पिछले शुक्रवार को पीटर नाम के एक पाठक ने एक नोटिस के बारे में मुझसे संपर्क किया, जब उसने अपने मैरियट रिवार्ड्स अकाउंट में साइन करने की कोशिश की। नोटिस ने संकेत दिया कि किसी ने खाते को हैक करने का प्रयास किया होगा और उसे अपना पासवर्ड बदलना चाहिए। पीटर ने मैरियट हेल्प डेस्क के साथ एक लाइव चैट शुरू की और निम्नलिखित को बताया गया:
"हाल ही में सदस्यों के ऑनलाइन खातों की एक छोटी संख्या में अनधिकृत पहुँच प्राप्त करने के लिए प्रयास किए गए हैं। मैं आपको मैरियट डॉट कॉम पर जाने और आपके खाते की सुरक्षा सुनिश्चित करने में हमारी सहायता करने के लिए जितनी जल्दी हो सके अपना पासवर्ड बदलने के लिए प्रोत्साहित करता हूं।"जब पीटर ने एजेंट से पूछा कि क्या उसके खाते से छेड़छाड़ की गई है, तो एजेंट ने कोई और जानकारी देने से इनकार कर दिया। इससे पतरस को शक हुआ, और ठीक ही ऐसा हुआ। हम फ़िशिंग घोटाले के आदी हो गए हैं, जो हमें लॉग-इन आईडी और पासवर्ड बदलने की कोशिश करते हैं, ताकि फ़िशर्स उन्हें पकड़ सकें और फिर हमारा डेटा चुरा सकें।
पहल करें जब आपको संदेह हो कि आपका व्यक्तिगत डेटा खतरे में है
पीटर ने मैरियट डॉट कॉम की सुरक्षा अधिसूचना का ठीक उसी तरह जवाब दिया, जैसा कि विशेषज्ञ सुझाते हैं: अपने खाता आईडी या पासवर्ड में कोई भी बदलाव करने से पहले, नोटिस की सत्यता की पुष्टि करें। जैसा कि डेनिस शाल ने इस महीने के शुरू में स्किफ्ट ट्रैवल साइट पर रिपोर्ट किया था, मैरियट ने मोबाइल उपकरणों से मैरियट रिवार्ड्स खातों तक पहुंच काट दी, जब तक कि सदस्यों ने अपने पासवर्ड नहीं बदले।
शेहल ने एक मैरियट के प्रवक्ता के हवाले से दावा किया कि हैक के प्रयासों से कोई क्रेडिट-कार्ड या सोशल सिक्योरिटी नंबरों का दावा नहीं किया गया था, हालांकि उन्होंने कहा कि यह कंपनी के लिए "लगभग असंभव" था कि यह निर्धारित किया जाए कि क्या कोई खाता भंग किया गया था और यदि ऐसा है, तो कौन से
पीटर और अन्य मैरियट रिवार्ड सदस्यों को कहां छोड़ता है? कम से कम वे जानते हैं कि चेतावनी वैध थी, लेकिन वे नहीं जानते कि क्या उन्हें अपने मैरियट डॉट कॉम पासवर्ड बदलने से परे कोई सावधानी बरतने की जरूरत है।
यहां तक कि संभावित समझौता किए गए खाते के पासवर्ड को बदलने का स्पष्ट पहला चरण अधिक जटिल हो सकता है, जैसा कि यह प्रतीत होता है। यदि आपने अपना पासवर्ड याद रखने के लिए अपना ब्राउज़र सेट किया है, तो आपने अपने पासवर्ड को कागज़ पर या डेटा फ़ाइल में रिकॉर्ड किया है, या एक पासवर्ड मैनेजर का उपयोग करें, उन सूचियों को भी अपडेट करना होगा।
जबकि कई विशेषज्ञ पासवर्ड प्रबंधन के उत्पाद जैसे कि लास्टपास का उपयोग करने की सलाह देते हैं, मैं अवधारणा पर नहीं बेचा जाता। मेरे लिए, ऐसी सेवाएं हैकर्स के लिए एक और संभावित लक्ष्य बनाती हैं। अपने पासवर्ड को लिखना समस्याओं को भी प्रस्तुत करता है। (पिछले अक्टूबर में, मैंने समझाया "अपने पासवर्ड लिखने 'का सुरक्षित तरीका।")
दिसंबर 2001 के एक पोस्ट का शीर्षक "पासवर्ड की कला को माहिर करना" था जो पासवर्ड प्रबंधकों के पेशेवरों और विपक्षों पर चर्चा करता था। उस पोस्ट ने मेरी पसंदीदा पासवर्ड-निर्माण तकनीक का वर्णन किया है, जिसे कागज पर एक अलग प्रोग्राम या पासवर्ड लिखने की आवश्यकता नहीं है।
किसी ऐसी चीज़ से शुरू करें जिसे आपने पहले ही याद कर लिया है, जैसे कि गीत के बोल, कविता की एक पंक्ति या भाई-बहन, चचेरे भाई या दोस्तों के नाम। फिर उन शब्दों के दूसरे, तीसरे या अंतिम अक्षरों का उपयोग अपने पासफ़्रेज़ के रूप में करें।
उदाहरण के लिए, यदि आप नर्सरी-राइम लाइन "हिकॉरी डिकॉरी डॉक" चुनते हैं, तो माउस ने घड़ी को दौड़ाया, "अपना पासफ़्रेज़ बनाने के लिए प्रत्येक शब्द के तीसरे अक्षर (या तीन अक्षरों से छोटे अक्षरों के लिए अंतिम अक्षर) को मिलाएं:" ccceunpeo । " अतिरिक्त सुरक्षा के लिए, लाइन के अंतिम शब्द के साथ तीसरे अक्षर का क्रम शुरू करें और पहले शब्द के साथ समाप्त करें।
सुरक्षा विशेषज्ञ सलाह देते हैं कि आप अक्सर प्रत्येक साइट पर एक अलग पासफ़्रेज़ का उपयोग करें। उपरोक्त मेमनोनिक विधि विभिन्न साइटों पर अद्वितीय पासफ़्रेज़ का उपयोग करने की सुविधा प्रदान करती है: उस विशेष सेवा के समान-संख्या वाले अक्षर के साथ अक्षर अनुक्रम शुरू या समाप्त करना। इसलिए, अमेज़ॅन में, उदाहरण के लिए, उपरोक्त पासफ़्रेज़ "accceunpeo" होगा ("अमेज़ॅन" शब्द के तीसरे अक्षर से शुरू)।
अपनी क्रेडिट गतिविधि पर कड़ी निगरानी रखें
अपना पासवर्ड बदल लेने के बाद, अगला चरण यह निर्धारित करना है कि डेटा से क्या समझौता किया गया है। पीटर के मामले में, यह संभव है कि हैकर्स ने अपने मैरियट रिवार्ड्स अकाउंट से जुड़े क्रेडिट कार्ड को एक्सेस किया हो। स्पष्ट प्रतिक्रिया उस खाते के भविष्य के बयानों की निगरानी करने के लिए है ताकि कोई अनधिकृत शुल्क न दिखाई दे।
यदि आपके पास खाता गतिविधि तक ऑनलाइन पहुंच है, तो आप बिना किसी विवरण के आने के लिए प्रतीक्षा कर सकते हैं। जब भी कोई विशेष लेनदेन होता है, तो कई क्रेडिट कार्ड कंपनियां आपको ई-मेल या टेक्स्ट अलर्ट के लिए साइन अप करने देती हैं।
गोपनीयता अधिकार क्लीरिंगहाउस के "सुरक्षा ब्रीच से कैसे निपटें" पृष्ठ पर तुरंत ही विवादित धोखाधड़ी के आरोपों के महत्व पर जोर दिया गया है। जब आप किसी शुल्क पर विवाद करते हैं, तो कंपनी संभवतः चालू खाते को रद्द कर देगी और आपको एक नया कार्ड और खाता नंबर जारी करेगी।
यदि डेबिट कार्ड क्लियरिंगहाउस के "पेपर या प्लास्टिक: व्हाट हैव यू गॉट यू गॉट टू लूज़?" पृष्ठ। (PRC अनुशंसा करता है कि आप कभी भी डेबिट कार्ड का उपयोग या उपयोग न करें क्योंकि उनके पास क्रेडिट कार्ड के सुरक्षा की कमी है।)
यदि कोई मौका है कि आपका सामाजिक सुरक्षा नंबर चोरी हो गया है, तो चोर आपके नाम से नए क्रेडिट खाते खोलने के लिए SSN का उपयोग कर सकते हैं। इसीलिए आपको तीन क्रेडिट-रिपोर्टिंग एजेंसियों में से एक के साथ अपने खातों पर धोखाधड़ी का अलर्ट लगाने की आवश्यकता है। आपको नियमित रूप से अपनी क्रेडिट रिपोर्ट की निगरानी भी करनी होगी।
सुरक्षा के अतिरिक्त स्तर के लिए, आप अपने क्रेडिट खातों पर एक सुरक्षा फ़्रीज रख सकते हैं जो किसी को भी आपकी क्रेडिट जानकारी तक पहुँचने से रोकता है जब तक कि आप स्पष्ट रूप से इसकी अनुमति नहीं देते हैं। पीआरसी की सुरक्षा ब्रीच फैक्ट शीट में क्रेडिट ब्यूरो से संपर्क करने के लिए धोखाधड़ी चेतावनी का अनुरोध करने और साइन अप करने या सिक्योरिटी फ्रीज की जानकारी है।
जब आप एक रिपोर्टिंग एजेंसी से धोखाधड़ी का अनुरोध करते हैं, तो वह कंपनी आपके लिए अन्य दो एजेंसियों से संपर्क करेगी। चेतावनी 90 दिनों के लिए होगी, हालांकि आप इसे किसी भी समय रद्द कर सकते हैं या इसे सात साल तक बढ़ा सकते हैं।
एक सुरक्षा फ़्रीज की कीमत आमतौर पर $ 5 से $ 10 तक होती है और इसे हटाने के लिए, हालांकि कैलिफोर्निया और कुछ अन्य राज्यों में, पहचान-चोरी पीड़ितों को मुफ्त में सुरक्षा फ़्रीज मिल सकती है। मुफ्त वार्षिक क्रेडिट रिपोर्ट के लिए दो आधिकारिक स्रोत यूएस फेडरल ट्रेड कमिशन की फ्री क्रेडिट रिपोर्ट साइट और AnnualCreditReport.com (877-322-8228) हैं।
क्योंकि आप साल में एक बार तीन क्रेडिट-रिपोर्टिंग एजेंसियों में से प्रत्येक से एक मुफ्त रिपोर्ट का अनुरोध कर सकते हैं, आप हर चार महीनों में से एक से एक मुफ्त रिपोर्ट प्राप्त कर सकते हैं।
वर्षों पहले, मैं धोखाधड़ी के प्रयास का शिकार था। मैंने बाद में क्रेडिट-मॉनिटरिंग सेवा के लिए साइन अप किया, जो वार्षिक शुल्क लेती है। जब भी कोई संगठन तीन क्रेडिट-रिपोर्टिंग एजेंसियों में से एक से मेरे डेटा का अनुरोध करता है, तो सेवा मुझे पूरी रिपोर्ट त्रैमासिक और अलर्ट भेजती है। मेरे लिए, निगरानी सेवा की पेशकश की मन की शांति खर्च के लायक है, हालांकि कई लोगों को इस तरह की क्रेडिट निगरानी अनावश्यक लगती है।
इक्विफैक्स फाइनेंस ब्लॉग के "आइडेंटिटी थेफ्ट: एक डेटा ब्रीच के साथ डील करना" पृष्ठ बताता है कि जब आप धोखाधड़ी चेतावनी या सुरक्षा फ्रीज का अनुरोध करते हैं तो क्या होता है। ब्लॉग बताता है कि आपकी चुराई गई जानकारी का उपयोग हैकर्स एक साल या उससे अधिक समय तक नहीं कर सकते हैं, इसलिए आपकी क्रेडिट गतिविधि की निगरानी जारी रखना अत्यावश्यक है।
कंपनियों को डेटा उल्लंघनों के ग्राहकों को सूचित करने की आवश्यकता कब होती है?
पीटर के खिलाफ संभावित हैक प्रयास के बारे में कोई भी विवरण देने से मैरियट का इनकार असामान्य नहीं है। किसी संगठन के खो जाने या आपके निजी डेटा के खो जाने की स्थिति में आपसे संपर्क किए जाने की संभावना इस बात पर निर्भर करती है कि आप कहां रहते हैं।
Open Security Foundation के DataLossDB के अनुसार, 47 राज्यों ने कानून बनाए हैं, जिसमें कहा गया है कि उपभोक्ताओं को ऐसे उल्लंघनों के बारे में सूचित किया जाए जो उनकी व्यक्तिगत जानकारी को जोखिम में डालते हैं। हालांकि, केवल 12 राज्य अधिसूचना आवश्यकता को रिकॉर्ड या सूचना कानून की स्वतंत्रता और एक केंद्रीकृत प्राधिकरण, जैसे कि अटॉर्नी जनरल या उपभोक्ता संरक्षण डिवीजन के साथ जोड़ते हैं, जिसमें उल्लंघनों की सूचना दी जाती है।
संघीय नियम चिकित्सा डेटा के उल्लंघनों को कवर करते हैं। अगस्त 2009 में, अमेरिकी स्वास्थ्य और मानव सेवा विभाग ने ब्रीच नोटिफिकेशन नियम जारी किया, जो आर्थिक और नैदानिक स्वास्थ्य (हाईटेक) अधिनियम के लिए स्वास्थ्य सूचना प्रौद्योगिकी की धारा 13402 को लागू करता है और "एचआईपीएए कवर संस्थाओं और उनके व्यावसायिक सहयोगियों पर लागू होता है।" (HIPAA स्वास्थ्य बीमा पोर्टेबिलिटी और जवाबदेही अधिनियम 1996 है।)
संबंधित कहानियां
- एनएसए ने हजारों बार गोपनीयता नियमों का उल्लंघन किया, ऑडिट पाया
- 160M क्रेडिट कार्ड चुराने के लिए हैकर दोषी नहीं है
- संभव सुरक्षा के मुद्दों पर चीन आईबीएम, ओरेकल, ईएमसी पर नजर रखता है
- देजा वु सब फिर? श्रमिकों को करें: हमें हैक कर लिया गया है
2009 के अमेरिकी पुनर्निवेश और रिकवरी अधिनियम के हिस्से के रूप में, यूएस फेडरल ट्रेड कमिशन ने इलेक्ट्रॉनिक हेल्थ इंफॉर्मेशन के लिए एक अंतिम ब्रीच नोटिफिकेशन नियम जारी किया, जो "विक्रेताओं ... पर लागू होता है ... जो ऑनलाइन रिपॉजिटरी प्रदान करते हैं जिसका उपयोग लोग अपने स्वास्थ्य की जानकारी रखने के लिए कर सकते हैं। और निजी स्वास्थ्य रिकॉर्ड के लिए तीसरे पक्ष के आवेदन की पेशकश करने वाली संस्थाएं। "
कोई संघीय आवश्यकता नहीं है कि अन्य सार्वजनिक और निजी संगठन उपभोक्ताओं को सूचित करें जब उनके व्यक्तिगत डेटा से समझौता किया गया हो। "संघीय सूचना सुरक्षा और डेटा ब्रीच अधिसूचना कानून" (पीडीएफ) शीर्षक वाली कांग्रेसनल रिसर्च सर्विस की 2010 की रिपोर्ट बताती है कि राज्य के गोपनीयता कानूनों की आवश्यकता अधिक होती है कि सार्वजनिक और निजी संस्थाएं उन उपभोक्ताओं को सूचित करती हैं जो डेटा ब्रीच से प्रभावित हो सकते हैं।
नेशनल काउंसिल ऑफ स्टेट लेजिस्लेटर्स राज्य सुरक्षा ब्रीच अधिसूचना कानूनों का अवलोकन प्रदान करता है। Intersections Consumer Notification Guide (PDF) प्रत्येक राज्य की अधिसूचना आवश्यकताओं के विवरणों के बारे में बताता है।
पिछले महीने सोफोस नेकेड सिक्योरिटी ब्लॉग पर, चेस्टर विस्निवस्की ने राज्य डेटा-ब्रीच नोटिफिकेशन कानूनों में हाल के बदलावों की जांच की, बेहतर के लिए कुछ बदलाव और कुछ बदतर के लिए।
2005 में वापस डेटिंग के चार असफल प्रयासों के बाद, कांग्रेस एक व्यापक उल्लंघन-अधिसूचना कानून पारित करने के लिए अभी तक एक और प्रयास करने की ओर अग्रसर है। विक्टर ली ने लीगल इंटेलीजेंस साइट पर बताया कि हाउस एनर्जी एंड कॉमर्स कमेटी की व्यापार उपसमिति ने पिछले महीने एक सुनवाई में मामले को उठाया था, जिसमें कई उद्योग के प्रतिनिधियों और गोपनीयता विशेषज्ञों ने गवाही दी थी।
प्रमुख अनसुलझी समस्याओं में से एक यह है कि क्या संघीय अधिसूचना कानून राज्य कानूनों को उलट देगा या मौजूदा राज्य अधिसूचना आवश्यकताओं को पूरक करेगा। एक ओर, विभिन्न राज्य अधिसूचना कानूनों का अनुपालन करना कुछ कंपनियों के लिए नौकरशाही दुःस्वप्न बनाता है। दूसरी ओर, गोपनीयता की वकालत करने से डरता है कि एक एकल संघीय विनियमन कुछ मौजूदा राज्य-शासित उपभोक्ता सुरक्षा को मिटा देगा।
अपनी टिप्पणी छोड़ दो