Điều gì thực sự xảy ra khi vi phạm dữ liệu (và bạn có thể làm gì với nó)

Tác giả sysadmin, T.Bảy 31, 2023, 05:45:32 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Điều gì thực sự xảy ra khi vi phạm dữ liệu (và bạn có thể làm gì với nó)


Chúng tôi giải thích ý nghĩa của vi phạm dữ liệu đối với bạn—và cách tự bảo vệ bạn trước những thiệt hại đối với quyền riêng tư của bạn.


Bạn có thể hình dung việc vi phạm dữ liệu xảy ra tại các trang web nhạy cảm, như ngân hàng, trình quản lý mật khẩu, có thể là cơ quan chính phủ. Nhưng trên thực tế, bất kỳ trang web nào lưu trữ bất kỳ loại thông tin cá nhân nào đều có khả năng bị vi phạm. Vào tháng 7 năm 2023, gã khổng lồ trò chơi Roblox đã tiết lộ một vụ vi phạm xảy ra vài năm trước và làm lộ dữ liệu cá nhân của khoảng 4.000 nhà phát triển. Mặc dù vi phạm đã cũ nhưng gần đây nó lại xuất hiện trở lại, với các nạn nhân bị các cuộc gọi điện thoại quấy rối và hơn thế nữa. Tuy nhiên, không phải tất cả các vi phạm đều giống nhau và ảnh hưởng của vi phạm đối với các cá nhân có thể rất khác nhau.

Chúng tôi ở đây để giúp bạn hiểu thế nào là vi phạm dữ liệu và đưa ra một số mẹo để bảo vệ cuộc sống cá nhân của bạn khỏi những tác động xấu nhất của vi phạm.

1. Kẻ trộm dữ liệu muốn gì?

Hãy tưởng tượng một băng đảng tội phạm đang đẩy một chiếc xe bọc thép chở những chiếc két sắt chứa đầy những vật có giá trị. Có vẻ như họ đã kiếm được một khoản tiền béo bở, nhưng trên thực tế, họ không biết ai sở hữu từng chiếc két sắt, họ không biết bên trong có gì và họ mất nhiều năm ánh sáng để tìm ra các kết hợp. Điều đó rất giống với những gì xảy ra khi kẻ trộm dữ liệu nắm giữ kho dữ liệu được mã hóa từ trình quản lý mật khẩu hoặc công ty tương tự. Khi được triển khai đúng cách, chỉ chủ sở hữu mới có thể mở một kho tiền như vậy với tất cả quá trình giải mã diễn ra cục bộ trên thiết bị của chủ sở hữu.

Đối mặt với một két sắt bí ẩn hoặc một khối dữ liệu được mã hóa không xác định, những tên trộm có khả năng chuyển sang các mục tiêu dễ dàng hơn. Tuy nhiên, ngay cả một chút thông tin bổ sung cũng có thể giúp việc bẻ khóa an toàn dễ dàng hơn. Ví dụ: trong vụ vi phạm LastPass gần đây, kẻ trộm đã lấy được các phiên bản URL không được mã hóa cho mật khẩu trong kho tiền. Điều đó làm cho việc đoán mật khẩu chính trở nên dễ dàng hơn và tất nhiên, một khi kẻ trộm có trong tay bản sao kho tiền của bạn, chúng có thể dành bất kỳ khoảng thời gian nào để bẻ khóa.

2. Điều gì xảy ra nếu dữ liệu của bạn bị đánh cắp do vi phạm?

Trong một loại vi phạm khác, kẻ trộm có được danh sách khách hàng của công ty, toàn bộ hoặc một phần. Cho dù họ đột nhập vào văn phòng và lấy một danh sách trên giấy hay đột nhập vào cơ sở dữ liệu trực tuyến, thì kết quả vẫn như nhau. Trong trường hợp tốt nhất, họ chỉ nhận được những chi tiết không quá riêng tư như tên, địa chỉ, số điện thoại và email của bạn. Đúng vậy, họ có thể bán thông tin đó cho các nhà môi giới và tổng hợp dữ liệu. Họ có thể nhận được danh sách các giao dịch mua của bạn, điều mà các nhà môi giới cũng quan tâm.

Có thể hình dung dữ liệu bị đánh cắp có thể bao gồm số thẻ tín dụng của bạn, nhưng đó không phải là vấn đề đáng lo ngại như bạn nghĩ. Giao thức Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán ( PCI-DSS ) lâu đời xác định tính bảo mật của các giao dịch thẻ tín dụng một cách chi tiết và giao thức này hoạt động hầu hết thời gian, miễn là các doanh nghiệp tuân theo các quy tắc. Trong mọi trường hợp, bạn không phải trả phí gian lận thẻ tín dụng (ít nhất là ở Hoa Kỳ). Lưu ý rằng trong nhiều trường hợp, chi tiết thẻ tín dụng của bạn nằm ở nhà cung cấp bên thứ ba, không phải ở người bán mà bạn đã thanh toán.

Người bán trực tuyến và các trang web khác có nhiệm vụ bảo vệ chi tiết tài khoản của bạn. Nhiều người làm rất tốt, giữ cho tất cả dữ liệu được mã hóa và sử dụng các kỹ thuật Zero Knowledge cho phép họ xác thực mật khẩu đăng nhập của bạn mà không cần biết hoặc lưu trữ mật khẩu đó. Nhưng nếu một trang web lưu trữ mật khẩu của bạn không an toàn đến mức nó bị lộ do vi phạm, thì bạn đã mất quyền kiểm soát tài khoản đó. Tùy thuộc vào loại trang web, tin tặc có thể đặt hàng, thực hiện chuyển khoản ngân hàng, gửi email bằng tên của bạn và thậm chí khóa bạn bằng cách thay đổi mật khẩu.

Nó trở nên tồi tệ hơn, theo hai cách. Đầu tiên, nếu bạn chưa tìm cách tranh thủ sự trợ giúp của trình quản lý mật khẩu, thì bạn có thể sử dụng cùng một mật khẩu trên nhiều trang web. Tin tặc biết điều này và nhanh chóng kiểm tra thông tin đăng nhập bị đánh cắp đối với các trang web phổ biến khác. Thứ hai, nếu họ có quyền truy cập vào tài khoản email của bạn, trong hầu hết các trường hợp, họ có thể sử dụng cơ chế đặt lại mật khẩu tiêu chuẩn để lấy thêm tài khoản trực tuyến của bạn. Vi phạm làm lộ mật khẩu của bạn có thể nhanh chóng biến thành hành vi trộm cắp danh tính toàn diện.

Ngay cả khi xác thực Zero Knowledge không được triển khai hoàn hảo, nó vẫn tạo ra những trở ngại nghiêm trọng đối với những kẻ xấu đang cố bẻ khóa bảo mật. Ngược lại, khi các công ty bỏ qua công nghệ này, kết quả có thể là thảm họa. Các chi tiết vẫn đang được tiết lộ, nhưng có vẻ như công ty anh em của LastPass là GoTo cũng đã bị tấn công, làm mất dữ liệu của người dùng một số dòng sản phẩm, bao gồm cả các bản sao lưu được mã hóa. Một tuyên bố của công ty tiết lộ rằng "một tác nhân đe dọa đã lấy cắp khóa mã hóa cho một phần của các bản sao lưu được mã hóa." Đúng rồi. Với Zero Knowledge, một công ty không bao giờ lưu trữ hoặc nhìn thấy mật khẩu giải mã duy nhất của mỗi người dùng. Nhưng trong trường hợp này, có vẻ như mật khẩu duy nhất được lưu trữ gần với dữ liệu được mã hóa, giống như viết mã két sắt trên cửa.

3. Cơ sở dữ liệu bị tấn công như thế nào?

Tôi đã yêu cầu một chương trình tạo hình ảnh AI vẽ "một hacker có quyền truy cập vào cơ sở dữ liệu được mã hóa". Không có gì đáng ngạc nhiên, tất cả các kết quả đều mô tả một nhân vật mặc áo hoodie đang gõ mã trong khi kiểm tra các dòng ký tự khó hiểu dài vô tận. Mức độ hack này có xảy ra, nhưng trong cuộc sống thực, việc xâm nhập vào tài khoản có thể đơn giản hơn nhiều.

Vụ vi phạm Trình quản lý mật khẩu Norton là một ví dụ điển hình. Những kẻ tấn công không vi phạm bảo mật của Norton và không đánh cắp dữ liệu được mã hóa. Thay vào đó, họ đã sử dụng tên người dùng và mật khẩu từ các vụ trộm khác để bắt đầu quá trình gọi là nhồi thông tin xác thực. Nó rất đơn giản. Họ chỉ sử dụng một tập lệnh để thử hàng nghìn và hàng nghìn kết hợp tên người dùng và mật khẩu, cẩn thận lưu ý một số kết hợp mang lại quyền truy cập vào tài khoản của ai đó. Vụ vi phạm PayPal gần đây cũng liên quan đến việc nhồi thông tin xác thực.

Nhóm đã đánh cắp các kho dữ liệu được mã hóa từ LastPass vẫn còn rất lớn và chúng có thể thực hiện vô số nỗ lực để đoán mật khẩu chính sẽ mở các kho đó. Sẽ không mất nhiều thời gian để thử hàng trăm (hoặc nghìn) mật khẩu phổ biến nhất đối với mỗi kho tiền. Nếu nỗ lực này phá vỡ dù chỉ một mục tiêu trong một trăm mục tiêu, thì những tên trộm đang làm rất tốt.

Bạn muốn vào một két an toàn? Chỉ cần ăn cắp sự kết hợp. Tin xấu mới nhất từ LastPass tiết lộ rằng một tin tặc quyết tâm, tập trung đã tìm cách cài đặt phần mềm độc hại keylogger trên máy tính cá nhân của một kỹ sư cấp cao, một trong bốn người duy nhất nắm giữ chìa khóa đối với dữ liệu cực kỳ nhạy cảm của công ty. Kiểu tấn công có mục tiêu này không phổ biến, nhưng nó rõ ràng là có hiệu quả.

4. Tôi có thể làm gì sau khi vi phạm dữ liệu?

Thật dễ dàng để bỏ qua những tin tức mới nhất như một vụ vi phạm dữ liệu nhàm chán khác, nhưng bạn thực sự nên chú ý. Bạn có tài khoản hoặc kết nối khác với thực thể bị vi phạm không? Vi phạm nghiêm trọng đến mức nào? Đôi khi một bài báo sẽ đánh vần nó, có thể không nêu gì ngoài địa chỉ email và địa chỉ thực của khách hàng đã bị lộ (whew!) Hoặc vi phạm liên quan đến thông tin tài chính cụ thể. Trong những câu chuyện khác, bạn sẽ thấy ít chi tiết hơn, bởi vì công ty bị ảnh hưởng vẫn chưa biết những gì đã bị mất hoặc vì họ không muốn thừa nhận điều đó.

Một điều bạn không thể làm là đợi một thực thể bị vi phạm cho bạn biết liệu bạn có bị ảnh hưởng hay không. Một vụ hack như thế này vừa đáng xấu hổ vừa tốn kém. Vì lý do pháp lý, các công ty nạn nhân rất thận trọng về những gì họ tiết lộ. Trong một số trường hợp, một luật sư giỏi có thể ghép một tuyên bố như "Xin lỗi, chúng tôi đã làm mất dữ liệu của bạn" thành một vụ kiện tập thể. Trong trường hợp đó, chỉ cần giả sử dữ liệu của bạn được đưa vào vi phạm.

Nếu bạn có tài khoản với công ty bị vi phạm, hãy thay đổi mật khẩu của bạn. Hiện nay! Không quan trọng bạn có chắc mình đã bị lộ hay không. Cứ làm đi. Đừng là một trong số sáu người Mỹ vô tình không làm gì sau khi vi phạm. Sử dụng mật khẩu mạnh, duy nhất được tạo bởi trình quản lý mật khẩu của bạn.

Không dừng lại ở đó—hãy tìm kiếm trình quản lý mật khẩu của bạn để tìm bất kỳ trang web nào khác mà bạn đã sử dụng mật khẩu bị xâm phạm và cũng sửa những trang web đó. Đây là một hành động quan trọng về thời gian. Kẻ trộm dữ liệu không thể truy cập đồng thời mọi tài khoản bị đánh cắp và bằng cách hành động nhanh chóng, bạn có thể vượt lên trước chúng.

Trong khi bạn đã mở trang web (hoặc các trang web) bị ảnh hưởng, hãy kiểm tra xem liệu xác thực đa yếu tố (MFA) có phải là một tùy chọn hay không. MFA là vũ khí mạnh nhất của bạn để chống lại việc chiếm đoạt tài khoản. Kích hoạt nó, nếu có. Bây giờ đăng nhập yêu cầu cả mật khẩu của bạn và một yếu tố khác, chẳng hạn như ứng dụng xác thực trên điện thoại của bạn hoặc khóa bảo mật vật lý. Mật khẩu bị đánh cắp là vô ích nếu không có yếu tố bổ sung đó.

Ngay cả sau khi bạn thay đổi mật khẩu, hãy theo dõi công ty bị ảnh hưởng trong một thời gian. Đăng nhập và kiểm tra xem có bất kỳ đơn đặt hàng hoặc hành động đang chờ xử lý nào là những việc bạn đã làm hay không. Xem liệu công ty có đưa ra bất kỳ hình thức bồi thường nào cho nạn nhân hay không. Cung cấp cho bạn đăng ký theo dõi tín dụng miễn phí không phải là vấn đề. Sau vụ vi phạm Experian vào năm 2015, Experian đã cung cấp cho nạn nhân hai năm dịch vụ giám sát tín dụng và giải quyết danh tính.

Nếu kho tiền quản lý mật khẩu của bạn bị đánh cắp, thì đó là một tin xấu. Mọi thứ đặc biệt rắc rối nếu công ty bị ảnh hưởng không tuân theo chính xác các giao thức Zero Knowledge hoặc nếu bạn bảo vệ mật khẩu của mình bằng mật khẩu chính khập khiễng hoặc được sử dụng lại. Thay đổi mật khẩu của bạn sẽ không ngăn được kẻ trộm cố gắng bẻ khóa bảo mật vì dữ liệu bị đánh cắp vẫn mở bằng mật khẩu cũ. Điều này cũng đúng với việc thêm MFA sau khi thực tế. Cách thực sự duy nhất của bạn là chuyển sang một trình quản lý mật khẩu đáng tin cậy hơn và sau đó nhanh chóng tạo ra các mật khẩu mới, duy nhất cho mọi trang web an toàn.

5. Cách tự bảo vệ mình khỏi vi phạm dữ liệu

Như đã lưu ý, các cuộc tấn công nhồi thông tin xác thực chỉ cần sử dụng một tập lệnh tự động kiểm tra nhanh các mật khẩu phổ biến nhất đối với nhiều tài khoản. Nếu bạn đang cố nhớ mật khẩu mà không có sự trợ giúp, rất có thể bạn đang lấy từ một nhóm mật khẩu tệ nhất hoặc sử dụng cùng một mật khẩu ở mọi nơi. Đó là một vấn đề lớn. Nhận một trình quản lý mật khẩu ngay bây giờ và bắt đầu sử dụng nó. Chọn một chương trình tập trung mạnh vào bảo mật, đặc biệt là bảo mật Zero Knowledge. Zero Knowledge có nghĩa là không ai khác có thể mở kho tiền của bạn, không phải công ty mật khẩu, không phải một nhân viên bất mãn, thậm chí không phải NSA.

Chọn trình quản lý mật khẩu cung cấp báo cáo bảo mật mật khẩu có thể thực hiện được. Nếu bạn đã được trang bị một công cụ như vậy, hãy sử dụng nó. Thay thế tất cả các mật khẩu yếu bằng mật khẩu mạnh. Khi báo cáo hiển thị mật khẩu trùng lặp, hãy tạo mật khẩu mới cho từng trang web. Đừng trì hoãn điều này; bạn không biết nơi vi phạm tiếp theo sẽ xảy ra.

Bạn đã nghe điều này trước đây, nhưng tôi sẽ nói lại lần nữa. Bảo vệ kho tàng mật khẩu của bạn bằng một mật khẩu dài, mạnh và dễ nhớ. Sau đó thêm xác thực đa yếu tố. Nếu bạn có lựa chọn, xác thực bằng ứng dụng điện thoại thông minh hoặc khóa bảo mật vật lý sẽ tốt hơn so với loại dựa trên việc nhắn tin mã cho bạn. Sau khi hoàn thành các tác vụ đó, bạn nên quay lại và bật MFA cho mọi tài khoản hỗ trợ nó.

Các trang web mua sắm và những thứ tương tự không thể tiết lộ dữ liệu cá nhân mà họ không có. Vâng, thật thuận tiện khi để trang web lưu thông tin vận chuyển và thẻ tín dụng của bạn, nhưng khi có sự lựa chọn, hãy từ chối sự tiện lợi đó. Bạn luôn có thể sử dụng trình quản lý mật khẩu của mình để điền dữ liệu đó nếu cần. Và nếu một trường không được đánh dấu là bắt buộc, hãy để trống.

Trừ khi bạn cắt đứt mọi liên lạc với thế giới kỹ thuật số, thông tin cá nhân của bạn sẽ nằm rải rác trên web. Một số trang web lưu giữ dữ liệu quý giá của bạn không bảo vệ dữ liệu đó tốt như họ nên làm, điều này thường dẫn đến vi phạm. Bạn không thể ngăn điều đó xảy ra, nhưng bạn có thể giảm thiểu khả năng bị lộ bằng cách làm theo các đề xuất của chúng tôi và tối đa hóa cơ hội phục hồi của mình bằng cách chú ý khi vi phạm xảy ra và hành động ngay lập tức.