Comment répondre à une notification de violation de données

Vendredi dernier, un lecteur du nom de Peter m'a contacté au sujet d'un avis apparu lorsqu'il tentait de se connecter à son compte Marriott Rewards. L'avis indiquait que quelqu'un avait peut-être tenté de pirater le compte et qu'il devrait changer son mot de passe. Peter a entamé une discussion en direct avec le service d'assistance de Marriott et a appris ce qui suit:

"Des tentatives ont récemment été faites pour obtenir un accès non autorisé à un petit nombre de comptes en ligne de membres. Je vous encourage à visiter Marriott.com et à changer votre mot de passe dès que possible pour nous aider à assurer la sécurité de votre compte."

Lorsque Peter a demandé à l'agent si son compte avait été compromis, l'agent a refusé de fournir d'autres détails. Cela a rendu Peter suspect, et à juste titre. Nous nous sommes habitués aux escroqueries par phishing qui tentent de nous amener à modifier nos identifiants de connexion et nos mots de passe afin que les hameçonneurs puissent les capturer, puis voler nos données.

Prenez l'initiative lorsque vous soupçonnez que vos données personnelles sont en danger

Peter a répondu à la notification de sécurité de Marriott.com exactement comme le recommandaient les experts: avant de modifier votre identifiant de compte ou votre mot de passe, confirmez l'authenticité de la notification. Comme Dennis Schaal l'a signalé plus tôt ce mois-ci sur le site de voyage Skift, Marriott a coupé l'accès aux comptes Marriott Rewards à partir d'appareils mobiles jusqu'à ce que les membres aient changé leurs mots de passe.

Schaal cite une porte-parole de Marriott qui a affirmé qu'aucun numéro de carte de crédit ou de sécurité sociale n'avait été compromis par les tentatives de piratage, bien qu'elle ait déclaré qu'il était "pratiquement impossible" pour la société de déterminer si des comptes avaient été violés et, le cas échéant, lesquels.

Où cela laisse-t-il Peter et les autres membres du programme Marriott Rewards? Au moins, ils savent que l'alerte était légitime, mais ils ne savent pas s'ils doivent prendre des précautions autres que la simple modification de leur mot de passe Marriott.com.

Même la première étape évidente consistant à modifier le mot de passe du compte potentiellement compromis pourrait être plus compliquée qu'il n'y paraît. Si vous avez configuré votre navigateur pour mémoriser vos mots de passe, enregistré vos mots de passe sur papier ou dans un fichier de données, ou utilisez un gestionnaire de mots de passe, ces listes devront également être mises à jour.

Alors que de nombreux experts recommandent d'utiliser un produit de gestion de mot de passe tel que LastPass, je ne suis pas vendu sur le concept. Pour moi, de tels services créent une autre cible potentielle pour les pirates. Écrire vos mots de passe pose également des problèmes. (En octobre dernier, j'ai expliqué "Le moyen le plus sûr d'écrire vos mots de passe.")

Un article de décembre 2001 intitulé "Maîtriser l’art des mots de passe" traitait des avantages et des inconvénients des gestionnaires de mots de passe. Cet article décrivait ma technique préférée de création de mot de passe, qui n'exigeait pas l'utilisation d'un programme séparé ni l'écriture de mots de passe sur papier.

Commencez par quelque chose que vous avez déjà mémorisé, comme des paroles de chanson, une phrase d'un poème ou les noms de frères et sœurs, de cousins ​​ou d'amis. Ensuite, utilisez les deuxième, troisième ou dernière lettres de ces mots comme phrase secrète.

Par exemple, si vous choisissez la ligne de comptine "Hickory Dickory Dock", combinez les troisièmes lettres de chaque mot (ou la dernière lettre pour les mots de moins de trois lettres) pour créer votre phrase secrète: "ccceunpeo . " Pour plus de protection, commencez la séquence de troisième lettre par le dernier mot de la ligne et terminez par le premier mot.

Les experts en sécurité recommandent d’utiliser une phrase de passe différente sur chaque site fréquenté. La méthode mnémonique ci-dessus facilite l'utilisation de phrases de passe uniques sur différents sites: début ou fin de la séquence de lettres avec la même lettre du service en question. Ainsi, sur Amazon, par exemple, la phrase secrète ci-dessus serait "accceunpeo" (commençant par la troisième lettre du mot "Amazon").

Surveillez de près votre activité de crédit

Une fois que vous avez modifié votre mot de passe, l'étape suivante consiste à déterminer quelles données ont pu être compromises. Dans le cas de Peter, il est possible que des pirates informatiques aient accédé à la carte de crédit associée à son compte Marriott Rewards. La solution évidente consiste à surveiller les déclarations futures pour ce compte afin de vous assurer qu'aucun frais non autorisé n'apparaît.

Si vous avez un accès en ligne à l'activité du compte, vous pouvez vérifier les faux frais sans avoir à attendre qu'un relevé vous soit envoyé. De nombreuses sociétés de cartes de crédit vous permettent de vous inscrire pour recevoir des alertes par e-mail ou par SMS lorsque des transactions particulières se produisent.

La page "Comment traiter une atteinte à la sécurité" de Privacy Rights Clearinghouse souligne qu'il est important de contester immédiatement les accusations frauduleuses. Lorsque vous contestez des frais, la société annulera probablement le compte courant et vous délivrera une nouvelle carte et un nouveau numéro de compte.

La notification en temps opportun est encore plus importante si le débit s’applique à un compte de carte de débit, comme expliqué dans le document intitulé «Papier ou plastique: qu’avez-vous à perdre?» Du Privacy Rights Clearinghouse. page. (La République populaire de Chine recommande de ne jamais utiliser ni même de transporter de cartes de débit car elles ne bénéficient pas de la protection des cartes de crédit.)

Si votre numéro de sécurité sociale a été volé, les voleurs peuvent utiliser le SSN pour ouvrir de nouveaux comptes de crédit à votre nom. C'est pourquoi vous devez placer une alerte de fraude sur vos comptes auprès de l'une des trois agences d'évaluation du crédit. Vous devez également surveiller votre dossier de crédit régulièrement.

Pour un niveau de protection supplémentaire, vous pouvez placer sur vos comptes de crédit un gel de sécurité empêchant toute personne d'accéder à vos informations de crédit, sauf autorisation expresse de votre part. La fiche de renseignements sur les atteintes à la sécurité de la République populaire de Chine contient des informations permettant de contacter les bureaux de crédit pour demander une alerte à la fraude et pour s'inscrire ou pour un gel de sécurité.

Lorsque vous demandez une alerte à la fraude à une agence de notification, cette société contactera les deux autres agences à votre place. L'alerte sera en place pendant 90 jours, bien que vous puissiez l'annuler à tout moment ou la prolonger jusqu'à sept ans.

Un gel de sécurité coûte généralement entre 5 et 10 dollars US à placer et à retirer, bien qu'en Californie et dans d'autres États, les victimes de vol d'identité puissent bénéficier d'un gel de sécurité gratuit. Les deux sources officielles de rapports de crédit annuels gratuits sont le site Rapports de crédits gratuits de la Federal Trade Commission des États-Unis et AnnualCreditReport.com (877-322-8228).

Étant donné que vous pouvez demander un rapport gratuit à chacune des trois agences d'évaluation du crédit une fois par an, vous pouvez obtenir un rapport gratuit de l'une des trois agences tous les quatre mois.

Il y a des années, j'ai été victime d'une tentative de fraude. Je me suis par la suite inscrit à un service de surveillance du crédit qui facture des frais annuels. Le service m'envoie des rapports trimestriels complets et des alertes chaque fois qu'une organisation demande mes données à l'une des trois agences d'évaluation du crédit. Pour moi, la tranquillité d'esprit qu'offre le service de surveillance en vaut la peine, même si de nombreuses personnes trouveraient qu'une telle surveillance du crédit n'était pas nécessaire.

La page "Usurpation d'identité: traitement d'une violation de données" sur le blog d'Equifax Finance explique ce qui se produit lorsque vous demandez une alerte à la fraude ou un gel de la sécurité. Le blog indique que les pirates informatiques ne peuvent pas utiliser vos informations volées avant un an ou plus. Il est donc impératif de continuer à surveiller votre activité de crédit.

Quand les entreprises sont-elles tenues d'informer les clients des violations de données?

Le refus de Marriott de fournir des détails sur la possible tentative de piratage contre Peter n’est pas inhabituel. La probabilité que vous soyez contacté lorsqu'une organisation perd ou peut avoir perdu vos données personnelles dépend de votre lieu de résidence.

Selon DataLossDB de l'Open Security Foundation, 47 États ont promulgué des lois exigeant que les consommateurs soient informés des violations qui mettent leurs informations personnelles en péril. Toutefois, seuls 12 États associent l'exigence de notification à une législation relative à l'enregistrement des données ou à la liberté d'information et à une autorité centralisée, telle que le procureur général ou la division de la protection du consommateur, à qui des violations sont signalées.

Les réglementations fédérales couvrent les violations de données médicales. En août 2009, le département américain de la Santé et des Services sociaux a publié la règle de notification d'infraction, qui met en œuvre l'article 13402 de la loi HITECH (Health Information Technology for Economic and Clinical Health) et s'applique aux «entités couvertes par la loi HIPAA et à leurs partenaires commerciaux». (HIPAA est la loi de 1996 sur la transférabilité et la responsabilité en matière d'assurance maladie.)

Histoires connexes

  • La NSA a enfreint des règles de confidentialité des milliers de fois, révèle un audit
  • Hacker plaide non coupable d'avoir volé 160 millions de cartes de crédit
  • La Chine envisage des problèmes de sécurité avec IBM, Oracle et EMC
  • Déjà vu de nouveau? DOE to workers: Nous avons été piratés

Dans le cadre de la loi américaine sur le réinvestissement et la récupération de 2009, la Federal Trade Commission des États-Unis a publié une règle de notification finale des violations des informations de santé électroniques qui s'applique aux "fournisseurs ... qui fournissent des référentiels en ligne que les utilisateurs peuvent utiliser pour suivre leurs informations de santé. et les entités qui proposent des applications tierces pour les dossiers médicaux personnels. "

Le gouvernement fédéral n’exige pas que les autres organisations publiques et privées informent les consommateurs lorsque leurs données personnelles ont été compromises. Le rapport de 2010 du Service de recherche sur le Congrès intitulé "Lois fédérales sur la sécurité des informations et la divulgation de données frauduleuses" (PDF) souligne que les lois nationales sur la protection de la vie privée exigent beaucoup plus que les entités publiques et privées informent les consommateurs qui pourraient avoir été affectés par une violation de données.

Le Conseil national des législatures d'État fournit un aperçu des lois sur la notification des violations de la sécurité de l'État. Le Guide de notification du consommateur Intersections (PDF) explique en détail les exigences de notification de chaque État.

Le mois dernier, sur le blog Sophos Naked Security, Chester Wisniewski a examiné les modifications récentes apportées aux lois sur la notification des violations de données par l'État, certaines modifications pour le meilleur et d'autres pour le pire.

Après quatre tentatives infructueuses remontant à 2005, le Congrès semble être sur le point de tenter une nouvelle tentative pour adopter une loi complète sur la notification des violations. Victor Li explique sur le site de Legal Intelligencer que le sous-comité du commerce du Comité de la Chambre sur le commerce et l’énergie a examiné cette affaire lors d’une audition qui a eu lieu le mois dernier et à laquelle plusieurs représentants de l’industrie et experts en protection de la vie privée ont témoigné.

L'une des principales questions en suspens est de savoir si une loi fédérale sur les notifications remplacerait les lois des États ou compléterait les obligations de notification existantes. D'une part, le respect de diverses lois en matière de notification par les États crée un cauchemar bureaucratique pour certaines entreprises. Par ailleurs, les défenseurs de la vie privée craignent qu'une seule réglementation fédérale efface certaines protections existantes des consommateurs imposées par les États.

Articles Populaires

Huit utilitaires Twitter oddball

Comment configurer Firefox Sync (vidéo)

Comment changer l'ordre de démarrage d'un PC Linux à double démarrage

Comment démarrer sur un autre disque dur sous OS X

Six étapes essentielles lors de l'embauche de votre premier employé

Chargez votre iPad depuis n'importe quel port USB pour 5 $

 

Laissez Vos Commentaires