我们解释了数据泄露对您意味着什么——以及如何保护您自己的隐私免受损害。
无论您从哪里获得新闻,都无法避免有关最新数据泄露事件的报道。银行、密码管理器、商家、电信运营商和几乎任何其他公司都可能无法保护敏感的用户数据。LastPass 刚刚又一次受到打击,因为黑客入侵了一位顶级工程师的个人电脑。甚至美国法警局也不能幸免。但是,并非所有违规行为都是相似的,而且违规行为对您的影响可能千差万别。
我们在这里帮助您了解什么是数据泄露,并提供一些技巧来保护您的个人生活免受最坏的影响。
数据窃贼想要什么?
想象一个犯罪团伙推着一辆装满贵重物品的保险箱的装甲车。他们似乎赚了大钱,但实际上,他们不知道每个保险箱的主人是谁,他们不知道里面装的是什么,而且他们还需要光年才能弄清楚这些密码。这很像数据窃贼从密码管理器或类似公司获取加密数据保险库时发生的情况。如果实施得当,这样的保险库只能由所有者打开,所有解密都在所有者的设备上本地进行。
面对神秘的保险箱或未知的加密数据块,窃贼可能会转向更容易的目标。然而,即使是一点点附加信息也可以使破解保险箱变得更容易。例如,在最近的 LastPass 漏洞中,窃贼获得了保险库中密码 URL 的非加密版本。这使得猜测主密码变得更加容易,当然,一旦小偷拿到了您的保险库副本,他们就可以花费任何时间来破解它。
如果您的数据因违规而被盗,会发生什么?
在另一种违规行为中,窃贼可以全部或部分获取公司的客户名单。无论他们闯入办公室获取纸质清单,还是侵入在线数据库,结果都是一样的。在最好的情况下,他们只会获得不太私密的详细信息,例如您的姓名、地址、电话号码和电子邮件。的确,他们可以将该信息出售给数据聚合商和经纪人。他们可能会得到一份您的购买清单,经纪人也会对此感兴趣。
可以想象被盗数据可能包括您的信用卡号码,但这并不像您想象的那么令人担忧。长期存在的支付卡行业数据安全标准 ( PCI-DSS ) 协议详细定义了信用卡交易的安全性,并且只要企业遵守规则,它在大多数情况下都有效。在任何情况下,您都不必支付欺诈性信用卡费用(至少在美国是这样)。请注意,在许多情况下,您的信用卡详细信息位于第三方提供商处,而不是您支付的商家处。
在线商家和其他网站有责任保护您的帐户详细信息。许多人做得很好,将所有数据加密并使用零知识技术,让他们在不知道或存储该密码的情况下验证您的登录密码。但是,如果某个站点不安全地存储您的密码以致于被泄露,您就失去了对该帐户的控制权。根据网站的类型,黑客可以下订单、进行银行转账、以您的名义发送电子邮件,甚至可以通过更改密码将您拒之门外。
它在两个方面变得更糟。首先,如果您还没有得到密码管理器的帮助,您可能会在多个站点上使用相同的密码。黑客知道这一点,并迅速将被盗的凭据与其他热门网站进行核对。其次,如果他们可以访问您的电子邮件帐户,在大多数情况下,他们可以使用标准密码重置机制来捕获您的更多在线帐户。泄露您的密码的漏洞可能会迅速升级为全面的身份盗用。
我们测试过的最佳身份盗窃保护软件
即使没有完美实施零知识身份验证,它也会为试图破解安全性的恶意分子制造严重障碍。相反,当公司忽视这项技术时,结果可能是灾难性的。细节仍在不断涌现,但LastPass 兄弟公司 GoTo 似乎也遭到黑客攻击,丢失了其多个产品线的用户数据,包括加密备份。公司声明(在新窗口中打开)透露“威胁行为者泄露了部分加密备份的加密密钥。” 这是正确的。使用零知识,公司永远不会存储或查看每个用户的唯一解密密码。但在这种情况下,单一密码似乎存储在加密数据附近,有点像在门上写下保险箱的密码。
数据库是如何被黑客攻击的?
我让一个 AI 图像创建程序画出“黑客获得对加密数据库的访问权限”。毫不奇怪,所有结果都描绘了一个穿着连帽衫的人物在检查无穷无尽的神秘字符行时敲打代码。这种级别的黑客攻击确实会发生,但在现实生活中,破解账户可能要简单得多。
Norton Password Manager 漏洞就是一个很好的例子。攻击者没有破坏诺顿的安全,也没有窃取加密数据。相反,他们使用其他盗窃案中的用户名和密码来启动称为凭据填充的过程。这很简单。他们只是使用一个脚本来尝试数以千计的用户名和密码组合,并仔细记录少数能够访问某人帐户的组合。最近的 PayPal 漏洞还涉及凭证填充。
从 LastPass 窃取加密数据保险库的团体仍然逍遥法外,他们可以无休止地尝试猜测将打开这些保险库的主密码。对每个保险库尝试一百(或一千)个最常见的密码根本不会花很长时间。如果这种努力能够破解哪怕是百分之一的目标,那盗贼们就做得很好。
想进入保险箱?只是偷组合。来自 LastPass 的最新坏消息显示,一名坚定、专注的黑客设法在一名高级工程师的个人电脑上植入了键盘记录器恶意软件,而这位高级工程师是仅有的四个掌握极其敏感的公司数据密钥的人之一。这种有针对性的攻击并不常见,但显然很有效。
数据泄露后我能做什么?
很容易将最新消息当作又一次令人厌烦的数据泄露事件,但您确实应该引起注意。您与被入侵实体有账户或其他联系吗?违规行为有多严重?有时,一篇新闻文章会详细说明,可能只说明客户电子邮件和实际地址被暴露(哇!),或者违规涉及特定的财务信息。在其他故事中,您会看到少得多的细节,要么是因为受影响的公司还不知道丢失了什么,要么是因为他们不想承认。
你不能做的一件事是等待一个被破坏的实体让你知道你是否受到了影响。像这样的黑客攻击既令人尴尬又代价高昂。出于法律原因,受害公司对其披露的内容非常谨慎。在某些情况下,一位优秀的律师可以将“抱歉,我们丢失了您的数据”之类的声明转化为集体诉讼。既然如此,只需假设您的数据已包含在违规行为中。
如果您在被入侵的公司有帐户,请更改您的密码。现在!您是否确定自己暴露在外并不重要。去做就对了。不要像六分之一的美国人那样在数据泄露后无所事事。使用由您的密码管理器生成的强而独特的密码。
不要止步于此——在您的密码管理器中搜索您使用泄露密码的任何其他网站,并修复这些网站。这是一个时间紧迫的行动。数据窃贼无法同时访问所有被盗帐户,如果行动迅速,您可能会领先于他们。
当您打开受影响的站点(或多个站点)时,请检查是否可以选择多重身份验证 (MFA) 。MFA 是您对抗帐户接管的最强大武器。启用它(如果可用)。现在登录需要您的密码和其他因素,例如手机上的验证器应用程序或物理安全密钥。如果没有这个附加因素,被盗的密码将毫无用处。
什么是双因素身份验证?
即使在您更改密码之后,也要留意受影响的公司一段时间。登录并检查是否有任何未决订单或操作是您所做的。查看公司是否为受害者提供任何形式的补偿。为您提供免费的信用跟踪订阅并非不可能。在 2015 年 Experian 违规事件发生后,Experian 为受害者提供了两年的信用监控和身份解析服务。
如果您的密码管理器保管库被盗,那就是个坏消息。如果受影响的公司没有严格遵守零知识协议,或者如果您使用蹩脚或重复使用的主密码来保护您的密码,事情就会特别棘手。更改密码并不能阻止小偷试图破解安全性,因为被盗数据仍然使用旧密码打开。事后添加 MFA 也是如此。您唯一真正的办法是切换到更可靠的密码管理器,然后为每个安全站点快速启动新的、唯一的密码。
如何保护自己免受数据泄露
如前所述,凭据填充攻击仅使用一个脚本,该脚本可自动快速检查多个帐户的最常见密码。如果您试图在没有帮助的情况下记住密码,那么您很有可能是从一堆最糟糕的密码中提取的,或者在所有地方都使用相同的密码。这是个大问题。立即获取密码管理器并开始使用它。选择一个非常重视安全性的,尤其是零知识安全性(在新窗口中打开). 零知识意味着没有其他人可以打开您的保险库,密码公司不能,心怀不满的员工不能,甚至国家安全局也不能。
我们测试过的最好的密码管理器
选择一个提供可操作的密码安全报告的密码管理器。如果您已经拥有这样的工具,请使用它。用强密码替换所有弱密码。当报告显示重复密码时,为每个站点生成一个新密码。不要拖延;您不知道下一次违规会发生在哪里。
你以前听说过这个,但我会再说一遍。使用长、强、好记的密码保护您的密码宝库。然后添加多因素身份验证。如果您可以选择,使用智能手机应用程序或物理安全密钥进行身份验证比依赖于向您发送代码的类型更好。完成这些任务后,您最好返回并为支持它的每个帐户启用 MFA。
记住超级安全密码的简单技巧
购物网站等不能公开他们没有的个人数据。是的,让网站保存您的运输和信用卡信息很方便,但如果有选择,请拒绝这种方便。您可以随时使用密码管理器根据需要填写该数据。如果某个字段未标记为必填,请将其留空。
除非您切断与数字世界的所有联系,否则您的个人信息将散布在网络上。一些保存您宝贵数据的网站没有按照应有的方式保护这些数据,这通常会导致数据泄露。您无法阻止这种情况的发生,但您可以通过遵循我们的建议来最大程度地减少您的风险,并通过在发生违规行为时注意并立即采取行动来最大限度地提高您恢复的机会。