15 trin, der skal tages, hvis du blev berørt af Capital One-dataovertrædelsen
Ifølge CNN påvirkede Capital One-overtrædelsen mere end 105 millioner nordamerikanske forbrugere, der ansøgte om Capital One-kreditprodukter mellem 2005 og begyndelsen af 2019.
Den påståede gerningsmand, en softwareingeniør i Seattle-området, brød ind i Capital One's systemer gennem en forkert konfigureret firewall. Hun fik adgang til en samling af forbrugerdata, inklusive kontaktoplysninger, kreditresultater, forbrugsgrænser, kontosaldo, information om socialforsikring og bankkontonumre. Derefter angav hun angiveligt disse oplysninger på GitHub og pralede over udnyttelsen på sociale medier og Slack, idet hun gjorde en lille indsats for at skjule hendes identitet. En bekymret GitHub-bruger underrettede Capital One, der underrettede FBI, og den mistænkte blev arresteret inden for få dage.
Den påståede gerningsmands uforsigtighed fremkaldte uden tvivl offentliggørelse af overtrædelsen. Mange dataovertrædelser bliver ubemærket bemærket i måneder eller år, og gerningsmænd, der er uden for de amerikanske retshåndhævende myndigheders undvigelse af retfærdighed på ubestemt tid.
Uanset omstændighederne, hvis du er et potentielt offer for en virksomhedsdataovertrædelse, skal du handle hurtigt. Stjålne personlige oplysninger kan bruges til identitetstyveri, hvilket kan være overraskende vanskeligt at opdage, især for ældre, mindre børn og voksne med begrænset kontrol over deres personlige data og økonomi.
Hvis dine data er en del af en virksomhedsovertrædelse, kan du ikke nødvendigvis være et offer for identitetstyveri. Men det øger dine chancer markant, især hvis du ikke træffer afgørelse kort efter, at du har lært dig bruddet.
Hvad skal du gøre, når du er en del af en databehandling (eller har mistanke om, at du er)
Hvis du har grund til at tro, at dine data var involveret i en virksomhedsdataovertrædelse, såsom Capital One's, er det her, du kan gøre for at afbøde risikoen.
1. Bestem, om du faktisk er berørt
Nogle gange opretter den berørte organisation et dedikeret websted eller en hotline, hvor offentligheden kan kontrollere deres status. Efter at have afsløret sit brud i 2017 gjorde Equifax begge. Du kan stadig bruge dens websted til at kontrollere din eksponering.
Andre gange underretter den berørte organisation ofrene direkte. Ifølge CNBC lovede Capital One at underrette ofre gennem flere kanaler, sandsynligvis med e-mails og sikre interne kontobeskeder.
Du kan også bruge overtrædelsens offentligt kendte tidslinje og geografi til at bestemme din eksponering. F.eks. Omfattede Capital One-overtrædelsen data fra stort set alle, der ansøgte om kredit mellem 2005 og begyndelsen af 2019. Du ved sandsynligvis fra toppen af dit hoved, om det betyder dig.
2. Bestem omfanget af kompromiset
Dette kan være vanskeligere end at bestemme din eksponering. For eksempel ser data stjålet i Capital One-bruddet ud til at falde i tre vigtigste spande:
- Data inkluderes typisk på kreditkortansøgninger, såsom navne, fødselsdato, hjemmeadresse og selvrapporteret indkomst
- Socialforsikringsdata - Socialsikkerhedsnumre fra amerikanske kunder og sociale forsikringsnumre fra canadiske kunder.
- Kreditkortdata, inklusive betalingshistorik, kreditgrænser, kreditresultater og kontosaldo, men tilsyneladende ikke selv kreditkortnumre
Den påståede gerningsmand fik adgang til kreditkortapplikationsdata fra stort set alle forbrugere, der var berørt af overtrædelsen. Hun fik adgang til oplysninger om socialforsikring fra et mindre antal ofre - ca. 1 million, for det meste canadisk - og kunne kun få fragmenterede transaktionsdata fra 23 dage i 2016, 2017 og 2018.
Med andre ord, hvis du ansøgte om et Capital One-kreditprodukt mellem 2005 og begyndelsen af 2019, kan du antage, at dine ansøgningsdata blev kompromitteret. Men medmindre du havde et aktivt Capital One-kreditkort fra 2016 til 2018, er dine transaktionsdata sandsynligvis sikre.
For at vide det med sikkerhed, skal du nå ud til den berørte organisation gennem godkendte kanaler, såsom Equifaxs websted om overvågning af overtrædelser. Selvom du altid kan ringe til organisationens regelmæssige kundeservice-hotline eller bruge dens online chat-funktion, så kan alle andre. Og i kølvandet på et stort brud vil selv store organisationers supportteam sandsynligvis blive overvældet med forespørgsler.
Alternativt kan du vente på, at den berørte organisation kontakter dig direkte, mens du arbejder gennem resten af denne liste. Fortol ikke løbende stilhed for at betyde, at du er klar. organisationen kan tage nogen tid at bestemme nøjagtigt, hvem der er berørt og hvordan.
3. Vær opmærksom på officiel kommunikation fra den kompromitterede organisation
Hvis den kompromitterede organisation løfter om at underrette kunder, der er berørt af overtrædelsen, skal du finde ud af præcis, hvordan og hvornår de gør det. Da det er mindre sårbart over for kompromiser end e-mail og mindre tilbøjelig til misbrug end telefonopkald, er snailmail stadig et populært middel til anmeldelse af brud. Finansielle institutioner kan også bruge sikre interne kontobeskeder til at underrette kunder.
Stol ikke på formidlere, medmindre det kompromitterede firma siger, at det er OK at gøre det. Tal ikke med nogen, der forsøger at kontakte dig uden for et godkendt middel til afsløring. Hvis organisationen lover at underrette ofrene via sneglepost, og nogen ringer til dig, der hævder at repræsentere dem, antager du, at det er en fidus og læg på.
Hvis og når du modtager officiel meddelelse fra den berørte organisation, skal du være nøje opmærksom på dem og handle efter enhver instruktion, du modtager. F.eks. Efter en overtrædelse, der kompromitterer betalingskortdata, udsteder finansinstitutter ofte kort med nye numre. Se efter din i mailen, og aktiver den straks.
Officielle instruktioner fra den kompromitterede organisation kan overlappe hinanden med nogle af eller alle handlinger på denne liste - desto mere grund til at tage dem alvorligt.
4. Skift adgangskoder til enhver berørt konto
Skift adgangskode til enhver digital konto, du kender eller mistænker for at blive kompromitteret i overtrædelsen. Hvis du bruger den samme kompromitterede adgangskode på andre konti, der ikke er berørt af overtrædelsen, skal du også ændre adgangskoder på disse. Gå videre, undgå at genbruge adgangskoder, brug en sikker adgangskodelager som 1Password, og benyt lejligheden til at gennemgå disse tip for at beskytte dine personlige oplysninger online.
5. Indstil aktivitetsadvarsler
Hvis du ved eller har mistanke om, at overtrædelsen kompromitterede dine økonomiske oplysninger, såsom betalingskort- eller bankkontonumre, skal du indstille aktivitetsadvarsler på disse konti, der skal overvåges for uautoriseret brug. Disse advarsler skal som minimum dække forsøg på tilbagetrækning og salgsstedstransaktioner samt forsøg på at få adgang til dine konti online.
Husk, at hackere ikke behøver at bryde ind i din banks mainframe for at få dine betalingskortoplysninger. Over 100 millioner Target shoppere mistede betalingskortoplysninger i forhandlerens 2013 dataovertrædelse - for eksempel et brud, der ikke direkte påvirkede nogen finansielle institutioner.
6. Anmod om nye betalingskortnumre
Virksomheder med finansielle tjenester distribuerer normalt friske betalingskort, når deres kunder er berørt af overtrædelser. Men hvis dine kortdata er involveret i en tredjepartsovertrædelse, f.eks. Target-hændelsen, skal du muligvis være proaktiv.
Ring til nummeret på bagsiden af kortet, og fortæl den repræsentant, du mener, at din konto blev kompromitteret. Det kan være nødvendigt, at du forklarer scenariet og besvarer nogle spørgsmål om kedelpladen, som "Har kortet nogensinde ikke været i din besiddelse?" Vær sandfærdig, men ikke overforklarer. Din bank- eller kortudsteder ønsker ikke at være på haken ved uautoriserede transaktioner, så det er sandsynligt, at dit kort annulleres og genudstedes med begrænset pushback. I de fleste tilfælde skal du vente med at bruge det nye nummer, indtil det fysiske kort ankommer i posten.
7. Tilmeld dig en gratis kreditovervågning eller identitetstyveri-service
Det er standardpraksis for organisationer, der er berørt af dataovertrædelser, at tilbyde kunder gratis begrænset tidsregistrering i kreditovervågning eller identitetstyveri-tjenester. Tilmeldingsperioder varer typisk mindst et år uden forpligtelse til at tilmelde sig til abonnementspriser. Nogle varer længere; Equifax tilbød kunder, der var påvirket af 2017-overtrædelsen, op til 10 års gratis kreditovervågning.
Da tilmelding til disse tjenester er gratis, og du ikke er forpligtet til at betale, når den frie periode udløber, er der lidt ulemper med at få en organisation op på sit tilbud. Det er det mindste, de kan gøre.
8. Placer svindeladvarsler
Placer en svigalarm hos hver af de tre store kreditrapporteringsbureauer: Experian, Equifax og TransUnion. I henhold til loven skal et kreditrapporteringsbureau kontakte de to andre, når det modtager en anmodning om svig, så du teknisk set kun behøver at placere en advarsel hos et bureau for at sikre beskyttelse for alle tre. Hvis du ikke har tillid til processen, er du dog fri til at kontakte hvert bureau individuelt.
Så længe din svigalarmer forbliver i kraft, skal potentielle kreditorer verificere din identitet, før du åbner nye kreditlinjer i dit navn. Når nogen trækker din kredit eller forsøger at åbne en ny kreditgrænse på dine vegne, modtager du automatisk en advarsel. Det gør det langt vanskeligere for identitetstyver at udnytte din gode kredit og hæve gælden uden din viden.
Svigvarsler er gratis at indføre og vedligeholde. De varer i et år, og du kan fornye dem i slutningen af hver periode.
9. Gør krav på dine gratis kreditrapporter
Dette er noget, du skal gøre alligevel, uanset om du er involveret i en dataovertrædelse. Ved lov har du ret til en gratis kreditrapport om året fra hver af de tre større kreditrapporteringsbureauer. Du kan få din hos AnnualCreditReport.com. Overvej at trække en rapport pr. Kvartal for at overvåge din kredit gennem året, snarere end at trække alle tre rapporter på én gang.
Scan din rapport for pludselige eller uforklarlige kreditfald og andre beviser for mulig identitetstyveri, f.eks. Udseendet af en ny kreditgrænse, som du ikke åbnede.
10. Overvej at tilmelde dig til løbende overvågning eller beskyttelse
Efter at have draget fuld fordel af ethvert gratis medlemskab eller retssag, der tilbydes af den kompromitterede organisation, skal du veje fordele og ulemper ved at betale for løbende kreditovervågning eller identitetstyveribeskyttelse.
Hvis du blot ønsker at holde øje med din kredit score, en gratis kreditovervågningstjeneste som f.eks Kredit sesam kan være alt hvad du har brug for. For en mere robust og omfattende beskyttelse af identitetstyveri skal du overveje en betalt tjeneste som f.eks IdentityGuard, som leveres med funktioner, som gratis tjenester ikke tilbyder, såsom detaljerede risikostyringsrapporter, værktøjer til sikrere webbrowsing og mørk webscanning.
11. Overvej at bruge en mørk webscanningstjeneste
Der er en god chance for, at dine oplysninger er et eller andet sted på det mørke web. Spørgsmålet er, hvad der gøres med det?
Mens en mørk webscanning ikke er omfattende, kan det afsløre, om nogen af dine personlige data er faldet i de forkerte hænder eller er i fare for at gøre det. Du behøver ikke betale for denne viden; Experian tilbyder for eksempel en gratis engangs mørk webscanning. Nogle eksperter sætter spørgsmålstegn ved værdien af en mørk webscanning, men det er næsten helt sikkert bedre end intet, især når du ikke behøver at betale for det.
12. Rapporter straks mistænksom kontoaktivitet
Husk: Det er ikke selve dataovertrædelsen, du skal bekymre dig om; det er hvad der sker dernæst. Meget ofte er det en række samordnede bestræbelser på at stjæle din identitet. F.eks. Kan cyberkriminelle, der har fået deres hænder på kundernes e-mail-adresser, muligvis udligne den kompromitterede organisation i sofistikerede phishing-e-mails, der beder om kontonumre eller loginoplysninger. Eller de kan sende dig ondsindede links, der inficerer din computer med malware.
Rapporter alle forsøg på yderligere at kompromittere dine data eller økonomi til den berørte organisation. Virksomheder indstiller undertiden dedikerede rapportering om misbrugskanaler efter større brud. Capital One oprettede straks e-mail-adressen [email protected].
På samme måde, hvis du opdager mistænkelig aktivitet gennem en kreditovervågningstjeneste, i din kreditrapport, fra en advarsel om kreditbedragerisvindel, eller ved at gennemgå din kreditkortopgørelse, skal du straks rapportere den til din bank eller kreditkortudsteder. Hvis den mistænkelige aktivitet involverer et kreditkort, skal udstederen omgående annullere og udstede kortet igen.
Banker og kreditforeninger har generelt nul-ansvarlige svigpolitikker, der reverserer eller refunderer uautoriserede debiteringstransaktioner. Men du er måske på krogen for en del af afgifterne - op til $ 500 - hvis du venter længere end to arbejdsdage med at give din bank besked. Consumer Financial Protection Bureau har en mere detaljeret beskrivelse af dine rettigheder i henhold til loven.
For at være klar, behøver du ikke vente på nyheder om en dataovertrædelse for at rapportere mistænksom aktivitet på dine konti. Uautoriserede kontokostnader, skitseret meddelelse fra personer, der måske eller måske ikke er tilknyttet din finansielle institution, og andre mulige tilfælde af svigagtig aktivitet berettiger altid rapportering. Men du skal være særlig opmærksom i kølvandet på et offentliggjort dataovertrædelse.
13. Frys din kreditrapport
Hvis du ikke har planer om at ansøge om kredit snart, skal du overveje at indefryse din kredit på hver af de tre store kreditrapporteringsbureauer. Ligesom svindeladvarsler er kreditfrysning gratis at anvende og løfte. Bureauer behøver dog ikke underrette hinanden, når du fryser, så du bliver nødt til at kontakte hver direkte.
Mens din kredit er frosset, kan kreditorer ikke trække din kreditrapport. Det betyder, at du ikke kan åbne nye kreditkortkonti, ansøge om et prioritetslån eller optage et personligt lån - og heller ikke identitetstyver.
Federal Trade Commission har mere information om, hvordan kreditfrysningen fungerer, og hvordan de adskiller sig fra kreditlåse, som muligvis medfører månedlige gebyrer.
14. Hold øje med tegn på, at din identitet er stjålet
Risikoen for identitetstyveri øges dramatisk i kølvandet på et dataovertrædelse. Ifølge IdentityGuard, næsten en ud af fem anmeldte ofre for overtrædelse af data lider senere identitetstyveri.
Lær at få øje på mulige tegn på identitetstyveri, såsom:
- Fakturaer for tjenester, du aldrig har anmodet om
- At blive afvist eller opkrævet mere for en sundhedsforsikring på grund af forhold, som du ikke har
- Forsikringskrav afvist på grund af de nylige krav, du ikke har fremsat
- Modtager ikke længere vigtige regninger
- Uventet adresseændring underretninger fra kreditorer eller betalingsmodtagere
- Uventede udbetalinger af bankkonti eller kreditkortomkostninger
- Meddelelse fra IRS om, at der blev indgivet mere end et selvangivelse i dit navn for det seneste skatteår
- To-faktor godkendelsesadvarsler (f.eks. Numeriske koder sendt via SMS), som du ikke anmodede om
- Kreditansøgninger afvist på grund af dårlig kredit
Hvis du ser et af disse tegn, er det her, hvad du skal gøre, hvis du har mistanke om, at du er et offer for identitetstyveri.
15. Gør krav på din andel af enhver overtrædelse
Betingelserne for Equifaxs overtrædelsesafvikling krævede, at kontoret leverede op til 10 års gratis kreditovervågning eller $ 125 kontanter til kunder med den eksisterende kreditovervågningsdækning. Det er måske ikke nok til at gøre nogen rig, men det er ikke desto mindre en dejlig gestus.
Hvis et dataovertrædelse fører til en retssag om klassehandlinger, kan du have ret til erstatning som en del af denne klasse. Kvalificerede klassemedlemmer modtager ofte, men ikke altid, officiel e-mail om deres berettigelse. De, der slutter sig til retssagen, er bundet af betingelserne i den eventuelle bilæggelse, mens dem, der vælger fra, frit kan forfølge andre retsmidler. Hvis du tror, at du muligvis er i en klasse, som du ikke har modtaget officiel anmeldelse, skal du kontrollere en tredjepartsressource uden omkostninger, f.eks. Forbrugerhandling..
Det endelige ord
I en nyhedscyklus, der er accelereret af sociale medier og push-meddelelser, er det en overvældende opgave at følge med i de aktuelle begivenheder. Men nogle af de banebrydende historier, der krydser dit virtuelle skrivebord i dag, kan påvirke din personlige økonomi eller trivsel i morgen.
Det er værd at et par minutter af din tid til at være opmærksom på rapporter om en større dataovertrædelse. Hvis du har haft nogen tilknytning til den kompromitterede organisation, uanset hvor hård, det er meget sandsynligt, at du er berørt.
Hvis det er tilfældet, skal du tage skridt til at mindske skaden. At montere et effektivt svar på en virksomhedsdataovertrædelse er hovedsageligt et spørgsmål om omhu og årvågenhed, og det er værd at det er tid til at sikre, at dine oplysninger er beskyttet.
Har du nogensinde været involveret i en dataovertrædelse? Hvordan svarede du?