荷兰芯片制造商恩智浦最近遭遇了一次入侵,暴露了大量客户的个人信息。今年早些时候的一次入侵事件从美国法警服务局窃取了案件、员工和嫌疑人的信息。在Roblox公司遭遇安全漏洞后,该公司的开发人员接到了骚扰电话。一家大型密码管理公司的数据泄露可能会影响到世界各地的人们。无论是哪种类型的入侵,您的数据都可能成为下一个攻击目标。
我们在这里帮助你了解什么是数据泄露,并提供一些技巧来保护你的个人生活免受数据泄露的最坏影响。
数据窃贼想要什么?
想象一下,一个犯罪团伙推着一辆装满贵重物品的保险箱的装甲车。他们似乎赚了一大笔钱,但实际上,他们不知道每个保险箱的主人是谁,他们不知道里面装的是什么,他们还需要数光年才能弄清楚这些组合。这与数据窃贼从密码管理器或类似公司获得加密数据保险库时发生的情况非常相似。如果实现得当,这样的金库只能由所有者打开,所有解密都在所有者的设备上本地进行。
当面对神秘的保险箱或未知的加密数据块时,窃贼可能会转移到更容易的目标。然而,即使是一点点额外的信息也可以使破解保险箱变得更容易。例如,在最新的LastPass入侵事件中,窃贼获得了保险库中密码的非加密版本的URL。这使得猜测主密码变得更容易,当然,一旦窃贼拿到了你的金库副本,他们就可以花费任何时间试图破解它。
如果您的数据在漏洞中被盗,会发生什么情况?
在另一种类型的入侵中,窃贼获得了一家公司的客户名单,要么全部,要么部分。无论他们是闯进办公室拿起纸质清单,还是侵入在线数据库,结果都是一样的。在最好的情况下,他们只会得到不是很隐私的细节,比如你的名字、地址、电话号码和电子邮件。没错,他们可以把这些信息卖给数据聚合器和经纪人。他们可能会得到你的购买清单,这也是经纪人感兴趣的。
可以想象,被盗的数据可能包括你的信用卡号码,但这并不像你想象的那么大的担忧。长期存在的支付卡行业数据安全标准(PCI-DSS)协议对信用卡交易的安全进行了极其详细的定义,只要企业遵守规则,它在大多数情况下都是有效的。无论如何,你不必为信用卡上的欺诈性收费买单(至少在美国是这样)。你的信用卡信息通常保存在第三方提供商那里,而不是你支付的商家那里。
在线商家和其他网站有责任保护您的帐户详细信息。许多人做得很好,保持所有数据的加密,并使用零知识技术,使他们能够在不知道或存储密码的情况下验证您的登录密码。但如果一个网站以不安全的方式存储你的密码,导致密码在被入侵时暴露,你就失去了对该账户的控制。根据网站类型的不同,黑客可以以你的名义下单、转账、发送电子邮件,甚至通过更改密码将你锁在门外。
情况在两个方面变得更糟。首先,如果您没有时间寻求密码管理器的帮助,您可能会在多个站点上使用相同的密码。黑客知道这一点,并迅速检查被盗的凭据与其他受欢迎的网站。其次,如果他们能够访问你的电子邮件账户,他们通常可以使用标准的密码重置机制来捕获更多的你的在线账户。泄露密码的入侵可能很快升级为全面的身份盗窃。
即使零知识身份验证没有得到完美的实现,它也会给试图破解安全漏洞的恶意分子制造严重的障碍。相反,当公司忽视这项技术时,结果可能是灾难性的。细节仍在浮出水面,但LastPass的兄弟公司Goto似乎也遭到了黑客攻击,丢失了包括加密备份在内的几个产品线的用户数据。该公司的一份声明透露,“一名威胁分子泄露了部分加密备份的加密密钥。”没错。有了Zero Knowledge,公司永远不会存储或查看每个用户的唯一解密密码。但在这种情况下,单一密码似乎存储在加密数据附近,有点像在门上写保险箱的密码。
数据库是如何被黑客入侵的?
我让一个人工智能图像创建程序画出“一个黑客可以访问一个加密的数据库”。毫不奇怪,所有的结果都描绘了一个穿着连帽衫的人一边敲打着代码,一边检查无穷无尽的神秘字符。这种级别的黑客攻击确实会发生,但在现实生活中,侵入账户可能要简单得多。
诺顿密码管理器被攻破就是一个很好的例子。攻击者没有攻破诺顿的安全系统,也没有窃取加密数据。相反,他们使用来自其他失窃的用户名和密码来启动一个名为凭据填充的过程。这很简单。他们只是用一个脚本尝试了成千上万的用户名和密码组合,仔细地注意到少数几个可以访问某人的账户。2023年的PayPal泄密事件还涉及凭据填充。
从LastPass窃取加密数据金库的团伙仍然逍遥法外,他们可以无休止地尝试猜测打开这些金库的主密码。在每个保险库中尝试数百个(或数千个)最常见的密码并不会花太长时间。如果这一努力只破解了一百个目标中的一个,那么窃贼就做得很好。
想进保险箱吗?只要盗取密码就行了。来自LastPass的最新坏消息透露,一名意志坚定、专注的黑客成功地在一名高级工程师的个人电脑上植入了键盘记录恶意软件,这名工程师是掌握极其敏感企业数据的仅有的四个人之一。这种定向攻击并不常见,但显然是有效的。
数据泄露后,您可以做些什么?
人们很容易将最新消息冒充为另一起无聊的数据泄露事件,但你真的应该注意一下。您是否与被入侵的实体有帐户或其他联系?这次入侵到底有多严重?有时,一篇新闻文章会详细说明这一点,可能只会说客户的电子邮件和物理地址被曝光(呼!)或者,这起泄密事件涉及特定的财务信息。在其他故事中,你看到的细节要少得多,要么是因为受影响的公司还不知道损失了什么,要么是因为他们不想承认。
有一件事你不能做,那就是等待被攻破的实体让你知道你是否受到了影响。像这样的黑客攻击既令人尴尬,又代价高昂。出于法律原因,受害公司对自己披露的信息非常谨慎。在某些情况下,一个好的律师可以将“对不起,我们丢失了你的数据”这样的声明转化为集体诉讼。在这种情况下,只要假设您的数据包括在入侵中即可。
如果您在被入侵的公司有帐户,请更改您的密码。现在!你是否确定自己接触了病毒并不重要。就这么做。不要成为六分之一的美国人中的一员,他们在入侵后什么都不做。使用由密码管理器生成的唯一强密码。
不要止步于此–在您的密码管理器中搜索您使用泄露密码的任何其他站点,并修复这些站点。这是一个时间紧迫的行动。数据窃贼不可能同时访问每个被盗的账户,通过快速行动,你可能会领先于他们。
当您打开受影响的一个或多个站点时,请检查是否可以选择多因素身份验证(MFA)。MFA是您对抗账户接管的最有力武器。启用它(如果可用)。然后,登录将需要您的密码和另一个因素,如手机上的验证器应用程序或物理安全密钥。如果没有这个额外的因素,被盗的密码是没有用的。
即使你更改了密码,也要注意一段时间受影响的公司。登录并检查任何挂起的订单或操作是否为您所做的事情。看看该公司是否为受害者提供了任何形式的补偿。给你免费的信用跟踪订阅也不是不可能的。在2015年Experian入侵事件发生后,Experian向受害者提供了两年的信用报告监控和身份解析服务。
如果你的密码管理器保险库被盗了,那就是个坏消息。如果受影响的公司没有严格遵循零知识协议,或者如果你用一个蹩脚的或重复使用的主密码来保护你的密码,情况就会特别糟糕。更改密码并不能阻止窃贼尝试破解安全,因为被盗数据仍然使用旧密码打开。事后增加MFA也是如此。您唯一的真正办法是切换到更可靠的密码管理器,然后为每个安全站点快速设置新的、唯一的密码。
如何保护自己免受数据泄露的影响
如上所述,凭据填充攻击只使用一个脚本,该脚本可以自动快速检查多个帐户的最常见密码。如果你试图在没有帮助的情况下记住密码,很有可能你是从最糟糕的密码池中挑选出来的,或者在任何地方都使用相同的密码。这是个大问题。现在就找一个密码管理器,并开始使用它。选择一个非常强调安全,特别是零知识安全的公司。零知识意味着没有其他人可以打开你的金库,密码公司不能,心怀不满的员工也不能,甚至国家安全局也不能。
选择提供可操作的密码安全报告的密码管理器。如果你已经有了这样的工具,那就使用它吧。用强密码替换所有弱密码。当报告显示重复密码时,为每个站点生成一个新密码。不要拖延;你不知道下一个漏洞会发生在哪里。
你以前听过这句话,但我再说一遍。用一个长的、坚固的、令人难忘的密码保护你的密码宝库。然后,添加多因素身份验证。如果你可以选择,使用智能手机应用程序或物理安全密钥进行身份验证比依赖于向你发送代码的类型更好。完成这些任务后,您最好返回并为每个支持MFA的帐户启用MFA。
购物网站和类似网站不能暴露他们没有的个人数据。是的,让网站保存你的送货和信用卡信息是很方便的,但当有选择的时候,拒绝这种便利。您可以随时使用密码管理器根据需要填写该数据。如果某个字段没有标记为必填字段,则将其留空。
除非你切断与数字世界的所有联系,否则你的个人信息会散布在网络上。一些保存你的宝贵数据的网站没有像他们应该的那样很好地保护它,这经常会导致入侵。你无法阻止这种情况的发生,但你可以通过遵循我们的建议将风险敞口降至最低,并通过在入侵发生时注意并立即采取行动来最大限度地增加恢复的机会。
上一篇:如何保护您的前门快递
有话要说...