在可能发生有史以来最大的数据泄露事件后,如何保护您的信息
在可能发生有史以来最大的数据泄露事件后,如何保护您的信息
最近,数百万甚至可能是数十亿的社会安全号码被盗,其中既有活人也有死人,这是今年最新的数据泄露事件。图片来源:iStock/Douglas Rissing
在可能发生有史以来最大的数据泄露事件后,如何保护您的信息
波士顿大学计算机工程师曼纽尔·埃格勒讲述了我们为什么脆弱以及我们可以做些什么来保护自己
如果2024年上半年的数据泄露热潮持续下去,那么今年的数据泄露事件将超过去年,去年的数据泄露事件比前年增加了72%。最新的著名受害者是国家公共数据公司(National Public Data),这家公司对求职者和消费者进行背景调查。今年早些时候,该公司遭到黑客攻击,数以百万计的社会安全号码遭到泄露——根据针对该公司的一项诉讼,如果算上死者的社会安全号码,可能会达到数十亿——这可能是有史以来最大的数据泄露事件。
工程学院(College of engineering)电气与计算机工程副教授曼纽尔•埃格勒(Manuel Egele)表示,实际上,报告的违规行为可能被低估了,因为并非所有违规行为都被报告了。埃格勒同时在艺术与科学学院(College of Arts & Sciences)任职。尽管所有50个州、哥伦比亚特区和一些美国领土都要求被黑客入侵的公司通知受影响的各方。
《波士顿邮报》今天向埃格勒询问了数据攻击激增的情况,以及个人可以做些什么来保护自己。
为简洁明了,本采访经过编辑。
问&一个
曼努埃尔·埃格勒
今天部: 为什么会有这么多漏洞?
埃格勒:有可能,因为公司越来越意识到这个问题。如果他们在安全方面投资并加强监控,那就太好了;在过去,它只是被忽视了。有许多数据泄露和成功的攻击持续了数年才被发现。
今天部: 我们知道什么样的数据窃贼最感兴趣吗?
埃格勒:小偷都是投机取巧的。他们会得到他们能得到的一切。如果他们能侵入一个系统,他们会下载数据库到他们能访问的范围内,然后里面的东西就消失了。如果是一家报纸网站,你会得到电子邮件地址,如果他们没有采取适当的安全措施,你会得到(报纸付费墙的)密码。很多人(在多个网站)重复使用他们的密码。然后,作为一个攻击者,你就要开始比赛了。你可以把这些电子邮件地址和密码带到其他地方试试。也许你在Facebook账户上使用相同的电子邮件地址和密码;现在,我(黑客)知道你所有的朋友和你在Facebook上的所有信息。
今天部: 有没有可能使你的数据万无一失?
埃格勒:你不可能做到百分之百的安全。你可以让坏人越来越难以窃取数据,特别是当你谈论的是那些财力雄厚的公司;他们应该在这方面进行投资。但在安全方面,攻击和防御之间存在不对称。对于一个好的防御,你需要能够防御尽可能多的攻击,而攻击者只需要找到一个你忘记的角度。苹果就是一个很好的例子。很多攻击者会尝试“密码填充”:用电子邮件地址登录在线服务,然后尝试常用的密码——“123456”、“password”、“admin”。然后试试什么管用。为了阻止这种情况,苹果对他们所有的在线资产所做的是,在你第三次尝试之后,你必须等待10秒钟。第五次尝试后,你必须等一分钟。然后,对手要尝试数千种不同的密码,挫败许多攻击,就变得非常非常费力和耗时。唯一的问题是在“寻找我的iPhone”(一款寻找丢失设备的应用程序)上——他们忘记了等待。所以除了“查找我的iPhone”之外,你必须在苹果上的任何地方等待。对手发现苹果忘记了这一防御措施。他们就是在那里入侵并破坏了许多非常受欢迎的iCloud账户。作为防守者,你需要面面俱到。作为攻击者,你只需要找到一个没有被覆盖的基地。
作为防守者,你需要面面俱到。作为攻击者,你只需要找到一个没有被覆盖的基地
今天部: 政府有没有采取措施保护我们的数据?
当涉及到高调的目标时,新闻报道说政府通知这个和那个银行组织,嘿,有人侵入了你的系统。因此,政府当然在密切关注恶意活动。我认为政府没有资源或义务为任何普通的夫妻店这样做。
首先想到的是Equifax大约八年前,该公司在安全措施上非常草率,运行的软件已经过时,对已知的安全漏洞有补丁,但他们没有应用。他们的很多数据都被泄露了,包括数百万的社会安全号码。[联邦和州政府与该公司达成和解,支付4.25亿美元帮助受影响的各方。]
今天部: 普通人应该多关心这个问题?我们可以采取什么预防措施?
如果你的电子邮件提供商向你发送了一个通知(他们的)数据库被泄露了,那么让他们更改你的密码是个好主意。这是一个与你有关系的组织。对于像国家公共数据这样的情况,几乎没有人与他们有直接的关系。几乎没有人知道他们的数据可能与他们在一起。然而,人们很容易遵循的良好做法包括为所有网站和与之交互的所有服务设置不同的密码。如果你试图记住密码,这会给你带来很大的精神压力。所以使用密码管理器。
他们被黑了吗?是。但是,如果它们是安全实现的,那么对于单个用户来说就不会立即出现问题,因为它们存储的所有数据都是在从主密码派生的密钥下加密的。如果你的主密码不容易被暴力破解,那么你的密码、你的数据和你的密码仍然受到保护。
多因素认证将是良好网络卫生的下一个方面,就像BU所做的那样。BU使用Duo。还有很多其他的。具有多重身份验证因素,特别是对于服务受到威胁时对您有直接影响的服务。因此,以网上银行为例,你不应该没有双因素身份验证。
在网络卫生方面还有一个方面。个人用户可以冻结他们的信用报告信用报告机构。冰冻是免费的。从本质上讲,这意味着在冻结期间,没有人可以以你的名义开设新的信贷额度。如果你正在申请一张新的信用卡,你必须先解冻冻结,然后你才能获得信用卡或抵押贷款或汽车贷款。我的信用档案至少冻结了八年。在申请贷款时,我所做的是问发放贷款的公司,你在向哪个征信局查询?我去信用局,暂时解冻——比如说,在接下来的48小时里——这样你就可以把它给贷款发放人了。24或48小时后,它会自动回到冷冻状态,所以我不用回去做任何事情。
评论与讨论
波士顿大学缓和评论,以促进知情的、实质性的、文明的对话。辱骂、亵渎、自我推销、误导、语无伦次或离题的评论将被拒绝。版主在正常营业时间(EST)有澳门威尼斯人注册,只能接受用英语写的评论。统计数据或事实必须包含引文或引文链接。