Det er siges, at det mørke web er et marked værd hundreder af milliarder dollars. Og nu, hvis du ansøgte om et Capital One-kreditkort og var en af de 100 millioner mennesker, hvis kontooplysninger måske lige er blevet hacket, kunne dine personlige oplysninger være på det mørke web og sælge for mindre end prisen på din månedlige bilbetaling .
Her er det, vi ved indtil videre, og her er, hvordan du beskytter dine data efter denne overtrædelse - og den næste.
Hvad er Capital One Hack?
Capital One-hacket blev angiveligt begået af Paige Thompson, en 33 år gammel beboer i Seattle. Hun er tiltalt for "computersvindel og misbrug" og vil blive hørt den 1. august. Fakta ifølge banken:
- Thompson fik adgang til 140.000 socialsikringsnumre, 1 million canadiske socialforsikringsnumre og 80.000 bankkontonumre.
- Hun havde også adgang til et ikke-offentliggjort antal af folks navne, adresser, kreditresultater, kreditgrænser, saldi og anden information.
- Thompson bankede på fragmenter af transaktionsdata fra i alt 23 dage fra 2016-18.
- Angrebet kan have inkluderet kunder, der ansøgte om disse kort allerede i 2005.
Sårbarheden over for systemet, der gjorde det muligt for hacket at forekomme, blev offentliggjort tilbage i april, men det var først i juli, efter at han blev advaret af en ekstern forsker, at Capital One bemærkede og begyndte at svare.
Capital One forventer, at hændelsen vil generere ”trinvise omkostninger på mellem $ 100 og $ 150 millioner i 2019, ” ifølge virksomheden. ”Forventede omkostninger er stort set drevet af kundeadviseringer, kreditovervågning, teknologiomkostninger og juridisk support.”
Dette er det seneste i en tilsyneladende uendelig række hacks, herunder Marriott hacks, Equifax-hacket og Sony-hacket, som i vid udstrækning er resultatet af virksomheder, der ikke ordentligt beskytter oplysningerne fra de enkelte borgere. Hvor disse oplysninger ender, varierer fra Rusland til Nordkorea til ukendte steder.
Hvad skete der med Capital One-data, der blev mistet?
Det mørke web er den kriminelle undergrunds verden, hvor data købes og sælges af kriminelle aktører - inklusive nationalstater - og bruges til at finansiere ulydige aktiviteter. En undersøgelse fra 2019 fra University of Surrey viste, at antallet af mørke web-lister, der kan skade en virksomhed, er steget med 20 procent siden 2016.
Men det mørke web er også en markedsplads for at købe og sælge kreditkortnumre, kanoner, stjålne abonnementsoplysninger, Netflix-kontoopasswords og mere. En "levetid" Netflix premium-konto koster $ 6, men du kan også ansætte nogen til at bryde ind i en computers computer. Himmelen er grænsen.
Og for nu er det sikkert at antage, at de stjålne personlige oplysninger og personnummer til Capital One-ansøgere også findes på det mørke web, i det mindste indtil det påvises andet.
Hvorfor blev vores oplysninger stjålet? Hvor gik det hen?
”Jeg er dybt ked af det, der er sket, ” sagde Richard Fairbank, administrerende direktør for Capital One, i en pressemeddelelse fra Capital One. ”Jeg undskylder oprigtigt den forståelige bekymring, som denne hændelse skal forårsage de berørte, og jeg er forpligtet til at gøre det rigtigt.”
Cybersecurity-eksperter lytter ikke til læbtjenesten. ”Lærte vi intet af Equifax?” Spørger Bob Sullivan, vært for podcasten Breach. ”Virksomhedserklæringen bruger absurd snoet sprog: 'Ingen sociale sikkerhedsnumre blev kompromitteret ... bortset fra 140.000 socialsikringsnumre.' Hvornår lærer virksomheder at være lige med mennesker, når disse hændelser opstår? ”
Deri ligger kernen i problemet.
Vores data bliver stjålet, solgt og købt med meget lidt bevidsthed om offentlig sikkerhed og sikkerhed. Spørgsmålet er tredobbelt: Folk skal lære at bedre beskytte sig selv, regeringerne skal lære at bedre beskytte borgerne, og virksomheder skal lære at bedre beskytte folks data.
Sidste uge nåede Federal Trade Commission et forlik med Equifax for at betale $ 125 til amerikanske borgere, der var påvirket af angrebet i 2017, i alt op til $ 425 millioner i restitution. Dette forventes at koste Equifax mere end $ 700 millioner. Og cyberattacks koster banker mere end nogen anden industri - op til 1 billion billioner dollars om året og vokser, efterhånden som angrebstakten klatrer hurtigt pr Accenture.
For at bekæmpe disse angreb skal virksomheder udvikle sikkerhedssystemer, der kan opretholde angreb og hurtigt reagere på dem. Dette betyder at bruge de nyeste teknologier til at registrere og undgå potentielle hacks. Og det starter med AI.
”En af de ting, vi ser, er, at flere og flere virksomheder bruger AI til cybersikkerhed, ” siger Ben Lamm, administrerende direktør for AI-firmaet Hypergiant. ”Vi er nødt til at sætte mennesker først og sørge for, at vi beskytter deres personlige identifikation. At bruge AI til at forbedre bankinstitutionernes sikkerhed er et naturligt skridt. ”
Ud over straffeskader gør den amerikanske regering heller ikke nok til at beskytte os. Mens senatorerne Elizabeth Warren og Mark Warner har været aktive i at kæmpe for brede lovgivningsmæssige ændringer, der gør virksomheder ansvarlige for tabet af information, har Kongressen ikke spillet noget. Indtil videre er der ikke gjort meget for at beskytte offentligheden. Hvis Equifax-hacket ikke var nok, er Capital One-snafu muligvis heller ikke det.
Hvad kan du gøre for at beskytte dig selv?
Ifølge Capital One vil virksomheden “underrette berørte personer gennem en række kanaler” og vil “stille gratis kreditovervågning og identitetsbeskyttelse til rådighed for alle berørte.” Men er det nok?
Hvis du tror, du blev påvirket af hacket, skal du følge disse enkle strategier:
- Tilmeld dig tekst- eller e-mail-advarsler for at spore kontoaktivitet.
- Overvåg dine kreditkort for usædvanlig eller mistænksom aktivitet.
- Ring til nummeret på dit kort, hvis du ser noget usædvanligt.
- Rapporter e-mails, der er mistænkt for phishing-aktivitet til Capital One-sikkerhedsteamet: . Svar ikke på mistænkelige e-mails, slet dem efter videresendelse til Capital One, og svar ikke på mistænkelige telefonopkald.
Vil du fortsætte med at kæmpe? Tryk på dine kongresmedlemmer og kongreskvinder for at gøre mere for at beskytte dit databeskyttelse og kræve erstatning fra virksomheder, der ikke gør nok for at beskytte dig. Hvis du antager, at dine data allerede er gået tabt, sætter du dig i en position for unødvendigt offer; datatab er ikke en glemt konklusion.
"Som enkeltpersoner bør vi lære en hård lektion og lære det til vores børn, " siger Amir Orad, administrerende direktør for SiSense, "Uanset hvad du gemmer online vil sandsynligvis blive hacket en dag, så vær smart og selektiv om det."
