I fredags ringte en leser ved navn Peter kontakt med meg om et varsel som dukket opp da han prøvde å logge inn på sin Marriott Rewards-konto. Innkallingen angitt at noen kan ha forsøkt å hacke kontoen, og han må endre passordet. Peter startet en live-chat med Marriott-helpdesken og ble fortalt følgende:

"Det har nylig blitt forsøkt å få uautorisert tilgang til et lite antall medlemmers nettkontoer. Jeg oppfordrer deg til å besøke Marriott.com og endre passordet ditt så snart som mulig for å hjelpe oss med å sikre sikkerheten til kontoen din."

Da Peter spurte agenten om hans konto var blitt kompromittert, nektet agenten å gi ytterligere detaljer. Dette gjorde Peter mistenkelig, og med rette. Vi har blitt vant til phishing-svindel som forsøker å lure oss inn i å endre innloggings-ID og passord, slik at phishers kan fange dem og deretter stjele dataene våre.

Ta initiativet når du mistenker at dine personopplysninger er i fare

Peter reagerte på Marriott.coms sikkerhetsvarsel akkurat som ekspertene anbefaler: Før du gjør endringer i konto-ID eller passord, bekreft merknadens ekthet. Som Dennis Schaal rapporterte tidligere denne måneden på Skift-reisesiden, kuttet Marriott tilgangen til Marriott Rewards-kontoer fra mobilenheter til medlemmene hadde endret passordene sine.

Schaal sitater en Marriott-talskvinne som hevdet at ingen kredittkort eller sosialsikkerhetsnumre ble kompromittert av hackforsøk, selv om hun sa at det var "nesten umulig" for selskapet å avgjøre om noen kontoer ble overtrådt og i så fall hvilke.

Hvor forlater Peter og andre Marriott Rewards medlemmer? I det minste vet de at varselet var legitimt, men de vet ikke om de trenger å ta noen forholdsregler utover å bare endre Marriott.com-passordet.

Selv det åpenbare første skrittet for å endre potensielt kompromittert kontos passord kan være mer komplisert enn det vises. Hvis du har angitt nettleseren din for å huske passordene dine, registrert passordene dine på papir eller i en datafil, eller bruk en passordbehandling, må disse lister også oppdateres.

Mens mange eksperter anbefaler å bruke et passordhåndteringsprodukt som LastPass, blir jeg ikke solgt på konseptet. For meg oppretter slike tjenester et annet potensielt mål for hackere. Skrive ned passordene dine presenterer også problemer. (I oktober forklarte jeg "Den sikre måten å" skrive ned "passordene dine.")

Et innlegg fra desember 2001 med tittelen "Mastering av passordet" diskuterte fordeler og ulemper med passordforvaltere. Det innlegget beskrev min favoritt passord-skapelsesteknikk, som ikke krever å bruke et eget program eller skrive passord på papir.

Begynn med noe du allerede har lagret, for eksempel en sangtekst, en linje fra et dikt, eller navnene på søsken, fetter eller venner. Bruk deretter andre, tredje eller siste bokstaver av disse ordene som passordet ditt.

Hvis du for eksempel velger barnehage-linjen "Hickory Dickory Dock", løp musen klokka "kombinere de tredje bokstavene til hvert ord (eller den siste bokstaven for ord kortere enn tre bokstaver) for å lage passordet ditt:" ccceunpeo ." For ekstra beskyttelse, start den tredje bokstaven med det siste ord i linjen og avslutt med det første ordet.

Sikkerhetseksperter anbefaler at du bruker en annen passordsefras på hvert nettsted du ofte bruker. Den ovennevnte mnemoniske metoden muliggjør bruk av unike passord på forskjellige steder: Start eller avslutt brevsekvensen med samme nummer bokstav for den aktuelle tjenesten. Så på Amazon, for eksempel, vil passordet ovenfor være "accceunpeo" (begynner med tredje bokstav i ordet "Amazon").

Hold øye med kredittaktiviteten din

Etter at du har endret passordet ditt, er neste trinn å avgjøre hvilke data som kan ha blitt kompromittert. I Peters tilfelle er det mulig at hackere har tilgang til kredittkortet som er knyttet til hans Marriott Rewards-konto. Det åpenbare svaret er å overvåke fremtidige utsagn for den kontoen for å sikre at ingen uautoriserte kostnader vises.

Hvis du har online tilgang til kontoaktiviteten, kan du sjekke om falske kostnader uten å vente på at en uttalelse skal ankomme. Mange kredittkortselskaper lar deg registrere deg for e-post eller tekstvarsler når bestemte transaksjoner oppstår.

Privacy Rights Clearinghouse's "Hvordan håndtere en sikkerhetsbrudd" -side understreker viktigheten av å bestride bedrageriske kostnader med en gang. Når du bestrider et gebyr, vil selskapet sannsynligvis kansellere gjeldende konto og gi deg et nytt kort og kontonummer.

Tidlig rapportering er enda viktigere hvis avgiften er på en debetkortkonto, som forklart i "Paper or Plastic": Hva har du å tape? side. (PRC anbefaler at du aldri bruker eller til og med bære debetkort fordi de mangler beskyttelse av kredittkort.)

Hvis det er en sjanse for at ditt personnummer er blitt stjålet, kan tyvene bruke SSN til å åpne nye kredittkontoer i ditt navn. Det er derfor du må legge inn et svindelvarsel på kontoene dine med en av de tre kredittrapporteringsbyråene. Du må også overvåke kredittrapporten jevnlig.

For et ekstra beskyttelsesnivå kan du sette en sikkerhetsfrys på dine kredittkontoer som forhindrer at noen får tilgang til kredittinformasjonen din, med mindre du eksplisitt tillater det. PRCs sikkerhetsbrudd faktaark har informasjon for å kontakte kredittbyråene for å be om et svindelvarsel og for å registrere deg eller en sikkerhetsfrysing.

Når du ber om en svindelvarsel fra en rapporteringsbyrå, vil det firmaet kontakte de to andre byråene for deg. Varselet vil være på plass i 90 dager, selv om du kan avbryte det når som helst eller utvide det så lenge som sju år.

En sikkerhetsfrysing koster vanligvis fra $ 5 til $ 10 for å plassere og fjerne, selv om i California og noen andre stater, kan tyveriofre få en sikkerhetsfrysing gratis. De to offisielle kildene for gratis årlige kredittrapporter er US Federal Trade Commissions gratis kredittrapporteringssted og AnnualCreditReport.com (877-322-8228).

Fordi du kan be om en gratis rapport fra hver av de tre kredittrapporteringsbyråene en gang i året, kan du få en gratis rapport fra en av de tre hver fjerde måned.

For mange år siden ble jeg utsatt for et bedriftsforsøk. Jeg registrerte meg senere for en kredittovervåkingstjeneste som belaster en årlig avgift. Tjenesten sender meg fullstendige rapporter kvartalsvis og varsler når en organisasjon ber om dataene mine fra en av de tre kredittrapporteringsbyråene. For meg er roen i overvåkningstjenesten verdt bekostning, selv om mange mennesker vil finne slike kredittovervåkning unødvendig.

Equifax Finance Blogs "Identity Theft: Dealing with a Data Breach" -siden forklarer hva som skjer når du ber om et svindelvarsel eller sikkerhetsfrysing. Bloggen peker på at din stjålne informasjon kanskje ikke blir brukt av hackere i et år eller mer, så det er viktig å fortsette å overvåke kredittaktiviteten din.

Når er selskaper pålagt å varsle kundene om brudd på data?

Marriotts nekte å tilby detaljer om mulig hackforsøk mot Peter er ikke uvanlig. Sannsynligheten for at du blir kontaktet i det hele tatt når en organisasjon mister eller har mistet dine private data, avhenger av hvor du bor.

I henhold til Open Security Foundation's DataLossDB har 47 stater vedtatt lover som krever at forbrukeren blir varslet om brudd som bringer personopplysningene i fare. Imidlertid kombinerer bare 12 stater meldingskravet med åpen opptaks- eller informasjonslovgivning og en sentral myndighet, som f.eks. Advokat- eller forbrukeravdelingen, hvilke brudd rapporteres.

Føderale forskrifter omfatter brudd på medisinske data. I august 2009 utstedte det amerikanske departementet for helse og menneskelige tjenester bruddvarslingsregelen, som implementerer avsnitt 13402 i HITECH-loven om helseinformasjonsteknologi for økonomisk og klinisk helse (HITECH), og gjelder "HIPAA-dekket enheter og deres forretningsforbindelser". (HIPAA er Health Insurance Portability and Accountability Act av 1996.)

Relaterte historier

• NSA overtrådte personvernregler tusenvis av ganger, revisjonsfunn
• Hacker pleier ikke skyldig til å stjele 160M kredittkort
• Kina øyne IBM, Oracle, EMC over mulige sikkerhetsspørsmål
• Deja vu igjen? DOE til arbeidere: Vi har blitt hacket

Som en del av American Reinvestment and Recovery Act fra 2009 utstedte US Federal Trade Commission en endelig bruddvarslingsregel for elektronisk helseinformasjon som gjelder "leverandører ... som tilbyr nettbaserte repositorier som folk kan bruke til å holde oversikt over deres helseinformasjon og enheter som tilbyr tredjepartsprogrammer for personlige helseposter. "

Det er ikke et føderalt krav om at andre offentlige og private organisasjoner informerer forbrukerne når deres personopplysninger kan ha blitt kompromittert. Congressional Research Service 2010 rapport med tittelen "Federal Information Security and Data Breach Notification Laws" (PDF) peker på at lovene om personvern er mye mer sannsynlig å kreve at offentlige og private enheter informerer forbrukere som kan ha blitt rammet av et brudd på data.

Nasjonalrådets lovgivende myndigheter gir en oversikt over lov om brudd på lov om brudd på statens sikkerhet. Intersections Consumer Notification Guide (PDF) forklarer detaljene for hver statens varselkrav.

I forrige måned på Sophos Naked Security-bloggen, undersøkte Chester Wisniewski nylig de siste endringene i loven om datatabellbrudd, noen endringer for bedre og noen for verre.

Etter fire mislykkede forsøk som går tilbake til 2005, synes kongressen å være klar til å gjøre enda et forsøk på å sende en omfattende bruddvarsel. Victor Li forklarer på Legal Intelligencer-siden at House Commerce-kommisjonens handelsunderkommitté tok opp saken i en høring i forrige måned hvor flere bransjerepresentanter og personvernseksperter vitnet.

En av de store uoppfordrede problemene er om en lov om føderal varsling vil erstatte statsloven eller utfylle eksisterende krav til statlig varsling. På den ene siden oppretter et byråkratisk mareritt for noen selskaper i samsvar med ulike lovgivningslover. På den annen side frykter personvernsforvaltere at en enkelt føderal regulering vil utrydde noen eksisterende statliggjorte forbrukerbeskyttelse.