15 kroków, które należy podjąć, jeśli ucierpią na tym dane Capital One
Według CNN naruszenie Capital One dotknęło ponad 105 milionów konsumentów z Ameryki Północnej, którzy złożyli wniosek o produkty kredytowe Capital One między 2005 a początkiem 2019 r..
Domniemany sprawca, inżynier oprogramowania z Seattle, włamał się do systemów Capital One przez źle skonfigurowaną zaporę ogniową. Uzyskała dostęp do wielu danych konsumentów, w tym danych kontaktowych, ocen zdolności kredytowej, limitów wydatków, sald kont, informacji o ubezpieczeniach społecznych i numerów kont bankowych. Później rzekomo opublikowała te informacje na GitHubie i chwaliła się exploitem w mediach społecznościowych i Slacku, starając się nie ukrywać swojej tożsamości. Zainteresowany użytkownik GitHub powiadomił Capital One, który powiadomił FBI, a podejrzany został aresztowany w ciągu kilku dni.
Domniemana nieostrożność sprawcy bez wątpienia przyspieszyła publiczne ujawnienie naruszenia. Wiele naruszeń danych pozostaje niezauważonych przez miesiące lub lata, a sprawcy znajdujący się poza zasięgiem amerykańskich organów ścigania mogą uniknąć kary na czas nieokreślony.
Bez względu na okoliczności, jeśli jesteś potencjalną ofiarą korporacyjnego naruszenia danych, powinieneś działać szybko. Skradzione dane osobowe mogą zostać wykorzystane do kradzieży tożsamości, co może być zaskakująco trudne do wykrycia, szczególnie dla osób starszych, małoletnich dzieci i dorosłych, którzy mają ograniczoną kontrolę nad swoimi danymi osobowymi i finansami.
Jeśli Twoje dane są częścią naruszenia korporacyjnego, niekoniecznie możesz stać się ofiarą kradzieży tożsamości. Ale to znacznie zwiększa twoje szanse, szczególnie jeśli nie podejmiesz zdecydowanych działań wkrótce po dowiedzeniu się o naruszeniu.
Co zrobić, gdy jesteś częścią naruszenia danych (lub podejrzewasz, że jesteś)
Jeśli masz powody, by sądzić, że Twoje dane były zaangażowane w naruszenie danych korporacyjnych, takie jak Capital One, oto co możesz zrobić, aby zmniejszyć ryzyko.
1. Ustal, czy rzeczywiście jesteś dotknięty chorobą
Czasami organizacja, której dotyczy problem, ustanawia dedykowaną stronę internetową lub gorącą linię dla członków społeczeństwa w celu sprawdzenia ich statusu. Po ujawnieniu naruszenia w 2017 r. Equifax zrobił jedno i drugie. Nadal możesz korzystać z jego strony internetowej, aby sprawdzić swoją ekspozycję.
W innych przypadkach organizacja, której to dotyczy, bezpośrednio powiadamia ofiary. Według CNBC Capital One zobowiązał się do powiadamiania ofiar za pośrednictwem wielu kanałów, które mogą obejmować e-maile i bezpieczne wiadomości z kont wewnętrznych.
Możesz również skorzystać z publicznie znanej osi czasu i położenia geograficznego naruszenia, aby określić ryzyko. Na przykład naruszenie Capital One obejmowało dane niemal wszystkich osób, które złożyły wniosek o kredyt między 2005 r. A początkiem 2019 r. Prawdopodobnie wiesz z góry, czy to oznacza, że.
2. Określ zakres kompromisu
Może to być trudniejsze niż określenie ekspozycji. Na przykład dane skradzione w wyniku naruszenia Capital One wydają się dzielić na trzy główne grupy:
- Dane zwykle uwzględniane w aplikacjach kart kredytowych, takie jak imiona, daty urodzenia, adresy domowe i dochody zgłaszane przez siebie
- Dane dotyczące ubezpieczenia społecznego - Numery ubezpieczenia społecznego od klientów z USA i numery ubezpieczenia społecznego od klientów z Kanady.
- Dane karty kredytowej, w tym historię płatności, limity kredytowe, wyniki kredytowe i salda kont, ale najwyraźniej same numery kart kredytowych
Domniemany sprawca uzyskał dostęp do danych wniosku o kartę kredytową od praktycznie wszystkich konsumentów, których dotyczy naruszenie. Uzyskała dostęp do informacji o ubezpieczeniach społecznych od mniejszej liczby ofiar - około 1 miliona, w większości Kanady - i była w stanie uzyskać tylko fragmentaryczne dane transakcyjne od 23 dni w 2016, 2017 i 2018 r..
Innymi słowy, jeśli złożyłeś wniosek o produkt kredytowy Capital One między 2005 a początkiem 2019 r., Możesz założyć, że dane aplikacji zostały naruszone. Ale jeśli nie posiadasz aktywnej karty kredytowej Capital One od 2016 do 2018 r., Twoje dane transakcji są prawdopodobnie bezpieczne.
Aby mieć pewność, skontaktuj się z odpowiednią organizacją za pośrednictwem zatwierdzonych kanałów, takich jak witryna wyszukiwania zagrożeń w witrynie Equifax. Chociaż zawsze możesz zadzwonić na zwykłą infolinię obsługi klienta organizacji lub skorzystać z funkcji czatu online, ale każdy może to zrobić. A w wyniku poważnego naruszenia nawet zespoły wsparcia dużych organizacji prawdopodobnie zostaną przytłoczone zapytaniami.
Ewentualnie poczekaj, aż organizacja, której dotyczy problem, skontaktuje się z Tobą bezpośrednio podczas pracy z resztą tej listy. Nie interpretuj ciągłej ciszy, aby oznaczać, że wszystko jest jasne; organizacja może zająć trochę czasu, aby dokładnie ustalić, kogo to dotyczy i w jaki sposób.
3. Zwróć uwagę na oficjalną komunikację organizacji poszkodowanej
Jeśli zagrożona organizacja zobowiązuje się powiadomić klientów dotkniętych naruszeniem, dowiedz się dokładnie, jak i kiedy to zrobią. Ponieważ jest mniej podatna na kompromisy niż poczta e-mail i mniej podatna na nadużycia niż połączenia telefoniczne, poczta ślimakowa pozostaje popularnym sposobem powiadamiania o naruszeniu. Instytucje finansowe mogą również używać bezpiecznych komunikatów na koncie wewnętrznym w celu powiadamiania klientów.
Nie ufaj pośrednikom, chyba że zagrożona firma stwierdzi, że jest to w porządku. Nie rozmawiaj z nikim, kto próbuje się z Tobą skontaktować poza zatwierdzonym sposobem ujawnienia. Jeśli organizacja obiecuje powiadomić ofiary pocztą ślimakową, a ktoś zadzwoni do ciebie, twierdząc, że je reprezentujesz, załóż, że to oszustwo i rozłącz się.
Jeśli i kiedy otrzymasz oficjalną korespondencję od organizacji, której to dotyczy, zwróć na nie szczególną uwagę i postępuj zgodnie z otrzymanymi instrukcjami. Na przykład po naruszeniu, które narusza dane karty płatniczej, instytucje finansowe zwykle ponownie wydają karty z nowymi numerami. Uważaj na swoją pocztę i aktywuj ją natychmiast.
Oficjalne instrukcje od zagrożonej organizacji mogą się pokrywać z niektórymi lub wszystkimi elementami działań na tej liście - tym bardziej należy traktować je poważnie.
4. Zmień hasła do dowolnego konta, którego dotyczy problem
Zmień hasło do dowolnego konta cyfrowego, które znasz lub podejrzewasz, że doszło do naruszenia bezpieczeństwa. Jeśli używasz tego samego hasła na innych kontach, których naruszenie nie dotyczy, zmień również hasła na tych kontach. Idąc dalej, unikaj ponownego wykorzystywania haseł, użyj bezpiecznego menedżera przechowywania haseł, takiego jak 1 hasło, i skorzystaj z okazji, aby przejrzeć te wskazówki, aby chronić swoje dane osobowe w Internecie.
5. Ustaw alerty aktywności
Jeśli wiesz lub podejrzewasz, że naruszenie naruszyło twoje dane finansowe, takie jak numery kart płatniczych lub rachunków bankowych, ustaw powiadomienia o aktywności na tych kontach, aby monitorować pod kątem nieautoryzowanego użycia. Alerty te powinny obejmować przynajmniej próby wypłat i transakcji w punkcie sprzedaży, a także próby uzyskania dostępu do kont online.
Pamiętaj, że hakerzy nie muszą włamać się do komputera głównego banku, aby uzyskać informacje o karcie płatniczej. Na przykład ponad 100 milionów docelowych klientów straciło dane karty płatniczej w wyniku naruszenia danych przez detalistę w 2013 r. - naruszenie, które nie wpłynęło bezpośrednio na żadne instytucje finansowe.
6. Poproś o nowe numery kart płatniczych
Firmy świadczące usługi finansowe zazwyczaj dystrybuują nowe karty płatnicze, gdy naruszenia dotyczą ich klientów. Ale jeśli dane twojej karty są zaangażowane w naruszenie strony trzeciej, takie jak incydent docelowy, być może będziesz musiał być proaktywny.
Zadzwoń pod numer z tyłu karty i powiedz przedstawicielowi, że uważasz, że Twoje konto zostało przejęte. Być może będziesz musiał wyjaśnić scenariusz i odpowiedzieć na kilka pytań, takich jak: „Czy karta kiedykolwiek była poza twoim posiadaniem?” Bądź prawdomówny, ale nie przesadzaj. Twój bank lub wystawca karty nie chce być zawieszony na nieautoryzowane transakcje, więc może anulować i ponownie wydać kartę z ograniczonym opóźnieniem. W większości przypadków musisz poczekać na użycie nowego numeru, dopóki fizyczna karta nie dotrze do poczty.
7. Zapisz się do bezpłatnej usługi monitorowania kredytu lub ochrony przed kradzieżą tożsamości
Standardową praktyką organizacji dotkniętych naruszeniem danych jest oferowanie klientom bezpłatnej, ograniczonej czasowo rejestracji w zakresie monitorowania kredytu lub ochrony przed kradzieżą tożsamości. Okresy rejestracji trwają zwykle co najmniej jeden rok, bez obowiązku ponownej rejestracji po cenach subskrypcji. Niektóre trwają dłużej; Equifax zaoferował klientom, których dotyczy naruszenie w 2017 r. Do 10 lat bezpłatnego monitorowania kredytu.
Ponieważ rejestracja w tych usługach jest bezpłatna i nie musisz płacić, gdy kończy się bezpłatny okres, przyjęcie oferty przez organizację ma niewielką wadę. To przynajmniej mogą zrobić.
8. Umieść powiadomienia o oszustwie
Umieść powiadomienie o oszustwie w każdym z trzech głównych biur informacji kredytowej: Experian, Equifax i TransUnion. Zgodnie z prawem biuro informacji kredytowej musi skontaktować się z pozostałymi dwoma, gdy otrzyma żądanie ostrzeżenia o oszustwie, więc z technicznego punktu widzenia wystarczy tylko jedno powiadomienie w jednym biurze, aby zapewnić ochronę wszystkim trzem. Jeśli jednak nie ufasz temu procesowi, możesz skontaktować się z każdym biurem indywidualnie.
Dopóki ostrzeżenie o oszustwie pozostaje w mocy, potencjalni wierzyciele muszą zweryfikować Twoją tożsamość przed otwarciem nowych linii kredytowych na Twoje nazwisko. Gdy ktoś zaciągnie kredyt lub spróbuje otworzyć nową linię kredytową w Twoim imieniu, automatycznie otrzymasz powiadomienie. To znacznie utrudnia złodziejom tożsamości wykorzystanie twojego dobrego kredytu i zaciągnięcie długu bez twojej wiedzy.
Alerty o oszustwach mogą być ustanawiane i utrzymywane. Trwają przez rok i możesz je odnowić na koniec każdego semestru.
9. Zgłoś swoje bezpłatne raporty kredytowe
Tak czy inaczej powinieneś to zrobić, niezależnie od tego, czy uczestniczysz w naruszeniu danych. Zgodnie z prawem masz prawo do jednego bezpłatnego raportu kredytowego rocznie z każdego z trzech głównych biur informacji kredytowej. Możesz je zdobyć na AnnualCreditReport.com. Rozważ pobranie jednego raportu na kwartał w celu monitorowania kredytu przez cały rok, zamiast pobierania wszystkich trzech raportów jednocześnie.
Zeskanuj raport w poszukiwaniu nagłych lub niewyjaśnionych spadków zdolności kredytowej i innych dowodów możliwej kradzieży tożsamości, takich jak pojawienie się nowej linii kredytowej, której nie otworzyłeś.
10. Rozważ rejestrację w celu ciągłego monitorowania lub ochrony
Po pełnym wykorzystaniu darmowego członkostwa lub okresu próbnego oferowanego przez zagrożoną organizację, rozważ zalety i wady płacenia za bieżące monitorowanie kredytu lub ochronę przed kradzieżą tożsamości.
Jeśli chcesz po prostu śledzić swoją zdolność kredytową, bezpłatna usługa monitorowania kredytu, taka jak Sezam kredytowy może być wszystkim, czego potrzebujesz. Aby uzyskać bardziej niezawodną i kompleksową ochronę przed kradzieżą tożsamości, rozważ płatną usługę, taką jak IdentityGuard, który zawiera funkcje, których nie oferują bezpłatne usługi, takie jak szczegółowe raporty zarządzania ryzykiem, narzędzia do bezpieczniejszego przeglądania stron internetowych i skanowanie w ciemnych witrynach.
11. Rozważ skorzystanie z usługi skanowania ciemnych stron internetowych
Istnieje duża szansa, że Twoje informacje znajdują się gdzieś w ciemnej sieci. Pytanie brzmi, co się z tym dzieje?
Chociaż skanowanie ciemnych stron internetowych nie jest wyczerpujące, może ujawnić, czy któreś z twoich danych osobowych dostały się w niepowołane ręce lub są w niebezpieczeństwie. Nie musisz płacić za tę wiedzę; Experian oferuje na przykład bezpłatne jednorazowe skanowanie ciemnych stron internetowych. Niektórzy eksperci kwestionują wartość ciemnego skanu internetowego, ale prawie na pewno jest on lepszy niż nic, zwłaszcza gdy nie musisz za to płacić.
12. Niezwłocznie zgłaszaj podejrzane działania na koncie
Pamiętaj: to nie samo naruszenie danych musisz się martwić; tak dzieje się potem. Bardzo często jest to seria wspólnych wysiłków, by ukraść twoją tożsamość. Na przykład cyberprzestępcy, którzy dostali adresy e-mail klientów, mogą podszywać się pod zaatakowaną organizację w wyrafinowanych wiadomościach phishingowych z prośbą o podanie numeru konta lub danych logowania. Lub mogą wysyłać Ci złośliwe linki, które infekują Twój komputer złośliwym oprogramowaniem.
Zgłaszaj wszelkie próby dalszego narażenia danych lub finansów organizacji, której to dotyczy. Firmy czasem tworzą specjalne kanały zgłaszania nadużyć po poważnych naruszeniach. Capital One natychmiast utworzył adres e-mail [email protected].
Z tego samego powodu, jeśli odkryjesz jakąkolwiek podejrzaną działalność za pośrednictwem usługi monitorowania kredytu, w swoim raporcie kredytowym, z alertu biura informacji kredytowej lub po przejrzeniu wyciągu z karty kredytowej, natychmiast zgłoś to bankowi lub wystawcy karty kredytowej. Jeśli podejrzane działanie dotyczy karty kredytowej, wystawca powinien niezwłocznie anulować kartę i wydać ją ponownie.
Banki i kasy oszczędnościowe mają ogólnie politykę zerowej odpowiedzialności za oszustwa, która odwraca lub zwraca nieautoryzowane transakcje debetowe. Ale możesz czekać na część opłat - do 500 USD - jeśli będziesz czekać dłużej niż dwa dni robocze, aby powiadomić bank. Biuro Ochrony Finansów Konsumentów ma bardziej szczegółowy opis twoich praw wynikających z prawa.
Żeby było jasne, nie musisz czekać na wieści o naruszeniu danych, aby zgłosić podejrzane działania na swoich kontach. Nieautoryzowane obciążenia konta, pobieżne wiadomości od osób, które mogą być powiązane z Twoją instytucją finansową lub nie, oraz inne możliwe przypadki nieuczciwej działalności zawsze uzasadniają zgłoszenie. Należy jednak zachować szczególną czujność w związku z ujawnionym naruszeniem danych.
13. Zatrzymaj raport kredytowy
Jeśli nie planujesz wkrótce ubiegać się o kredyt, rozważ zamrożenie kredytu w każdym z trzech głównych biur informacji kredytowej. Podobnie jak powiadomienia o oszustwie, zawieszanie kredytu może być stosowane i zniesione. Jednak biura nie muszą powiadamiać się nawzajem o zamrożeniu, więc musisz się z nimi skontaktować bezpośrednio.
Kiedy kredyt jest zamrożony, wierzyciele nie mogą wyciągnąć raportu kredytowego. Oznacza to, że nie można otwierać nowych rachunków kart kredytowych, ubiegać się o kredyt hipoteczny ani zaciągać pożyczki osobistej - podobnie jak złodzieje tożsamości.
Federalna Komisja Handlu ma więcej informacji o tym, jak działają zamrożenia kredytu i czym różnią się od zamków kredytowych, które mogą ponosić miesięczne opłaty.
14. Uważaj na oznaki kradzieży tożsamości
Ryzyko kradzieży tożsamości dramatycznie wzrasta w wyniku naruszenia danych. Według IdentityGuard, prawie jedna piąta zgłoszonych ofiar naruszenia danych jest później narażona na kradzież tożsamości.
Naucz się dostrzegać możliwe oznaki kradzieży tożsamości, takie jak:
- Rachunki za usługi, o które nigdy nie prosiłeś
- Odrzucenie lub dodatkowe obciążenie dla ubezpieczenia zdrowotnego z powodu warunków, których nie masz
- Roszczenia ubezpieczeniowe odrzucone z powodu ostatnich roszczeń, których nie złożyłeś
- Nie otrzymujemy już ważnych rachunków
- Nieoczekiwane powiadomienia o zmianie adresu od wierzycieli lub odbiorców
- Nieoczekiwane wypłaty z konta bankowego lub obciążenia karty kredytowej
- Powiadomienie z urzędu skarbowego, że w Twoim imieniu złożono więcej niż jedną deklarację podatkową za ostatni rok podatkowy
- Alerty uwierzytelniania dwuskładnikowego (takie jak kody numeryczne wysyłane SMS-em), których nie zażądałeś
- Wnioski o kredyt odrzucone z powodu złego kredytu
Jeśli zauważysz którykolwiek z tych znaków, oto co zrobić, jeśli podejrzewasz, że jesteś ofiarą kradzieży tożsamości.
15. Zażądaj części ugody za naruszenie
Warunki ugody w sprawie naruszenia przepisów Equifax wymagały od biura zapewnienia do 10 lat bezpłatnego monitorowania kredytu lub kwoty 125 USD w gotówce dla klientów z istniejącym zasięgiem monitorowania kredytu. To może nie wystarczyć, aby uczynić kogoś bogatym, ale mimo to jest to miły gest.
Jeśli naruszenie danych prowadzi do pozwu zbiorowego, możesz być uprawniony do odszkodowania w ramach tej klasy. Kwalifikujący się członkowie klasy często, ale nie zawsze, otrzymują oficjalne powiadomienie pocztą elektroniczną o swoich kwalifikacjach. Ci, którzy dołączą do procesu, są związani warunkami ostatecznego ugody, a ci, którzy rezygnują, mogą skorzystać z innych środków prawnych. Jeśli uważasz, że możesz być na zajęciach, na które nie otrzymałeś oficjalnego powiadomienia, sprawdź bezpłatny zasób strony trzeciej, taki jak Działania konsumenckie.
Ostatnie słowo
W cyklu wiadomości przyspieszanym przez media społecznościowe i powiadomienia push, nadążanie za bieżącymi wydarzeniami jest przytłaczającym zadaniem. Ale niektóre z przełomowych historii przechodzących dziś przez wirtualne biurko mogą jutro wpłynąć na twoje finanse osobiste lub dobre samopoczucie.
Warto poświęcić kilka minut na zwrócenie uwagi na zgłoszenia poważnego naruszenia danych. Jeśli masz jakikolwiek związek z zagrożoną organizacją, choć jest to wątłe, istnieje duże prawdopodobieństwo, że masz na nią wpływ.
W takim przypadku podejmij działania, aby złagodzić obrażenia. Skuteczne reagowanie na korporacyjne naruszenie danych to przede wszystkim kwestia staranności i czujności, dlatego warto poświęcić czas na zapewnienie ochrony informacji.
Czy kiedykolwiek uczestniczyłeś w naruszeniu danych? Jak odpowiedziałeś?