Securitywatch: Sorgen Sie dafür, dass Unternehmen und nicht Kunden unter Datenschutzverletzungen leiden max eddy

Am 29. März gab Earl Enterprises bekannt, dass Besuchern der Restaurantkette möglicherweise ihre Kreditkarteninformationen gestohlen wurden. Wie immer, wenn so etwas passiert, wurde ich gebeten, den Verbrauchern einige Ratschläge zu geben, was sie tun können, um sich selbst zu schützen. Es ist ein abgenutztes Thema aus Jahren ähnlicher Geschichten, aber dieses Mal fühlte es sich anders an. Dies liegt zum Teil an der Einzigartigkeit des Angriffs, aber auch daran, dass unsere Praxis, die Verantwortung für die Beseitigung der Unreinheiten bei den Verbrauchern zu übernehmen, nicht funktioniert. Es ist an der Zeit, den Unternehmen, die eine Kompromittierung der Daten zugelassen haben, die Verantwortung zu übertragen, wo sie hingehören.

In die Bresche

Wenn Sie in einem bestimmten Buca di Beppo, Chicken Guy !, Earl of Sandwich, Mixology, Planet Hollywood oder Tequila Taqueria gegessen haben, wurden möglicherweise Ihre Kredit- oder Debitkarteninformationen gestohlen. Laut Earl Enterprises hätte dies fast alles beinhalten können, was für die Begehung von Betrug erforderlich ist: Kartennummer, Ablaufdatum und einige Namen der Karteninhaber. Die Zahl der Betroffenen wird mit rund 2 Millionen angegeben.

Eine interessante Tatsache über diesen bestimmten Verstoß ist, dass es kein Verstoß an sich war . Stattdessen gelang es Hackern, über Fernzugriff auf Point-of-Sale- oder POS-Maschinen (ja, das ist das eigentliche Akronym) in verschiedenen Restaurants zuzugreifen und Malware zu installieren, mit der Kundendaten gelöscht wurden. Diese Informationen wurden zusammengefasst und auf Schwarzmarkt-Websites verkauft.

Was können Sie tun, um auf Nummer sicher zu gehen?

Abgesehen von der Malware auf den POS-Rechnern ist die Verletzung / der Angriff durch Earl Enterprises ziemlich typisch. Wie ist der Rat, den ich geben würde, was Verbraucher (das sind Sie) tun können, um sicher zu bleiben.

Erstens, sage ich normalerweise, benutze ich eine Kreditkarte und keine Debitkarte. Kreditkartentransaktionen können leicht rückgängig gemacht werden, und Kreditkartenunternehmen können Betrug sehr gut aufspüren, bevor Sie dies tun. Wichtig ist, dass Sie nicht für betrügerische Kreditkartengebühren verantwortlich sind. Die Verwendung einer Debitkarte ist im Wesentlichen eine Barzahlung. Diese können erstattet werden, aber manchmal dauert es länger und im schlimmsten Fall kann es zu Streitigkeiten mit der Bank oder der FDIC kommen.

Sobald dies nicht mehr möglich ist, gehe ich auf die Probleme mit Magstripe-Transaktionen ein. Magstripes sind dumm einfach. Sie können einen USB-Magnetstreifenleser anschließen, eine Karte ausführen und der Computer gibt die Informationen in eine Textdatei für Sie ein. Eine Chipkarte (EMV-Karte) verwendet einen anderen Prozess, der weitaus sicherer und schwerer abzufangen ist.

Das führt zu einer natürlichen Diskussion darüber, wie diese Informationen in der Regel mit kleinen Geräten, den sogenannten Skimmern oder Schimmern, gestohlen werden. Ich habe eine ganze Geschichte darüber, wie man sie entdeckt, also kann man sie einfach lesen. Das Wesentliche ist, dass es eine gute Idee ist, POS-Geräte vor der Verwendung zu inspizieren, in jedem Kontext, in dem Sie darauf stoßen, insbesondere aber an Zapfsäulen und Geldautomaten im Freien. Sparte dir einen Klick (aber klicke trotzdem, es hilft mir, bezahlt zu werden).

Danach beschäftige ich mich mit High-Tech-Lösungen für den Zahlungsverkehr. Android Pay, Apple Pay und Samsung Pay verwenden ein Tokenisierungssystem, das niemals Ihre tatsächlichen Kreditkarteninformationen preisgibt. Es mag weniger sicher erscheinen, sie zu verwenden, da die Informationen drahtlos übertragen werden, aber sie sind tatsächlich sehr gut.

Dann gehe ich manchmal etwas genauer darauf ein, wie Sie mit Abine Blur Prepaid-Kreditkarten und falsche E-Mail-Adressen im laufenden Betrieb erstellen können. Vielleicht erwähne ich, dass Bargeld und Prepaid-Kreditkarten die sichersten und datenschutzbewusstesten Geschäftsmethoden sind. Ich werde Identitätsdiebstahl-Schutzdienste definitiv nicht befürworten, da ich nicht sicher bin, ob sie tatsächlich funktionieren, und ich werde nicht zu viel über die Kreditüberwachung sagen, da ich nicht der Meinung bin, dass Sie für Ihre eigenen Finanzinformationen, die erstellt werden, bezahlen müssen ohne deine Zustimmung.

Ich befürworte Bitcoin nie, weil ich diese Typen ernsthaft vermassle.

Es spielt keine Rolle, wie vorsichtig Sie sind

Wir schreiben diese Art von Geschichten die ganze Zeit bei PCMag und sie sind nützlich, um die kleinen Dinge zu veranschaulichen, die das Leben der Menschen verändern können. Die Menschen sollten klügere Zahlungsmethoden kennen und die Verwendung von Passwort-Managern und 2FAs kennen oder zumindest wissen, was diese Dinge sind, damit sie fundierte Entscheidungen in ihrem Leben treffen können. Aber der Verstoß gegen Earl Enterprises hat mich wirklich beeindruckt, denn es gibt so gut wie nichts, was Kunden hätten tun können, um sich wirklich zu schützen.

Bei dem Angriff von Earl Enterprises hatten die Bösewichte Fernzugriff auf die POS-Maschinen. Das bedeutet, dass ein Kunde, unabhängig davon, wie oft er die Kartenleser untersucht hat, keinen verräterischen Abschäumer finden würde, da sich die Bedrohung in der Maschine befand. Darüber hinaus haben Kunden in US-Restaurants nicht immer die Möglichkeit, sich mit dem POS-Terminal zu befassen. Wir übergeben die Zahlung an den Server, der die Karte verwaltet und mit einer Quittung zurücksendet. Dies bedeutet, dass Kunden das neuere und sicherere Zahlungssystem für mobile Geräte nicht verwenden können. Es gibt auch keine Garantie dafür, dass ein Händler EMV-Chips oder mobile Zahlungen unterstützt oder dass das Personal in der Verwendung geschult ist.

Dies bedeutet nicht, dass Earl Enterprises 10 Monate gebraucht hat, um auf den Verstoß zu reagieren. Da diese Informationen in großen Mengen verkauft wurden, was für diese Art von Operationen Standard ist, könnten die Opfer auch in den kommenden Jahren Konsequenzen zweiter und dritter Ordnung haben.

Von allen Ratschlägen, die ich zu diesem Thema geben muss, bleibt nur eine Option: Verwenden Sie Bargeld oder Prepaid-Karten. Das ist ein ziemlich lächerlicher Zustand im Jahr unseres Herrn 2019, als ich ein Telefon benutzen kann, um eine Drohne zu kaufen und sie zu mir nach Hause bringen zu lassen, bevor ich nach Hause komme, während ich einen Freund in Thailand per Video anrufe.

Die erste massive Datenverletzung, die anscheinend die Dinge verändern könnte, war 2013, als etwa 110 Millionen Zielkunden entdeckten, dass ihre privaten Informationen ein Bluelight-Special enthielten. Wie beim Angriff von Earl Enterprises gab es wenig, was Kunden hätten tun können, um sich selbst zu schützen. Zu der Zeit gab es Bedenken, dass die Gegenreaktion der Verbraucher das Unternehmen untergraben könnte.

Das ist nicht passiert, und es ist auch nicht bei den anderen Verstößen passiert, die Schlagzeilen gemacht haben. Target hat einen Treffer erzielt und etwas Geld ausgezahlt, ist aber im Geschäft geblieben. Es gab auch keine verheerenden Konsequenzen für andere spätere Verstöße, die Schlagzeilen machten, und wir haben auch keinen echten finanziellen Schmerz gesehen, wenn sich ein Unternehmen schlecht verhält und die privaten Informationen seiner Kunden missbraucht (Sie anschauen, Facebook !). Tatsächlich ist diese Art des Kundenverrats so alltäglich geworden, dass es für PCMag keinen Sinn ergab, den Angriff von Earl Enterprises zu decken. Es hat einfach nicht die Aufmerksamkeit verdient.

Kein Maß an Selbstverteidigung der Verbraucher wird diese Art von Betrug aufhalten, und anscheinend wird kein Maß an schlechter Presse über Sicherheitsverletzungen einem Unternehmen genug Schaden zufügen, um Kundeninformationen angemessen zu schützen. Aus meiner Sicht bleibt eine Option: Regulierung.

Verbraucherschutz Verbraucher schützen

• Die besten Passwortmanager für 2019 Die besten Passwortmanager für 2019
• Ziel-Hack betrifft bis zu 70 Millionen Käufer Ziel-Hack betrifft bis zu 70 Millionen Käufer
• Zwei-Faktor-Authentifizierung: Wer hat es und wie wird es eingerichtet? Zwei-Faktor-Authentifizierung: Wer hat es und wie wird es eingerichtet?

Unternehmen müssen für Sicherheitsverletzungen, die Kunden betreffen, rechtlich und finanziell zur Rechenschaft gezogen werden. Es muss Bußgelder, Ermittlungen und gerichtliche Konsequenzen geben. Geld muss für Anwälte ausgegeben werden - viel Geld . Das derzeitige Modell, bei dem Kunden ihr eigenes Geld und ihre eigene Energie ausgeben müssen, um ihre Klagen zum Tragen zu bringen, ist unvernünftig. Wie ist die Energie erforderlich, um uns vor kleinlichem Betrug zu schützen oder, schlimmer noch, unser Leben nach einem Identitätsdiebstahl wieder in Ordnung zu bringen?

Unternehmen müssen Bedrohungen auch ernst nehmen und Angriffe planen. Das geringste Minimum an Kundendaten sollte gespeichert werden, und was auch immer gespeichert wird, sollte verschlüsselt oder auf andere Weise aufbewahrt werden, um es unbrauchbar zu machen, wenn es gestohlen wird. Die Hersteller von Zahlungssystemen müssen auch damit beginnen, die Bedrohungen ernst zu nehmen. Ich bin sicher, dass dies der Fall ist, wenn Händler nach sichereren Geräten fragen.

Ich habe schon seit einiger Zeit den Verdacht, dass die bloße Menge an privaten Informationen, die in den letzten zehn Jahren enthüllt wurde, bedeutet, dass jeder auf irgendeine Weise verletzt wurde oder wird. Das kann nicht akzeptiert werden. Ich spreche für mich selbst, ich bin auf meiner zweiten Debitkarte von 2019, weil die Nummern der ersten beiden kompromittiert wurden. Es ist april