بيت Securitywatch مراقبة الأمن: جعل الشركات ، وليس العملاء ، تعاني من خروقات البيانات | ماكس الدوامة

مراقبة الأمن: جعل الشركات ، وليس العملاء ، تعاني من خروقات البيانات | ماكس الدوامة

جدول المحتويات:

فيديو: الفضاء - علوم الفلك للقرن الØادي والعشرين (شهر نوفمبر 2024)

فيديو: الفضاء - علوم الفلك للقرن الØادي والعشرين (شهر نوفمبر 2024)
Anonim

في 29 مارس ، أعلنت إيرل انتربرايزس أن زوار سلسلة مطاعمها قد يكونون قد سرقوا معلومات بطاقة الائتمان الخاصة بهم. كالمعتاد عندما يحدث هذا النوع من الأشياء ، طُلب مني تجميع بعض النصائح للمستهلكين بشأن ما يمكنهم القيام به لحماية أنفسهم. إنه موضوع جيد من سنوات من القصص المشابهة ، لكن هذه المرة بدا الأمر مختلفًا. هذا جزئيًا بسبب الطبيعة الفريدة للهجوم ، ولكن أيضًا لأن ممارستنا المتمثلة في وضع المسؤولية عن تنظيف العبث على المستهلكين لا تعمل. لقد حان الوقت لوضع العبء على المكان الذي ينتمي إليه ، على الشركات التي سمحت بخرق البيانات في المقام الأول.

حتى الخرق

إذا أكلت في Buca di Beppo أو Chicken Guy! أو Earl of Sandwich أو Mixology أو Planet Hollywood أو Tequila Taqueria ، فربما تكون قد سُرقت معلومات بطاقة الائتمان أو الخصم الخاصة بك. وفقًا لشركة Earl Enterprises ، كان من الممكن أن يشمل ذلك كل ما يلزم لارتكاب عمليات احتيال: رقم البطاقة وتواريخ انتهاء الصلاحية وبعض أسماء حاملي البطاقات. وتفيد التقارير أن عدد الأشخاص المتضررين يبلغ حوالي مليوني شخص.

حقيقة مثيرة للاهتمام حول هذا الانتهاك بالذات هو أنه لم يكن خرقا في حد ذاته . بدلاً من ذلك ، تمكن المتسللون من الوصول عن بعد إلى نقاط البيع أو آلات نقاط البيع (نعم ، هذه هي الاختصار الحقيقي) في العديد من المطاعم وتثبيت البرامج الضارة التي تلغي بيانات العميل. تم تجميع هذه المعلومات معًا وبيعها على مواقع السوق السوداء.

ماذا يمكنك أن تفعل للبقاء آمنة؟

بصرف النظر عن بعض الشيء بشأن البرامج الضارة على أجهزة نقاط البيع ، فإن خرق / هجوم إيرل إنتربرايز نموذجي إلى حد ما. كما هي النصيحة التي سأقدمها بشأن ما يمكن للمستهلكين (هذا أنت) القيام به للبقاء آمنين.

أولاً ، عادة ما أقول ، استخدم بطاقة ائتمان وليس بطاقة خصم. يتم عكس معاملات بطاقات الائتمان بسهولة وشركات بطاقات الائتمان جيدة جدًا في اكتشاف الاحتيال قبل القيام بذلك. الأهم من ذلك أنك لست مسؤولاً عن رسوم بطاقات الائتمان الاحتيالية. استخدام بطاقة الخصم هو في الأساس معاملة نقدية. يمكنك استرداد هذه الرسوم ، لكن الأمر قد يستغرق أحيانًا وقتًا أطول وفي سيناريوهات أسوأ الحالات قد يؤدي إلى بعض الخلافات مع البنك أو FDIC.

بمجرد أن يتم حل المشكلة ، أواجه مشكلات المعاملات magstripe. Magstripes بسيطة بغباء. يمكنك توصيل قارئ magstripe USB وتشغيل بطاقة وسيقوم الكمبيوتر بإدخال المعلومات في ملف نصي لك. تستخدم بطاقة الرقاقة (بطاقة EMV) عملية مختلفة أكثر أمانًا وأصعب اعتراضًا.

يؤدي ذلك إلى نقاش طبيعي حول كيفية سرقة هذه المعلومات عادة باستخدام أجهزة صغيرة تسمى الكاشطات أو الوميضات. لدي قصة كاملة حول كيفية اكتشافها ، حتى تتمكن من قراءتها. يتمثل الجوهر في أنه من الجيد فحص أجهزة نقاط البيع قبل استخدامها ، في كل سياق تواجهه ولكن خاصة في مضخات الغاز وأجهزة الصراف الآلي الخارجية. قمت بحفظ نقرة (ولكن انقر على أي حال ، فهذا يساعدني في الحصول على المال).

بعد ذلك ، سأطلق كل شيء عن حلول التكنولوجيا الفائقة للمدفوعات. يستخدم كل من Android Pay و Apple Pay و Samsung Pay نظام ترميز لا يكشف أبدًا عن معلومات بطاقتك الائتمانية الفعلية. قد يبدو استخدام هذه الأجهزة أقل أمانًا حيث يتم نقل المعلومات لاسلكيًا ، لكنها في الواقع جيدة جدًا.

بعد ذلك ، سوف أتحدث أحيانًا عن كيفية استخدام Abine Blur لإنشاء بطاقات ائتمان مسبقة الدفع وعناوين بريد إلكتروني وهمية على الطاير. ربما أذكر كيف أن بطاقات الائتمان النقدية والمدفوعة مقدماً هي أكثر الطرق أمانًا ووعيًا بالقيام بالأعمال التجارية. بالتأكيد لن أؤيد خدمات حماية سرقة الهوية لأنني لست متأكدًا من أنها تعمل بالفعل ، ولن أقول الكثير عن مراقبة الائتمان لأنني لا أعتقد أنه يجب عليك دفع مقابل معلوماتك المالية الخاصة التي يتم تجميعها دون موافقتك.

أنا لا أؤيد بيتكوين أبدًا لأن المسمار لهؤلاء الرجال بجدية.

لا يهم مدى حرصك

نكتب هذا النوع من القصص طوال الوقت في PCMag ، وهي مفيدة لتوضيح الأشياء الصغيرة التي يمكن أن تحدث فرقًا في حياة الناس. يجب أن يعرف الأشخاص طرقًا أكثر ذكاءً للدفع ، ويُنصح باستخدام مديري كلمات المرور و 2FA ، أو على الأقل معرفة ماهية هذه الأشياء حتى يتمكنوا من اتخاذ خيارات مستنيرة في حياتهم. لكن خرق إيرل انتربرايزز حقًا ، لأنه لا يوجد شيء يمكن أن يقوم به العملاء لحماية أنفسهم.

في هجوم Earl Enterprises ، كان لدى الأشرار الوصول عن بُعد إلى أجهزة POS. هذا يعني أنه بغض النظر عن مدى قيام العميل بالتحقيق في أجهزة قراءة البطاقات ، فلن يعثروا على مقشدة حكاية لأن التهديد كان داخل الجهاز. علاوة على ذلك ، في المطاعم الأمريكية ، لا يحصل العملاء دائمًا على خيار المشاركة في محطة نقاط البيع. نقوم بتسليم دفعتنا إلى الخادم ، الذي يدير البطاقة ويعود بإيصال. هذا يعني أنه لا يمكن للعملاء استخدام نظام دفع الجهاز المحمول الأحدث والأكثر أمانًا. لا يوجد أيضًا أي ضمان بأن أي تاجر معين يدعم رقائق EMV أو مدفوعات الجوال ، أو أنه سيتم تدريب الموظفين على كيفية استخدامها.

ناهيك عن أن شركة إيرل انتربرايسز استغرقت 10 أشهر للرد على الخرق. ولا لأنه بسبب بيع هذه المعلومات بكميات كبيرة ، والتي تعتبر قياسية لهذا النوع من العمليات ، يمكن للضحايا أن يواجهوا عواقب من الدرجة الثانية والثالثة لسنوات قادمة.

من بين جميع النصائح التي يجب علي تقديمها حول هذا الموضوع ، فإن هذا يترك خيارًا واحدًا فقط: استخدام النقد أو البطاقات المدفوعة مسبقًا. هذه حالة مثيرة للسخرية إلى حد كبير في عام سيدنا 2019 عندما يمكنني استخدام هاتف لشراء طائرة بدون طيار وتسليمها إلى منزلي قبل العودة إلى المنزل ، كل ذلك أثناء الاتصال عبر الفيديو بصديق في تايلاند.

كان أول اختراق هائل للبيانات بدا وكأنه قد يغير الأشياء في عام 2013 ، عندما اكتشف ما يقرب من 110 ملايين من المتسوقين المستهدفين أنه كان هناك معلومات خاصة عن معلوماتهم الخاصة. مثل هجوم ايرل انتربرايزز ، كان هناك القليل الذي كان يمكن للعملاء فعله لحماية أنفسهم. في ذلك الوقت ، كان هناك قلق من أن رد فعل المستهلك قد يغرق الشركة.

لم يحدث هذا ، ولم يحدث لأي من الانتهاكات اللاحقة الأخرى التي تصدرت عناوين الصحف. استغرق الهدف ضربة ودفعت بعض النقود ، لكنها ظلت في العمل. لم تكن هناك أيضًا عواقب وخيمة لأي من الانتهاكات اللاحقة الأخرى التي تصدرت عناوين الصحف ، ولم نشهد ألمًا ماليًا حقيقيًا عندما تتصرف شركة بشكل سيء وتسيء إلى المعلومات الخاصة بعملائها (ينظرون إليك ، موقع التواصل الاجتماعي الفيسبوك !). في الواقع ، أصبح هذا النوع من خيانة العملاء أمرًا شائعًا للغاية ، ولم يكن من المنطقي بالنسبة لـ PCMag لتغطية هجوم Earl Enterprises. انها ببساطة لا تستدعي الاهتمام.

لن يوقف أي قدر من الدفاع عن المستهلك هذا النوع من الاحتيال ، ويبدو أنه لا يوجد قدر من الضغط السيئ بشأن الانتهاكات الأمنية سيؤدي إلى إتلاف شركة بما يكفي لحمايتها من حماية معلومات العميل بشكل مناسب. في رأيي ، هذا يترك خيارًا واحدًا: التنظيم.

حماية المستهلك تحمي المستهلكين

  • أفضل مدراء كلمات المرور لعام 2019 أفضل مدراء كلمات المرور لعام 2019
  • الهدف هاك تتأثر ما يصل إلى 70M المتسوقين الهدف هاك تتأثر ما يصل إلى 70M المتسوقين
  • مصادقة ثنائية العامل: من يملكها وكيفية إعدادها مصادقة ثنائية العامل: من يملكها وكيفية إعدادها

يجب أن تكون الشركات مسؤولة قانونًا وماليًا عن انتهاكات الأمان التي تؤثر على العملاء. يجب أن تكون هناك غرامات وتحقيقات وعواقب أمرت بها المحكمة. يلزم إنفاق الأموال على المحامين - الكثير من المال . إن النموذج الحالي حيث يتعين على العملاء إنفاق أموالهم وطاقاتهم الخاصة لإقامة الدعاوى القضائية أمر غير معقول. كما هي الطاقة المطلوبة لحماية أنفسنا من الاحتيال البسيط ، أو الأسوأ من ذلك ، محاولة إعادة حياتنا إلى الوراء بعد سرقة الهوية.

تحتاج الشركات أيضًا إلى أخذ التهديدات بجدية والتخطيط لشن هجمات. يجب تخزين الحد الأدنى الأدنى لبيانات العميل ، وأي شيء يتم تخزينه يجب إبقاؤه أو في بعض الوسائل الأخرى لجعله عديم الفائدة إذا سُرق. يجب على منشئي أنظمة الدفع أيضًا البدء في التعامل مع التهديدات بجدية ، وأنا متأكد من أنهم سيفعلون ذلك إذا كان هناك طلب من التجار على أجهزة أكثر أمانًا.

منذ فترة طويلة الآن ، كنت أظن أن الحجم الهائل للمعلومات الخاصة التي تم الكشف عنها في العقد الماضي يعني أن الجميع قد تعرضوا للأذى أو سيؤذون بطريقة ما. هذا لا يمكن أن يكون مقبولا. أتحدث عن نفسي ، فأنا على بطاقة الخصم الثانية لعام 2019 ، لأن الرقمين الأول والثاني قد تعرضا للخطر. إنه أبريل.

مراقبة الأمن: جعل الشركات ، وليس العملاء ، تعاني من خروقات البيانات | ماكس الدوامة