Si dice che la rete oscura sia un mercato del valore di centinaia di miliardi di dollari. E ora, se hai richiesto una carta di credito Capital One ed eri uno dei 100 milioni di persone le cui informazioni sull'account potrebbero essere state appena violate, le tue informazioni personali potrebbero essere sul web oscuro e vendere a meno del prezzo del pagamento mensile della tua auto .
Ecco cosa sappiamo fino ad ora, ed ecco come proteggere i tuoi dati dopo questa violazione, e quella successiva.
Qual è il capitale One Hack?
L'hack di Capital One sarebbe stato perpetrato da Paige Thompson, 33enne residente a Seattle. È accusata di "frode e abuso di computer" e avrà un'audizione l'1 agosto. I fatti, secondo la banca:
- Thompson ha ottenuto l'accesso a 140.000 numeri di previdenza sociale, 1 milione di numeri di previdenza sociale canadese e 80.000 numeri di conto bancario.
- Ha anche avuto accesso a un numero sconosciuto di nomi, indirizzi, punteggi di credito, limiti di credito, saldi e altre informazioni delle persone.
- Thompson ha sfruttato frammenti di dati di transazione per un totale di 23 giorni dal 2016-18.
- Gli attacchi potrebbero aver incluso clienti che hanno richiesto queste carte già nel 2005.
La vulnerabilità al sistema che ha permesso il verificarsi dell'hacking è stata resa pubblica ad aprile, ma non è stato fino a luglio, dopo essere stato avvisato da un ricercatore esterno, che Capital One ha notato e iniziato a rispondere.
Capital One prevede che l'incidente genererà "costi incrementali da circa $ 100 a $ 150 milioni nel 2019", secondo la società. "I costi previsti sono in gran parte determinati dalle notifiche dei clienti, dal monitoraggio del credito, dai costi tecnologici e dal supporto legale."
Questo è l'ultimo di una serie apparentemente infinita di hack, inclusi gli hack di Marriott, gli hack di Equifax e gli hack di Sony, che sono in gran parte il risultato di aziende che non proteggono adeguatamente le informazioni dei singoli cittadini. Dove le informazioni finiscono variano, dalla Russia alla Corea del Nord fino a luoghi sconosciuti.
Cosa è successo alla Capitale Uno dei dati persi?
La rete oscura è il mondo del crimine sotterraneo, in cui i dati vengono acquistati e venduti da attori criminali, compresi gli stati nazionali, e utilizzati per finanziare attività nefaste. Uno studio del 2019 dell'Università del Surrey ha indicato che il numero di elenchi web oscuri che potrebbero danneggiare un'impresa è aumentato del 20% dal 2016.
Ma il web oscuro è anche un mercato per acquistare e vendere numeri di carte di credito, pistole, credenziali di abbonamento rubate, password degli account Netflix e altro ancora. Un account premium Netflix "a vita" costa $ 6, ma puoi anche assumere qualcuno per entrare nel computer di qualcuno. Il cielo è il limite.
E per ora, si può presumere che le informazioni personali rubate e i numeri di previdenza sociale dei richiedenti Capital One possano essere trovati anche sul web oscuro, almeno fino a prova contraria.
Perché le nostre informazioni sono state rubate? Dov'è andato?
"Sono profondamente dispiaciuto per quello che è successo", ha dichiarato Richard Fairbank, CEO di Capital One, in un comunicato stampa di Capital One. "Mi scuso sinceramente per la comprensibile preoccupazione che questo incidente sta causando alle persone colpite e mi impegno a risolverlo."
Gli esperti di sicurezza informatica non stanno ascoltando il servizio labbra. "Non abbiamo imparato nulla da Equifax?" Chiede Bob Sullivan, conduttore del podcast Breach. "La dichiarazione della società utilizza un linguaggio assurdamente contorto:" Nessun numero di previdenza sociale è stato compromesso ... oltre 140.000 numeri di previdenza sociale ". Quando le aziende impareranno a essere sincere con le persone quando si verificano questi incidenti? "
Qui sta il nocciolo del problema.
I nostri dati vengono rubati, venduti e acquistati con scarsa consapevolezza della pubblica sicurezza. Il problema è triplice: le persone devono imparare a proteggersi meglio, i governi devono imparare a proteggere meglio i cittadini e le aziende devono imparare a proteggere meglio i dati delle persone.
La scorsa settimana, la Federal Trade Commission ha raggiunto un accordo con Equifax per pagare $ 125 ai cittadini statunitensi colpiti dall'attacco del 2017, per un totale di $ 425 milioni in restituzione. Si prevede che questo costerà a Equifax oltre $ 700 milioni in totale. E gli attacchi informatici costano alle banche più di qualsiasi altro settore: fino a $ 1 trilione di dollari all'anno e crescono mentre il tasso di attacchi sale rapidamente, per Accenture.
Al fine di combattere questi attacchi, le aziende devono sviluppare sistemi di sicurezza in grado di sostenere gli attacchi e reagire rapidamente ad essi. Ciò significa utilizzare le ultime tecnologie per rilevare ed evitare potenziali hack. E questo inizia con l'IA.
"Una delle cose che stiamo vedendo è che sempre più aziende utilizzano l'IA per la sicurezza informatica", afferma Ben Lamm, CEO della società di intelligenza artificiale Hypergiant. “Dobbiamo mettere al primo posto gli umani e assicurarci di proteggere la loro identificazione personale. L'uso dell'IA per migliorare la sicurezza degli istituti bancari è un passo naturale ".
Al di là dei danni punitivi, il governo degli Stati Uniti non sta facendo abbastanza per proteggerci. Mentre le senatrici Elizabeth Warren e Mark Warner sono state attive nella lotta per ampi cambiamenti legislativi che ritengono le aziende responsabili della perdita di informazioni, il Congresso non ha giocato a palla. Finora, poco è stato fatto per salvaguardare il pubblico. Se l'hack di Equifax non fosse abbastanza, lo snafu di Capital One potrebbe non esserlo neanche.
Cosa puoi fare per proteggerti?
Secondo Capital One, la società "notificherà le persone colpite attraverso una varietà di canali" e "renderà disponibile il monitoraggio del credito gratuito e la protezione dell'identità a tutti gli interessati". Ma è abbastanza?
Se pensi di essere stato colpito dall'hack, segui queste semplici strategie:
- Iscriviti agli avvisi di testo o e-mail per tenere traccia dell'attività dell'account.
- Monitora le tue carte di credito per attività insolite o sospette.
- Chiama il numero sulla tua carta se noti qualcosa di insolito.
- Segnala e-mail sospettate di attività di phishing al team di sicurezza di Capital One: . Non rispondere a e-mail sospette, eliminale dopo l'inoltro a Capital One e non rispondere a chiamate sospette.
Vuoi continuare a combattere? Premi i tuoi deputati e donne congressuali per fare di più per proteggere la privacy dei tuoi dati e richiedere riparazioni da aziende che non fanno abbastanza per proteggerti. Supponendo che i tuoi dati siano già persi ti mette in una posizione di vittima inutile; la perdita di dati non è una conclusione dimenticata.
"Come individui, dovremmo imparare una dura lezione e insegnarla ai nostri figli", afferma Amir Orad, CEO di SiSense, "Qualunque cosa tu memorizzi online verrà probabilmente violata un giorno, quindi sii intelligente e selettiva al riguardo."
