wanita memegang telefon pintar

Sebilangan besar peserta dalam kajian baru-baru ini tidak mengetahui bahawa alamat e-mel dan maklumat peribadi mereka yang lain telah dikompromikan dalam rata-rata lima pelanggaran data masing-masing.

Sudah sembilan tahun sejak pelanggaran data LinkedIn, lapan tahun sejak pelanggan Adobe menjadi mangsa penyerang siber, dan empat tahun sejak Equifax menjadi tajuk utama untuk pendedahan maklumat peribadi berjuta-juta orang.

Penyelidik dari University of Michigan School of Information menunjukkan 413 orang fakta hingga tiga pelanggaran yang melibatkan maklumat peribadi mereka sendiri. Para penyelidik mendapati orang tidak menyedari 74% pelanggaran tersebut.

"Ini membimbangkan. Sekiranya orang tidak tahu bahawa maklumat mereka terdedah dalam pelanggaran, mereka tidak dapat melindungi diri mereka dengan betul dari implikasi pelanggaran, misalnya, peningkatan risiko pencurian identiti, "kata calon doktor Yixin Zou.

Seperti yang dilaporkan dalam a kertas persidangan, para penyelidik juga mendapati bahawa kebanyakan mereka yang melanggar undang-undang menyalahkan tingkah laku peribadi mereka sendiri untuk peristiwa tersebut - menggunakan kata laluan yang sama di beberapa akaun; menyimpan e-mel yang sama untuk masa yang lama; dan mendaftar untuk akaun "samar-samar" - dengan hanya 14% mengaitkan masalah itu kepada faktor luaran.

grafik langganan dalaman

"Walaupun ada beberapa tanggungjawab kepada pengguna untuk berhati-hati mengenai siapa mereka berkongsi maklumat peribadi mereka, kesalahan pelanggaran hampir selalu berlaku dengan amalan keselamatan yang tidak mencukupi oleh syarikat yang terjejas, bukan oleh mangsa pelanggaran tersebut, ”kata Adam Aviv, profesor sains komputer di Universiti George Washington.

. Telah saya Pwned pangkalan data yang digunakan dalam kajian ini menyenaraikan hampir 500 pelanggaran dalam talian dan 10 juta akaun yang disusupi dalam dekad yang lalu. Menurut Pusat Sumber Pencurian Identiti, jumlah keseluruhan pelanggaran data yang mempengaruhi orang Amerika lebih tinggi, melaporkan lebih daripada 1,108 pelanggaran di Amerika Syarikat pada tahun 2020 sahaja.

Penyelidikan sebelumnya menanyakan mengenai kebimbangan dan reaksi terhadap pelanggaran data secara umum, atau bergantung pada data yang dilaporkan sendiri untuk menentukan bagaimana kejadian tertentu mempengaruhi orang. Kajian ini menggunakan rekod awam dalam kumpulan data Have I Been Pwned mengenai siapa yang terjejas oleh pelanggaran. Pasukan penyelidik mengumpulkan 792 respons yang melibatkan 189 pelanggaran unik dan 66 jenis data yang terdedah. Dari 431 alamat e-mel peserta yang ditanyakan, 73% peserta terdedah dalam satu atau lebih pelanggaran, dengan jumlah tertinggi 20 orang.

Dari semua maklumat yang dilanggar, alamat e-mel paling banyak dikompromikan, diikuti dengan kata laluan, nama pengguna, alamat IP, dan tarikh lahir.

Sebilangan besar peserta menyatakan kebimbangan yang sederhana dan paling bimbang dengan kebocoran alamat fizikal, kata laluan, dan nombor telefon. Sebagai tindak balas terhadap akaun mereka yang disusupi, mereka melaporkan mengambil tindakan atau niat untuk menukar kata laluan untuk 50% pelanggaran tersebut.

"Mungkin beberapa perkhidmatan yang dilanggar dianggap 'tidak penting' kerana akaun yang dilanggar itu tidak mengandungi maklumat sensitif. Namun, kebimbangan yang rendah mengenai pelanggaran juga dapat dijelaskan oleh orang yang tidak sepenuhnya mempertimbangkan atau mengetahui bagaimana maklumat peribadi yang bocor berpotensi disalahgunakan dan membahayakan mereka, ”kata Peter Mayer, penyelidik pasca doktoral di Institut Teknologi Karlsruhe.

Risiko berkisar dari pemakaian kredensial - atau menggunakan alamat e-mel dan kata laluan yang bocor untuk mendapatkan akses ke akaun lain mangsa - hingga pencurian identiti dan penipuan.

Sebilangan besar pelanggaran tidak pernah membuat berita, dan sering kali mereka melibatkan sedikit atau tidak ada pemberitahuan kepada individu yang terjejas.

"Keperluan pemberitahuan pelanggaran data hari ini tidak mencukupi," kata Zou. "Entah orang tidak diberitahu oleh perusahaan yang dilanggar, atau pemberitahuan dibuat dengan sangat buruk sehingga orang mungkin mendapat pemberitahuan atau surat e-mel tetapi mengabaikannya. Dalam kerja sebelumnya, kami menganalisis surat pemberitahuan pelanggaran data yang dikirimkan kepada pengguna dan mendapati bahawa mereka sering memerlukan kemahiran membaca lanjutan dan risiko yang tidak jelas. "

Pada akhir kajian, para penyelidik menunjukkan kepada peserta senarai lengkap pelanggaran yang mempengaruhi mereka dan memberikan maklumat untuk mengambil langkah-langkah perlindungan terhadap potensi risiko dari pelanggaran data.

Cara mengelakkan pelanggaran data

Apabila data anda dicuri: 

  • Periksa sama ada akaun adalah sebahagian daripada pelanggaran menggunakan perkhidmatan percuma seperti https://haveibeenpwned.com/ or https://monitor.firefox.com/.
  • Baca pemberitahuan pelanggaran dengan teliti.
  • Laman web seperti FTC https://identitytheft.gov/ dapat membantu membuat rancangan pemulihan setelah pencurian identiti.
  • Pastikan untuk menukar kata laluan akaun yang dilanggar dan yang lain yang digunakan kata laluan yang sama. Melakukan ini sekali sahaja sudah mencukupi kecuali ada pelanggaran baru.
  • Daftar untuk mendapatkan perkhidmatan pemantauan identiti yang anda tawarkan. Walaupun tidak sempurna, mereka lebih baik daripada apa-apa.
  • Sekiranya anda mengalami bahaya sebenar dari pelanggaran, anda juga berhak mendapat sokongan lebih lanjut.

Untuk mengelakkan pelanggaran data masa depan: 

  • Gunakan kata laluan unik untuk setiap akaun dalam talian. Tidak ada yang dapat mengingat puluhan ini, jadi sebaiknya gunakan pengurus kata laluan untuk menyimpan dan membuat kata laluan yang kuat.
  • Gunakan pengesahan dua faktor, sedapat mungkin, yang memerlukan kod melalui telefon selain nama pengguna dan kata laluan untuk mengakses akaun.
  • Bekukan laporan kredit di tiga biro utama (Equifax, Experian, dan TransUnion) untuk menyukarkan pencuri identiti sehingga menyebabkan kerugian kewangan. Lihat disini.
  • Pertimbangkan untuk menggunakan perkhidmatan seperti Log masuk dengan Apple  untuk merahsiakan alamat e-mel semasa membuat akaun baru (penyedia perkhidmatan hanya melihat alamat e-mel yang dibuat secara unik untuk akaun tersebut).

"Penemuan dari kajian ini menggarisbawahi kegagalan dan kekurangan data semasa dan undang-undang pemberitahuan pelanggaran keselamatan," kata Florian Schaub, penolong profesor maklumat di University of Michigan.

"Apa yang kami temukan berulang kali dalam pekerjaan kami adalah bahwa undang-undang dan peraturan penting, yang dimaksudkan untuk melindungi pengguna, tidak efektif dalam praktiknya oleh upaya komunikasi yang buruk oleh perusahaan yang terkena dampak yang harus dipertanggungjawabkan untuk mengamankan data pelanggan."

Para penyelidik menunjukkan Peraturan Perlindungan Data Umum di Eropa yang menetapkan denda besar bagi syarikat yang tidak melindungi pengguna sebagai cara untuk menyelesaikan masalah tersebut. Undang-undang ini mendorong syarikat-syarikat di seluruh dunia untuk menguji semula program dan perlindungan privasi mereka.

sumber: Universiti Michigan

 

Tentang Pengarang

Laurel Thomas-Michigan

Artikel ini mula-mula muncul di Masa Depan