15 trinn å ta hvis du ble berørt av Capital One-datainnbruddet
I følge CNN berørte Capital One-bruddet mer enn 105 millioner nordamerikanske forbrukere som søkte om Capital One-kredittprodukter mellom 2005 og begynnelsen av 2019.
Den påståtte gjerningsmannen, en programvareingeniør i Seattle-området, brøt seg inn i Capital One-systemer gjennom en feilkonfigurert brannmur. Hun fikk tilgang til en mengde forbrukerdata, inkludert kontaktinformasjon, kredittpoeng, utgiftsgrenser, kontosaldoer, informasjon om sosialforsikring og bankkontonummer. Deretter la hun angivelig ut denne informasjonen på GitHub og skryter om utnyttelsen på sosiale medier og Slack, og gjorde liten innsats for å skjule identiteten hennes. En bekymret GitHub-bruker varslet Capital One, som varslet FBI, og den mistenkte ble arrestert i løpet av få dager.
Den påståtte gjerningsmannens uforsiktighet fremskaffet uten tvil offentlig offentliggjøring av bruddet. Mange brudd på data går upåaktet hen i flere måneder eller år, og gjerningspersoner utenfor rekkevidden for amerikanske rettshåndhevelsesmyndigheter kan unndra rettferdighet på ubestemt tid.
Uansett omstendigheter, hvis du er et potensielt offer for et brudd på bedriftsdata, bør du handle raskt. Stjålet personlig informasjon kan brukes til identitetstyveri, noe som kan være overraskende vanskelig å oppdage, spesielt for eldre, mindreårige barn og voksne med begrenset kontroll over deres personlige data og økonomi.
Hvis dataene dine er en del av et selskapbrudd, kan du ikke nødvendigvis bli et offer for identitetstyveri. Men det øker sjansene dine betydelig, spesielt hvis du ikke tar avgjørende tiltak rett etter at du har lært deg bruddet.
Hva du skal gjøre når du er en del av et dataovertredelse (eller mistenker at du er)
Hvis du har grunn til å tro at dataene dine var involvert i et brudd på bedriftsdata, som for eksempel Capital One, kan du gjøre dette for å dempe risikoen.
1. Bestem om du faktisk er berørt
Noen ganger setter den berørte organisasjonen opp et dedikert nettsted eller en hotline for publikum for å sjekke statusen deres. Etter å ha avslørt bruddet i 2017, gjorde Equifax begge deler. Du kan fortsatt bruke nettstedet til å sjekke eksponeringen din.
Andre ganger varsler den berørte organisasjonen ofrene direkte. I følge CNBC lovet Capital One å varsle ofre gjennom flere kanaler, sannsynligvis med e-post og sikre interne kontomeldinger.
Du kan også bruke bruddets offentlig kjente tidslinje og geografi for å bestemme eksponeringen din. For eksempel inkluderte bruddet på Capital One data fra stort sett alle som søkte om kreditt mellom 2005 og begynnelsen av 2019. Du vet sannsynligvis helt fra hodet om det betyr deg.
2. Bestem omfanget av kompromisset
Dette kan være vanskeligere enn å bestemme eksponeringen. For eksempel ser det ut som om data stjålet i Capital One-bruddet faller i tre hovedbøtter:
- Data er vanligvis inkludert i kredittkortsøknader, for eksempel navn, fødselsdato, hjemmeadresser og selvrapportert inntekt
- Informasjon om sosialforsikring - Personnummer fra amerikanske kunder og personnummer fra kanadiske kunder.
- Kredittkortdata, inkludert betalingshistorikk, kredittgrenser, kredittscore og kontosaldoer, men tilsynelatende ikke kredittkortnummer selv
Den påståtte gjerningsmannen fikk tilgang til data om kredittkortapplikasjoner fra praktisk talt alle forbrukere som ble berørt av bruddet. Hun fikk tilgang til informasjon om sosialforsikring fra et mindre antall ofre - omtrent 1 million, stort sett kanadisk - og klarte bare å skaffe fragmenterte transaksjonsdata fra 23 dager i 2016, 2017 og 2018.
Med andre ord, hvis du søkte om et Capital One-kredittprodukt mellom 2005 og begynnelsen av 2019, kan du anta at søknadsdataene dine ble kompromittert. Men med mindre du hadde et aktivt Capital One-kredittkort fra 2016 til 2018, er sannsynligvis transaksjonsdataene dine trygge.
For å vite det, nå ut til den berørte organisasjonen gjennom godkjente kanaler, for eksempel Equifax nettsted for bruddoppslag. Selv om du alltid kan ringe organisasjonens faste kundeservicetelefon eller bruke sin nettpratfunksjon, så kan alle andre. Og i kjølvannet av et stort brudd, vil til og med store organisasjoners støtteapparat bli overveldet med henvendelser.
Alternativt kan du vente på at den berørte organisasjonen kontakter deg direkte mens du jobber gjennom resten av denne listen. Ikke tolke pågående stillhet for å bety at du er i det klare; organisasjonen kan ta litt tid å bestemme hvem som er berørt og hvordan.
3. Vær oppmerksom på offisiell kommunikasjon fra den kompromitterte organisasjonen
Hvis den kompromitterte organisasjonen lover å varsle kunder som er berørt av bruddet, kan du finne ut nøyaktig hvordan og når de vil gjøre det. Siden det er mindre utsatt for kompromisser enn e-post og mindre utsatt for misbruk enn telefonsamtaler, er sneglepost et populært middel for varsling om brudd. Finansinstitusjoner kan også bruke sikre interne kontomeldinger for å varsle kunder.
Ikke stol på mellommenn med mindre det kompromitterte selskapet sier at det er OK å gjøre det. Ikke snakk med noen som prøver å kontakte deg utenfor et godkjent avsløringsmiddel. Hvis organisasjonen lover å varsle ofre med sneglepost, og noen ringer deg som hevder å representere dem, antar du at det er en svindel og legg på.
Hvis og når du mottar offisiell kommunikasjon fra den berørte organisasjonen, må du følge nøye med på dem og handle etter instruksjoner du mottar. For eksempel, etter et brudd som kompromitterer betalingskortdata, utsteder finansinstitusjoner ofte kort med nye nummer. Se etter din i posten og aktiver den omgående.
Offisielle instruksjoner fra den kompromitterte organisasjonen kan overlappe med noen eller alle handlingene på denne listen - desto mer grunn til å ta dem på alvor.
4. Endre passord for alle berørte kontoer
Endre passordet for enhver digital konto du kjenner eller mistenker å bli kompromittert i bruddet. Hvis du bruker det samme kompromitterte passordet på andre kontoer som ikke er berørt av bruddet, kan du også endre passordene på disse. Gå fremover, unngå å bruke passord igjen, bruk en sikker passordlagringsbehandling som 1Password, og benytt anledningen til å gjennomgå disse tipsene for å beskytte din personlige informasjon på nettet.
5. Angi aktivitetsvarsler
Hvis du vet eller mistenker at bruddet kompromittert den økonomiske informasjonen din, for eksempel betalingskort- eller bankkontonummer, må du angi aktivitetsvarsler på disse kontoene som skal overvåkes for uautorisert bruk. På et minimum skal disse varslene dekke forsøk på uttak og salgsstedstransaksjoner, samt forsøk på å få tilgang til kontoene dine online.
Husk at hackere ikke trenger å bryte seg inn i bankens hovedramme for å få informasjon om betalingskortet ditt. Over 100 millioner målkjøpere mistet betalingskortinformasjon i forhandlerens 2013 dataovertredelse - for eksempel et brudd som ikke direkte påvirket noen finansinstitusjoner.
6. Be om nye betalingskortnumre
Finansielle serviceselskaper distribuerer vanligvis ferske betalingskort når kundene deres blir rammet av brudd. Men hvis kortdataene dine er involvert i et tredjeparts brudd, for eksempel Target-hendelsen, kan det hende du må være proaktiv.
Ring nummeret på baksiden av kortet og fortell representanten at du mener at kontoen din ble kompromittert. Det kan hende du må forklare scenariet og svare på noen spørsmål om kjeleplaten, som: "Var kortet noen gang ute av ditt eie?" Vær sannferdig, men ikke overdriv. Bank- eller kortutstederen din vil ikke være på kroken for uautoriserte transaksjoner, så det vil sannsynligvis avbryte og gi ut kortet ditt med begrenset tilbakeslag. I de fleste tilfeller må du vente med å bruke det nye nummeret til det fysiske kortet kommer i posten.
7. Registrer deg i en gratis tjeneste for kredittovervåking eller identitetstyveri
Det er standard praksis for organisasjoner som er berørt av datainnbrudd å tilby kundene gratis begrenset tidsregistrering i kredittovervåking eller identitetstyverisikringstjenester. Påmeldingsperioder varer vanligvis minst ett år, uten forpliktelse til å registrere seg på nytt til abonnementspriser. Noen varer lenger; Equifax tilbød kunder som ble påvirket av 2017-brudd på opptil 10 år med gratis kredittovervåking.
Siden påmelding til disse tjenestene er gratis og du ikke er forpliktet til å betale når gratisperioden avsluttes, er det liten ulempe med å ta opp en organisasjon på tilbudet. Det er det minste de kan gjøre.
8. Plasser svindelvarsler
Legg en svindelvarsel hos hver av de tre store kredittrapporteringsbyråene: Experian, Equifax og TransUnion. Ifølge loven må et kredittrapporteringsbyrå kontakte de to andre når det mottar en forespørsel om svindelvarsler, slik at du teknisk sett bare trenger å legge inn et varsel hos ett byrå for å sikre beskyttelse for alle tre. Hvis du ikke stoler på prosessen, er du imidlertid fri til å kontakte hvert kontor hvert for seg.
Så lenge svindelvarslingen din er i kraft, må potensielle kreditorer bekrefte identiteten din før du åpner nye kredittlinjer i navnet ditt. Når noen trekker kreditt eller prøver å åpne en ny kredittgrense på dine vegne, vil du automatisk motta et varsel. Det gjør det langt vanskeligere for identitetstyver å utnytte din gode kreditt og gjøre gjeld gjeld uten din viten.
Svindelvarsler er gratis å innføre og vedlikeholde. De varer i ett år, og du kan fornye dem ved slutten av hver termin.
9. Gjør krav på dine gratis kredittrapporter
Dette er noe du bør gjøre uansett, uavhengig av om du er involvert i et datainnbrudd. Ved lov har du rett til en gratis kredittrapport per år fra hver av de tre store kredittrapporteringsbyråene. Du kan få din på AnnualCreditReport.com. Vurder å dra en rapport per kvartal for å overvåke kreditten din gjennom året, i stedet for å trekke alle tre rapportene samtidig.
Skann rapporten for plutselige eller uforklarlige kredittpoengnedganger og andre bevis for mulig identitetstyveri, for eksempel utseendet til en ny kredittgrense du ikke åpnet.
10. Vurder å registrere deg for kontinuerlig overvåking eller beskyttelse
Etter å ha utnyttet fulle fordeler av gratis medlemskap eller rettssak som tilbys av den kompromitterte organisasjonen, veier du fordeler og ulemper med å betale for løpende kredittovervåking eller identitetstyverivern.
Hvis du bare vil holde oversikt over kredittpoengsummen din, er en gratis kredittovervåkningstjeneste som Credit Sesame kan være alt du trenger. For en mer robust, omfattende identitetstyveribeskyttelse, bør du vurdere en betalt tjeneste som IdentityGuard, som følger med funksjoner som gratis tjenester ikke tilbyr, for eksempel detaljerte risikostyringsrapporter, verktøy for tryggere surfing og mørk nettskanning.
11. Vurder å bruke en mørk webskanningstjeneste
Det er en god sjanse for at informasjonen din er et sted på det mørke nettet. Spørsmålet er, hva blir gjort med det?
Selv om en mørk webskanning ikke er omfattende, kan det avdekke om noen av personopplysningene dine har falt i gale hender eller er i fare for å gjøre det. Du trenger ikke å betale for denne kunnskapen; Experian tilbyr for eksempel en gratis engangs mørk webskanning. Noen eksperter stiller spørsmål ved verdien av en mørk webskanning, men det er nesten helt sikkert bedre enn ingenting, spesielt når du ikke trenger å betale for det.
12. Rapporter umiddelbart mistenkelig kontoaktivitet
Husk: Det er ikke selve datainnbruddet du må bekymre deg for; det er det som skjer videre. Veldig ofte er det en serie samordnet innsats for å stjele identiteten din. For eksempel kan nettkriminelle som har fått tak i kundenes e-postadresser utgjøre den kompromitterte organisasjonen i sofistikerte phishing-e-poster som ber om kontonummer eller påloggingsinformasjon. Eller de kan sende deg ondsinnede lenker som infiserer datamaskinen din med skadelig programvare.
Rapporter alle forsøk på å ytterligere kompromittere dine data eller økonomi til den berørte organisasjonen. Selskaper oppretter noen ganger dedikerte rapportering om overgrep etter store brudd. Capital One opprettet øyeblikkelig e-postadressen [email protected].
På samme måte, hvis du oppdager mistenkelig aktivitet gjennom en kredittovervåkningstjeneste, i kredittrapporten, fra et varsel om kredittbyråsvindel, eller ved å gjennomgå kredittkortoppgaven din, må du umiddelbart rapportere den til banken eller kredittkortutstederen. Hvis den mistenkelige aktiviteten innebærer et kredittkort, bør utstederen omgående kansellere og gi ut kortet på nytt.
Banker og kredittforeninger har generelt ikke-ansvarssvindel som reverserer eller refunderer uautoriserte debettransaksjoner. Men du kan være på kroken for en del av kostnadene - opptil 500 dollar - hvis du venter lenger enn to virkedager med å varsle banken din. Consumer Financial Protection Bureau har en mer detaljert beskrivelse av dine rettigheter i henhold til loven.
For å være tydelig, trenger du ikke vente til nyheter om et datainnbrudd for å rapportere mistenkelig aktivitet på kontoene dine. Uautoriserte kontokostnader, skissete kommunikasjoner fra personer som kanskje eller ikke er tilknyttet finansinstitusjonen din, og andre mulige tilfeller av uredelig aktivitet garanterer alltid rapportering. Men du bør være spesielt årvåken i kjølvannet av et avslørt datainnbrudd.
13. Frys kredittrapporten
Hvis du ikke har noen planer om å søke om kreditt snart, kan du vurdere å fryse kreditt på hvert av de tre store kredittrapporteringsbyråene. I likhet med svindelvarsler er kredittfrysninger gratis å bruke og løfte. Imidlertid trenger ikke byråer å varsle hverandre når du plasserer en fryse, så du må kontakte hver enkelt direkte.
Mens kreditten din er frosset, kan ikke kreditorene trekke kredittrapporten. Det betyr at du ikke kan åpne nye kredittkortkontoer, søke om pantelån eller ta et personlig lån - og heller ikke identitetstyver.
Federal Trade Commission har mer informasjon om hvordan kredittfrysingen fungerer og hvordan de skiller seg fra kredittlåser, som kan føre til månedlige avgifter.
14. Se etter tegn som viser at identiteten din er stjålet
Risikoen for identitetstyveri øker dramatisk i kjølvannet av et datainnbrudd. I følge IdentityGuard, nesten ett av fem varslede datainngrep ofre senere lider av identitetstyveri.
Lær å oppdage mulige tegn på identitetstyveri, for eksempel:
- Fakturaer for tjenester du aldri har bedt om
- Å bli avvist eller belastet mer for helseforsikring på grunn av forhold du ikke har
- Forsikringskrav avvist på grunn av nylige krav du ikke har fremsatt
- Mottar ikke lenger viktige regninger
- Uventet varsel om adresseendring fra kreditorer eller mottakere
- Uventede uttak av bankkontoer eller kredittkort
- Varsel fra skattemyndighetene om at det ble innlevert mer enn en selvangivelse i ditt navn for det siste skatteåret
- To-faktor autentiseringsvarsler (for eksempel numeriske koder sendt via SMS) som du ikke ba om
- Kredittsøknader avvist på grunn av dårlig kreditt
Hvis du oppdager noen av disse skiltene, er det her du skal gjøre hvis du mistenker at du er et offer for identitetstyveri.
15. Gjør krav på din andel av ethvert brudd på oppgjør
Vilkårene for Equifaxs overtredelsesoppgjør krevde at byrået ga inntil 10 års gratis kredittovervåking eller $ 125 kontanter til kunder med eksisterende dekning for kredittovervåkning. Det kan ikke være nok til å gjøre noen rike, men det er en fin gest likevel.
Hvis et datainnbrudd fører til et søksmål om klassehandlinger, kan du ha rett til erstatning som en del av den klassen. Kvalifiserte klassemedlemmer mottar ofte, men ikke alltid, offisiell melding om valgbarhet. De som melder seg inn i søksmålet er bundet av vilkårene for det eventuelle oppgjøret, mens de som velger bort, står fritt til å forfølge andre rettsmidler. Hvis du tror at du kan være i en klasse du ikke har mottatt offisiell varsling, kan du sjekke en tredjepartsressurs uten kostnad, for eksempel forbrukerhandling.
Endelig ord
I en nyhetssyklus som er akselerert av sosiale medier og pushvarsler, er det en overveldende oppgave å holde følge med aktuelle hendelser. Men noen av historiene som krysser det virtuelle skrivebordet ditt i dag, kan påvirke din personlige økonomi eller trivsel i morgen.
Det er verdt noen minutter av tiden din å være oppmerksom på rapporter om et stort datainnbrudd. Hvis du har hatt noen tilknytning til den kompromitterte organisasjonen, hvor spenst du er, er det sannsynlig at du blir berørt.
Hvis det er tilfelle, må du iverksette tiltak for å dempe skaden. Å få et effektivt svar på brudd på bedriftsdata er stort sett et spørsmål om aktsomhet og årvåkenhet, og det er vel verdt tiden å sikre at informasjonen din er beskyttet.
Har du noen gang vært involvert i et datainnbrudd? Hvordan svarte du?