欢迎的网站。其次,如果他们访问了你的电子邮件账户,在大多数情况下,他们可以使用标准的密码重置机制来捕获更多的你的在线账户。泄露密码的入侵可能很快升级为全面的身份盗窃。

即使零知识身份验证没有得到完美的实现,它也会给试图破解安全漏洞的恶意分子制造严重的障碍。相反,当公司忽视这项技术时,结果可能是灾难性的。细节仍在浮出水面,但LastPass的兄弟公司Goto似乎也遭到了黑客攻击,丢失了包括加密备份在内的几个产品线的用户数据。公司的一份声明

据透露,“一名威胁分子泄露了部分加密备份的加密密钥。”没错。有了Zero Knowledge,公司永远不会存储或查看每个用户的唯一解密密码。但在这种情况下,单一密码似乎存储在加密数据附近,有点像在门上写保险箱的密码。

数据库是如何被黑客入侵的?

我让一个人工智能图像创建程序画出“一个黑客可以访问一个加密的数据库”。毫不奇怪,所有的结果都描绘了一个穿着连帽衫的人一边敲打着代码,一边检查无穷无尽的神秘字符。这种级别的黑客攻击确实会发生,但在现实生活中,侵入账户可能要简单得多。

诺顿密码管理器被攻破就是一个很好的例子。攻击者没有攻破诺顿的安全系统,也没有窃取加密数据。相反,他们使用来自其他失窃的用户名和密码来启动一个名为凭据填充的过程。这很简单。他们只是用一个脚本尝试了成千上万的用户名和密码组合,仔细地注意到少数几个可以访问某人的账户。最近的PayPal泄密事件还涉及凭据造假。

从LastPass窃取加密数据金库的团伙仍然逍遥法外,他们可以无休止地尝试猜测打开这些金库的主密码。在每个保险库中尝试数百个(或数千个)最常见的密码并不会花太长时间。如果这一努力只破解了一百个目标中的一个,那么窃贼就做得很好。

数据泄露后我能做些什么?

人们很容易将最新消息冒充为另一起无聊的数据泄露事件,但你真的应该注意一下。您是否与被入侵的实体有帐户或其他联系?这次入侵到底有多严重?有时,一篇新闻文章会详细说明这一点,可能只会说客户的电子邮件和物理地址被曝光(呼!)或者,这起泄密事件涉及特定的财务信息。在其他故事中,你看到的细节要少得多,要么是因为受影响的公司还不知道损失了什么,要么是因为他们不想承认。

有一件事你不能做,那就是等待被攻破的实体让你知道你是否受到了影响。像这样的黑客攻击既令人尴尬,又代价高昂,出于法律原因,受害公司对他们披露的信息非常谨慎。在某些情况下,一个好的律师可以将“对不起,我们丢失了你的数据”这样的声明转化为集体诉讼。在这种情况下,只要假设您的数据包括在入侵中即可。

如果您在被入侵的公司有帐户,请更改您的密码。现在!你是否确定自己接触了病毒并不重要。就这么做。不要成为六分之一的美国人中的一员,他们在入侵后什么都不做。使用由密码管理器生成的唯一强密码。

不要止步于此–在您的密码管理器中搜索您使用泄露密码的任何其他站点,并修复这些站点。这是一个时间紧迫的行动。数据窃贼不可能同时访问每个被盗的账户,所以通过快速行动,你可能会领先于他们。

当您打开受影响的一个或多个站点时,请检查是否可以选择多因素身份验证(MFA)。MFA是您对抗账户接管的最有力武器。启用它(如果可用)。现在,登录需要您的密码和另一个因素,如手机上的验证器应用程序或物理安全密钥。如果没有这个额外的因素,被盗的密码是没有用的。

即使你更改了密码,也要注意一段时间受影响的公司。登录并检查任何挂起的订单或操作是否为您所做的事情。看看该公司是否为受害者提供了任何形式的补偿。给你免费的信用跟踪订阅也不是不可能的。在2015年Experian入侵事件发生后,Experian为受害者提供了两年的信用监控和身份解析服务。

如果你的密码管理器保险库被盗了,那就是个坏消息。如果受影响的公司没有严格遵循零知识协议,或者如果你用一个蹩脚的或重复使用的主密码来保护你的密码,情况就会特别糟糕。更改密码并不能阻止窃贼尝试破解安全,因为被盗数据仍然使用旧密码打开。事后增加MFA也是如此。您唯一的真正办法是切换到更可靠的密码管理器,然后为每个安全站点快速设置新的、唯一的密码。

如何保护自己免受数据泄露的影响

如上所述,凭据填充攻击只使用一个脚本,该脚本可以自动快速检查多个帐户的最常见密码。如果你试图在没有帮助的情况下记住密码,很有可能你是从最糟糕的密码池中挑选出来的,或者在任何地方都使用相同的密码。这是个大问题。现在就找一个密码管理器,并开始使用它。选择一个非常强调安全的项目,特别是零知识安全。零知识意味着没有其他人可以打开你的金库,密码公司不能,心怀不满的员工也不能,甚至国家安全局也不能。

选择提供可操作的密码安全报告的密码管理器。如果你已经有了这样的工具,那就使用它吧。用强密码替换所有弱密码。当报告显示重复密码时,为每个站点生成一个新密码。不要拖延;你不知道下一个漏洞会发生在哪里。

你以前听过这句话,但我再说一遍。用一个长的、坚固的、令人难忘的密码保护你的密码宝库。然后添加多因素身份验证。如果你可以选择,使用智能手机应用程序或物理安全密钥进行身份验证比依赖于向你发送代码的类型更好。完成这些任务后,您最好返回并为每个支持MFA的帐户启用MFA。

购物网站和类似网站不能暴露他们没有的个人数据。是的,让网站保存你的送货和信用卡信息是很方便的,但当有选择的时候,拒绝这种便利。您可以随时使用密码管理器根据需要填写该数据。如果某个字段没有标记为必填字段,则将其留空。

除非你切断与数字世界的所有联系,否则你的个人信息会散布在网络上。一些保存你的宝贵数据的网站没有像他们应该的那样很好地保护它,这经常会导致入侵。你无法阻止这种情况的发生,但你可以通过遵循我们的建议来最大限度地减少你的风险敞口,并通过在入侵发生时注意并立即采取行动来最大限度地增加你恢复的机会。

– – END – –

– – 转载请声明来源:www.lanpanpan.com – –

编译:盼盼云笔记

广告

推荐阅读

文章:《跳过广告:如何跳过YouTube广告》缩略图

跳过广告:如何跳过YouTube广告

流媒体广告是不可避免的。对于那些拥有广告支持的自己最喜欢的流媒体服务的人来说,他们会打断我们对Netflix的狂欢,插播Hulu电视剧,扰乱YouTube的教程。但它们也带来了大笔收入–其中许多都回到了内容创作者的手中。 YouTube在全球拥有21亿月度活跃用户,在免费流媒体方面基本上是独一无二的,尽管一些服务试图与之竞争。这对创作者和观众来说都是很棒的–直到连续第四个广…

文章:《停止过度分享:如何让你的社交档案私密化》缩略图

停止过度分享:如何让你的社交档案私密化

在目前的社交媒体环境中,很容易过度分享。通过分析你选择在网上传播的信息,比以往任何时候都更多的人可以找到关于你生活的私密细节。 更令人担忧的是,在网上发布你的生活细节会带来安全方面的担忧。你的公共帖子会让你很容易成为广告商、诈骗者、垃圾邮件制造者、跟踪者和其他所有不受欢迎的人在网上的目标。继续阅读,了解为什么你应该将你的公共社交档案设置为私人的,以及如何在今天锁定它们。 如何锁定你的在线形象 在我…

文章:《你要接电话吗?如何找出是谁在给你打电话》缩略图

你要接电话吗?如何找出是谁在给你打电话

电话响了,这是一个你不认识的号码。或者,您的未接来电中显示了一个未知号码。你很好奇,但如果是电话推销员或骗子,你不会想要接电话或回电。除了玩机器人轮盘赌,这里有几种方法可以在你参与之前调查谁在打电话给你。 合法来电与诈骗来电:如何区分 你可能已经注意到,美国在诈骗电话方面存在问题。2021年,诈骗者从毫无戒备的受害者那里骗取了近300亿美元,很难看到这个问题很快就会消失。如果你接到一个电话,有几种…

文章:《电池板上的电池:你能把电子产品放在托运行李里吗?》缩略图

电池板上的电池:你能把电子产品放在托运行李里吗?

几个月前,我带着两个包登上了一趟航班:一个包里有我的狗,另一个包里装满了电子产品和电池。狗从我前面的座位下面钻了过去,装满电子产品的行李箱掉进了头顶上的行李箱。当我说它已满的时候,我指的是它有两台笔记本电脑,两部安卓手机,一部iPhone,两个健身追踪器,一个任天堂Switch Lite,一个电子书阅读器,一个迷你露营灯笼,一个苹果魔术鼠标,超耳式蓝牙耳机,入耳式蓝牙耳机,一个电动狗指甲刀,一个可…

文章:《如何将烦人的闹钟换成最喜欢的歌曲或艺人》缩略图

如何将烦人的闹钟换成最喜欢的歌曲或艺人

以音乐作为闹钟,用闹钟的音乐开始你的一天。一些人更喜欢鸟鸣般的悦耳音调,对着手机铃声刺耳的刺耳尖叫声发誓,或者倡导与阳光一起升起。但如果你更愿意被泰勒·斯威夫特、奥利维亚·罗德里戈或坏兔子从睡梦中唤醒,这里有一些如何将你的智能扬声器或智能手机连接到音乐流媒体服务,并告别刺耳的闹钟的方法。 如何在iPhone上听音乐醒来 打开时钟>闹铃>加号(+)>声音。或者,也可以点击现有的闹钟来更新曲调。在那里…

文章:《电脑没有反应吗?如果您的笔记本电脑死机了该怎么办》缩略图

电脑没有反应吗?如果您的笔记本电脑死机了该怎么办

您的计算机可能会面临许多问题。你的笔记本电脑可能充电困难,屏幕可能停止显示图片,或者可能完全无法打开。但感觉只有当你正在做最重要的任务时,你的电脑才会死机,不是吗? 如果您的计算机已经减慢到接近爬行的速度–或者完全变得没有反应–则可能存在许多问题。以下是如何从这个问题中恢复,并防止它在未来发生的方法。 1.等等:给它一分钟时间,让它赶上 如果你正在执行一项特别占用CPU的任…

文章:《通行证:它们是什么以及您为什么尽快需要它们》缩略图

通行证:它们是什么以及您为什么尽快需要它们

我受够了密码。不知何故,它们既很容易猜到,又很难记住,要让它们不落入罪犯手中是很难的。为了解决这个问题,快速身份在线(FIDO)联盟开发了密钥,这是一种无密码身份验证技术。Passkey消除了在网络各地的登录域中输入电子邮件地址或密码的需要,使犯罪分子更难窃取您的凭据和进入您的帐户。 密码有很多好处;例如,它们不能被猜中或分享。Passkey可以抵抗钓鱼尝试,因为它们是为其创建的站点所特有的,因此…

文章:《如何在没有有线电视的情况下观看每场NFL比赛》缩略图

如何在没有有线电视的情况下观看每场NFL比赛

观看足球比赛的方式比以往任何时候都多。你可以聚集朋友,围着电视观看一场传统转播的比赛,就像你的几代人一样,或者你也可以利用今天的视频流服务来在线方便。根据你所在的地区和订阅的服务,关注体育赛事可能会变得棘手(流媒体指南JustWatch具有体育搜索功能),但我们的NFL流媒体指南提供了追踪你最喜欢的球队所需的一切。 然而,当谈到体育直播时,最重要的是要知道比赛是在什么时候、在哪里举行的。NFL比赛…