15 bước cần thực hiện nếu bạn bị ảnh hưởng bởi vi phạm dữ liệu vốn một
Theo CNN, vi phạm Capital One đã ảnh hưởng đến hơn 105 triệu người tiêu dùng Bắc Mỹ đã đăng ký các sản phẩm tín dụng Capital One từ năm 2005 đến đầu năm 2019.
Thủ phạm bị cáo buộc, một kỹ sư phần mềm ở Seattle, đã đột nhập vào hệ thống của Capital One thông qua một tường lửa được định cấu hình sai. Cô đã truy cập một kho dữ liệu người tiêu dùng, bao gồm chi tiết liên lạc, điểm tín dụng, giới hạn chi tiêu, số dư tài khoản, thông tin bảo hiểm xã hội và số tài khoản ngân hàng. Sau đó, cô bị cáo buộc đã đăng thông tin này trên GitHub và khoe khoang về việc khai thác trên phương tiện truyền thông xã hội và Slack, làm cho ít nỗ lực để che giấu danh tính của cô. Một người dùng GitHub có liên quan đã thông báo cho Capital One, thông báo cho FBI và nghi phạm đã bị bắt trong vài ngày.
Không nghi ngờ gì về sự bất cẩn của hung thủ được cho là đã thúc đẩy tiết lộ công khai về vi phạm. Nhiều vi phạm dữ liệu không được chú ý trong nhiều tháng hoặc nhiều năm và thủ phạm vượt quá khả năng của cơ quan thực thi pháp luật Hoa Kỳ có thể trốn tránh công lý vô thời hạn.
Bất kể trường hợp nào, nếu bạn là nạn nhân tiềm năng của vi phạm dữ liệu của công ty, bạn nên hành động nhanh chóng. Thông tin cá nhân bị đánh cắp có thể được sử dụng trong hành vi trộm cắp danh tính, rất khó phát hiện, đặc biệt là đối với người già, trẻ nhỏ và người lớn bị kiểm soát hạn chế đối với dữ liệu và tài chính cá nhân của họ.
Nếu dữ liệu của bạn là một phần của vi phạm của công ty, bạn có thể không nhất thiết là nạn nhân của hành vi trộm cắp danh tính. Nhưng nó làm tăng đáng kể cơ hội của bạn, đặc biệt là nếu bạn không có hành động quyết đoán ngay sau khi biết vi phạm.
Phải làm gì khi bạn là một phần của vi phạm dữ liệu (hoặc nghi ngờ bạn là ai)
Nếu bạn có lý do để tin rằng dữ liệu của bạn có liên quan đến vi phạm dữ liệu của công ty, chẳng hạn như Capital One, đây là những gì bạn có thể làm để giảm thiểu rủi ro.
1. Xác định xem bạn có thực sự bị ảnh hưởng không
Đôi khi, tổ chức bị ảnh hưởng thiết lập một trang web hoặc đường dây nóng dành riêng cho các thành viên của cộng đồng để kiểm tra trạng thái của họ. Sau khi tiết lộ vi phạm năm 2017, Equachus đã làm cả hai. Bạn vẫn có thể sử dụng trang web của nó để kiểm tra độ phơi sáng của bạn.
Lần khác, tổ chức bị ảnh hưởng thông báo trực tiếp cho nạn nhân. Theo CNBC, Capital One cam kết thông báo cho nạn nhân thông qua nhiều kênh, có khả năng bao gồm email và tin nhắn tài khoản nội bộ an toàn.
Bạn cũng có thể sử dụng dòng thời gian và địa lý được biết đến công khai của vi phạm để xác định mức độ tiếp xúc của bạn. Chẳng hạn, vi phạm Capital One bao gồm dữ liệu từ khá nhiều người đăng ký tín dụng từ năm 2005 đến đầu năm 2019. Bạn có thể biết rằng trên đỉnh đầu của bạn cho dù điều đó có nghĩa là bạn.
2. Xác định mức độ thỏa hiệp
Điều này có thể khó hơn so với việc xác định tiếp xúc của bạn. Chẳng hạn, dữ liệu bị đánh cắp trong vi phạm Capital One dường như rơi vào ba nhóm chính:
- Dữ liệu thường có trong các ứng dụng thẻ tín dụng, chẳng hạn như tên, ngày sinh, địa chỉ nhà và thu nhập tự báo cáo
- Dữ liệu bảo hiểm xã hội - Số An sinh xã hội từ khách hàng Hoa Kỳ và số Bảo hiểm xã hội từ khách hàng Canada.
- Dữ liệu thẻ tín dụng, bao gồm lịch sử thanh toán, giới hạn tín dụng, điểm tín dụng và số dư tài khoản, nhưng dường như không phải là số thẻ tín dụng
Thủ phạm bị cáo buộc đã truy cập dữ liệu ứng dụng thẻ tín dụng từ hầu hết tất cả người tiêu dùng bị ảnh hưởng bởi vi phạm. Cô đã truy cập thông tin bảo hiểm xã hội từ một số nạn nhân nhỏ hơn - khoảng 1 triệu, chủ yếu là người Canada - và chỉ có thể có được dữ liệu giao dịch bị phân mảnh từ 23 ngày trong năm 2016, 2017 và 2018.
Nói cách khác, nếu bạn đã đăng ký một sản phẩm tín dụng Capital One từ năm 2005 đến đầu năm 2019, bạn có thể cho rằng dữ liệu ứng dụng của mình đã bị xâm phạm. Nhưng trừ khi bạn có thẻ tín dụng Capital One hoạt động từ năm 2016 đến 2018, dữ liệu giao dịch của bạn có thể an toàn.
Để biết chắc chắn, hãy liên hệ với tổ chức bị ảnh hưởng thông qua các kênh được phê duyệt, chẳng hạn như trang web tra cứu vi phạm của Equachus. Mặc dù bạn luôn có thể gọi đường dây nóng dịch vụ khách hàng thường xuyên của tổ chức hoặc sử dụng chức năng trò chuyện trực tuyến của tổ chức, bất kỳ ai khác cũng có thể. Và sau một sự vi phạm lớn, ngay cả các nhóm hỗ trợ của các tổ chức lớn cũng có thể bị choáng ngợp với các câu hỏi.
Ngoài ra, hãy đợi tổ chức bị ảnh hưởng liên hệ trực tiếp với bạn khi bạn làm việc trong phần còn lại của danh sách này. Đừng diễn giải sự im lặng đang diễn ra có nghĩa là bạn rõ ràng; tổ chức có thể mất một thời gian để xác định chính xác ai bị ảnh hưởng và làm thế nào.
3. Chú ý đến truyền thông chính thức từ Tổ chức thỏa hiệp
Nếu tổ chức bị xâm phạm cam kết thông báo cho khách hàng bị ảnh hưởng bởi vi phạm, hãy tìm hiểu chính xác cách thức và thời điểm họ sẽ làm như vậy. Vì nó ít dễ bị xâm phạm hơn email và ít bị lạm dụng hơn so với các cuộc gọi điện thoại, thư điện tử vẫn là một phương tiện thông báo vi phạm phổ biến. Các tổ chức tài chính cũng có thể sử dụng tin nhắn tài khoản nội bộ an toàn để thông báo cho khách hàng.
Đừng tin tưởng các trung gian trừ khi công ty bị xâm nhập nói rằng làm như vậy là ổn. Đừng nói chuyện với bất cứ ai cố gắng liên lạc với bạn bên ngoài một phương tiện tiết lộ đã được phê duyệt. Nếu tổ chức hứa sẽ thông báo cho nạn nhân bằng thư và ai đó gọi bạn tuyên bố họ đại diện cho họ, giả sử đó là lừa đảo và gác máy.
Nếu và khi bạn nhận được thông tin liên lạc chính thức từ tổ chức bị ảnh hưởng, hãy chú ý đến họ và hành động theo bất kỳ hướng dẫn nào bạn nhận được. Chẳng hạn, sau khi vi phạm làm tổn hại dữ liệu thẻ thanh toán, các tổ chức tài chính thường phát hành lại thẻ với số mới. Theo dõi thư của bạn và kích hoạt nó kịp thời.
Các hướng dẫn chính thức từ tổ chức bị xâm nhập có thể trùng lặp với một số hoặc tất cả các mục hành động trong danh sách này - tất cả lý do để thực hiện chúng một cách nghiêm túc.
4. Thay đổi mật khẩu cho bất kỳ tài khoản bị ảnh hưởng
Thay đổi mật khẩu cho bất kỳ tài khoản kỹ thuật số nào bạn biết hoặc nghi ngờ bị xâm phạm. Nếu bạn sử dụng cùng một mật khẩu bị xâm phạm trên các tài khoản khác không bị ảnh hưởng bởi vi phạm, hãy thay đổi cả mật khẩu trên đó. Tiến về phía trước, tránh sử dụng lại mật khẩu, sử dụng trình quản lý lưu trữ mật khẩu an toàn như 1 mật khẩu, và tận dụng cơ hội để xem lại những lời khuyên này để bảo vệ thông tin cá nhân của bạn trực tuyến.
5. Đặt cảnh báo hoạt động
Nếu bạn biết hoặc nghi ngờ rằng vi phạm đã xâm phạm thông tin tài chính của bạn, chẳng hạn như số thẻ thanh toán hoặc số tài khoản ngân hàng, hãy đặt cảnh báo hoạt động trên các tài khoản đó để theo dõi việc sử dụng trái phép. Tối thiểu, các cảnh báo này sẽ bao gồm các lần rút tiền và giao dịch tại điểm bán đã cố gắng, cũng như cố gắng truy cập tài khoản của bạn trực tuyến.
Hãy nhớ rằng tin tặc không cần phải xâm nhập vào máy tính lớn của ngân hàng để lấy thông tin thẻ thanh toán của bạn. Chẳng hạn, hơn 100 triệu người mua hàng mục tiêu bị mất thông tin thẻ thanh toán trong vụ vi phạm dữ liệu năm 2013 của nhà bán lẻ - một vi phạm không ảnh hưởng trực tiếp đến bất kỳ tổ chức tài chính nào.
6. Yêu cầu số thẻ thanh toán mới
Các công ty dịch vụ tài chính thường phân phối thẻ thanh toán mới khi khách hàng của họ bị ảnh hưởng bởi các vi phạm. Nhưng nếu dữ liệu thẻ của bạn có liên quan đến vi phạm của bên thứ ba, chẳng hạn như sự cố Target, bạn có thể cần phải chủ động.
Gọi số ở mặt sau của thẻ và nói với đại diện mà bạn tin rằng tài khoản của bạn đã bị xâm phạm. Bạn có thể cần phải giải thích kịch bản và trả lời một số câu hỏi sôi nổi, như, Thẻ đã bao giờ thuộc quyền sở hữu của bạn chưa? Hãy trung thực, nhưng đừng quá mức. Ngân hàng hoặc công ty phát hành thẻ của bạn không muốn gặp khó khăn trong các giao dịch trái phép, do đó có khả năng hủy và cấp lại thẻ của bạn với hạn chế hạn chế. Trong hầu hết các trường hợp, bạn sẽ cần chờ để sử dụng số mới cho đến khi thẻ vật lý đến trong thư.
7. Đăng ký dịch vụ bảo vệ chống trộm danh tính hoặc tín dụng miễn phí
Đó là thông lệ tiêu chuẩn cho các tổ chức bị ảnh hưởng bởi vi phạm dữ liệu để cung cấp cho khách hàng đăng ký miễn phí trong thời gian giới hạn trong giám sát tín dụng hoặc dịch vụ chống trộm danh tính. Thời gian ghi danh thường kéo dài ít nhất một năm, không có nghĩa vụ phải đăng ký lại với giá thuê bao. Một số kéo dài hơn; Equachus cung cấp cho khách hàng bị ảnh hưởng bởi vi phạm năm 2017 của nó lên đến 10 năm theo dõi tín dụng miễn phí.
Vì đăng ký vào các dịch vụ này là miễn phí và bạn không bắt buộc phải trả tiền khi thời gian miễn phí kết thúc, có rất ít nhược điểm trong việc đưa ra một tổ chức theo đề nghị của mình. Đó là điều tối thiểu họ có thể làm.
8. Đặt Cảnh báo gian lận
Đặt một cảnh báo gian lận với mỗi trong ba văn phòng báo cáo tín dụng chính: Experian, Equachus và TransUnion. Theo luật, một phòng báo cáo tín dụng phải liên hệ với hai người kia khi nhận được yêu cầu cảnh báo gian lận, vì vậy về mặt kỹ thuật, bạn chỉ cần đặt một cảnh báo với một văn phòng để bảo vệ an toàn cho cả ba. Tuy nhiên, nếu bạn không tin tưởng vào quy trình, bạn có thể liên hệ với từng văn phòng riêng lẻ.
Miễn là cảnh báo gian lận của bạn vẫn có hiệu lực, các chủ nợ tương lai phải xác minh danh tính của bạn trước khi mở các hạn mức tín dụng mới dưới tên của bạn. Khi ai đó rút tín dụng của bạn hoặc cố gắng mở một hạn mức tín dụng mới thay bạn, bạn sẽ tự động nhận được cảnh báo. Điều đó khiến cho những kẻ trộm danh tính gặp khó khăn hơn rất nhiều trong việc khai thác tín dụng tốt của bạn và trả nợ mà bạn không biết.
Cảnh báo gian lận là miễn phí để thiết lập và duy trì. Chúng tồn tại trong một năm và bạn có thể gia hạn chúng vào cuối mỗi nhiệm kỳ.
9. Yêu cầu báo cáo tín dụng miễn phí của bạn
Đây là điều bạn nên làm dù thế nào, bất kể bạn có liên quan đến vi phạm dữ liệu hay không. Theo luật, bạn được hưởng một báo cáo tín dụng miễn phí mỗi năm từ ba trong số ba văn phòng báo cáo tín dụng chính. Bạn có thể nhận được của bạn tại thường niên. Cân nhắc rút một báo cáo mỗi quý để theo dõi tín dụng của bạn trong suốt cả năm, thay vì kéo cả ba báo cáo cùng một lúc.
Quét báo cáo của bạn để biết điểm tín dụng đột ngột hoặc không giải thích được và các bằng chứng khác về hành vi trộm cắp danh tính có thể xảy ra, chẳng hạn như sự xuất hiện của hạn mức tín dụng mới mà bạn không mở.
10. Cân nhắc đăng ký để theo dõi hoặc bảo vệ liên tục
Sau khi tận dụng tối đa lợi ích của bất kỳ thành viên miễn phí hoặc thử nghiệm nào được cung cấp bởi tổ chức bị xâm nhập, hãy cân nhắc những ưu và nhược điểm của việc thanh toán để theo dõi tín dụng liên tục hoặc bảo vệ chống trộm danh tính.
Nếu bạn chỉ muốn giữ các tab về điểm tín dụng của mình, một dịch vụ giám sát tín dụng miễn phí như Vừng tín dụng có thể là tất cả những gì bạn cần Để bảo vệ chống trộm danh tính toàn diện, mạnh mẽ hơn, hãy xem xét một dịch vụ phải trả tiền như Danh tính, đi kèm với các tính năng mà các dịch vụ miễn phí không cung cấp, chẳng hạn như báo cáo quản lý rủi ro chi tiết, các công cụ để duyệt Web an toàn hơn và quét web tối.
11. Cân nhắc sử dụng dịch vụ quét web tối
Có một cơ hội tốt thông tin của bạn ở đâu đó trên web tối. Câu hỏi là, những gì đang được thực hiện với nó?
Mặc dù quét web tối không toàn diện, nhưng nó có thể tiết lộ liệu có bất kỳ dữ liệu cá nhân nào của bạn rơi vào tay kẻ xấu hay có nguy cơ làm như vậy không. Bạn không phải trả tiền cho kiến thức này; Experian cung cấp quét web tối một lần miễn phí, ví dụ. Một số chuyên gia đặt câu hỏi về giá trị của một lần quét web tối, nhưng nó gần như chắc chắn tốt hơn không có gì, đặc biệt là khi bạn không phải trả tiền cho nó.
12. Báo cáo kịp thời Hoạt động tài khoản đáng ngờ
Hãy nhớ rằng: Đó không phải là vi phạm dữ liệu mà bạn phải lo lắng; đó là những gì xảy ra tiếp theo Rất thường xuyên, đó là một loạt các nỗ lực phối hợp để đánh cắp danh tính của bạn. Chẳng hạn, tội phạm mạng đã có được địa chỉ email của khách hàng có thể mạo danh tổ chức bị xâm nhập trong các email lừa đảo tinh vi yêu cầu số tài khoản hoặc thông tin đăng nhập. Hoặc họ có thể gửi cho bạn các liên kết độc hại lây nhiễm máy tính của bạn bằng phần mềm độc hại.
Báo cáo bất kỳ và tất cả các nỗ lực để thỏa hiệp hơn nữa dữ liệu hoặc tài chính của bạn cho tổ chức bị ảnh hưởng. Các công ty đôi khi thiết lập các kênh báo cáo lạm dụng chuyên dụng sau khi vi phạm lớn. Capital One ngay lập tức tạo địa chỉ email lạm dụ[email protected].
Tương tự, nếu bạn phát hiện ra bất kỳ hoạt động đáng ngờ nào thông qua dịch vụ giám sát tín dụng, trong báo cáo tín dụng của bạn, từ cảnh báo gian lận của phòng tín dụng hoặc bằng cách xem xét sao kê thẻ tín dụng của bạn, hãy báo cáo ngay cho ngân hàng hoặc tổ chức phát hành thẻ tín dụng của bạn. Nếu hoạt động đáng ngờ liên quan đến thẻ tín dụng, tổ chức phát hành cần nhanh chóng hủy và cấp lại thẻ.
Các ngân hàng và công đoàn tín dụng thường có chính sách gian lận không có trách nhiệm đảo ngược hoặc hoàn trả các giao dịch ghi nợ trái phép. Nhưng bạn có thể gặp khó khăn trong một phần phí - lên tới $ 500 - nếu bạn chờ lâu hơn hai ngày làm việc để thông báo cho ngân hàng của mình. Cục Bảo vệ Tài chính Người tiêu dùng có mô tả chi tiết hơn về các quyền của bạn theo luật.
Để rõ ràng, bạn không phải chờ tin tức về vi phạm dữ liệu để báo cáo hoạt động đáng ngờ trên tài khoản của mình. Phí tài khoản trái phép, thông tin liên lạc sơ sài từ những người có thể hoặc không thể liên kết với tổ chức tài chính của bạn và các trường hợp có thể khác của hoạt động gian lận luôn đảm bảo báo cáo. Nhưng bạn nên đặc biệt thận trọng khi vi phạm dữ liệu được tiết lộ.
13. Đóng băng báo cáo tín dụng của bạn
Nếu bạn không có kế hoạch xin tín dụng sớm, hãy xem xét đóng băng tín dụng của bạn tại mỗi trong ba văn phòng báo cáo tín dụng chính. Giống như cảnh báo gian lận, đóng băng tín dụng là miễn phí để áp dụng và nâng. Tuy nhiên, các văn phòng không phải thông báo cho nhau khi bạn đóng băng, vì vậy bạn sẽ cần liên hệ trực tiếp với từng người.
Trong khi tín dụng của bạn bị đóng băng, chủ nợ không thể lấy báo cáo tín dụng của bạn. Điều đó có nghĩa là bạn không thể mở tài khoản thẻ tín dụng mới, xin thế chấp hoặc vay tiền cá nhân - và cũng không thể nhận dạng kẻ trộm.
Ủy ban Thương mại Liên bang có thêm thông tin về cách thức đóng băng tín dụng hoạt động và chúng khác với khóa tín dụng như thế nào, có thể mang phí hàng tháng.
14. Theo dõi các dấu hiệu cho thấy danh tính của bạn đã bị đánh cắp
Nguy cơ trộm cắp danh tính gia tăng đáng kể sau khi vi phạm dữ liệu. Dựa theo Danh tính, gần một phần năm nạn nhân vi phạm dữ liệu được thông báo sau đó bị đánh cắp danh tính.
Tìm hiểu để phát hiện các dấu hiệu có thể của hành vi trộm cắp danh tính, chẳng hạn như:
- Hóa đơn cho các dịch vụ bạn không bao giờ yêu cầu
- Bị từ chối hoặc tính phí nhiều hơn cho bảo hiểm y tế do các điều kiện bạn không có
- Yêu cầu bảo hiểm bị từ chối do những khiếu nại gần đây bạn không thực hiện
- Không còn nhận được hóa đơn quan trọng
- Thông báo thay đổi địa chỉ bất ngờ từ các chủ nợ hoặc người được trả tiền
- Rút tiền bất ngờ trong tài khoản ngân hàng hoặc phí thẻ tín dụng
- Thông báo từ IRS rằng có nhiều hơn một tờ khai thuế được nộp dưới tên của bạn cho năm tính thuế gần đây nhất
- Cảnh báo xác thực hai yếu tố (như mã số được gửi bằng SMS) mà bạn không yêu cầu
- Đơn xin tín dụng bị từ chối do tín dụng kém
Nếu bạn phát hiện bất kỳ dấu hiệu nào trong số này, đây là việc cần làm nếu bạn nghi ngờ mình là nạn nhân của hành vi trộm cắp danh tính.
15. Yêu cầu chia sẻ của bạn về bất kỳ giải quyết vi phạm
Các điều khoản giải quyết vi phạm của Equachus yêu cầu văn phòng cung cấp tối đa 10 năm theo dõi tín dụng miễn phí hoặc 125 đô la tiền mặt cho khách hàng với bảo hiểm giám sát tín dụng hiện có. Điều đó có thể không đủ để làm cho bất cứ ai giàu có, nhưng dù sao đó cũng là một cử chỉ tốt đẹp.
Nếu vi phạm dữ liệu dẫn đến một vụ kiện tập thể, bạn có thể được bồi thường thiệt hại như là một phần của lớp đó. Các thành viên lớp đủ điều kiện thường xuyên, nhưng không phải luôn luôn, nhận được thông báo qua thư chính thức về tính đủ điều kiện của họ. Những người tham gia vụ kiện bị ràng buộc bởi các điều khoản của thỏa thuận giải quyết cuối cùng, trong khi những người từ chối được tự do theo đuổi các biện pháp pháp lý khác. Nếu bạn nghĩ rằng bạn có thể ở trong một lớp mà bạn chưa nhận được thông báo chính thức, hãy kiểm tra tài nguyên của bên thứ ba miễn phí, chẳng hạn như Hành động của người tiêu dùng.
Từ cuối cùng
Trong một chu kỳ tin tức được tăng tốc bởi phương tiện truyền thông xã hội và thông báo đẩy, theo kịp các sự kiện hiện tại là một nhiệm vụ quá sức. Nhưng một số câu chuyện vi phạm qua bàn ảo của bạn ngày hôm nay có thể ảnh hưởng đến tài chính cá nhân hoặc hạnh phúc của bạn vào ngày mai.
Nó đáng giá một vài phút thời gian của bạn để chú ý đến các báo cáo về vi phạm dữ liệu lớn. Tuy nhiên, nếu bạn có bất kỳ mối liên hệ nào với tổ chức bị xâm nhập, tuy nhiên, rất có thể bạn sẽ bị ảnh hưởng.
Nếu đó là trường hợp, hãy hành động để giảm thiểu thiệt hại. Gắn kết một phản ứng hiệu quả đối với vi phạm dữ liệu của công ty chủ yếu là vấn đề cần cù và cảnh giác, và nó cũng đáng để dành thời gian để đảm bảo thông tin của bạn được bảo vệ.
Bạn đã bao giờ tham gia vào một vi phạm dữ liệu? Bạn đã trả lời như thế nào?