答案
建议、员工精选、揭秘等等。让我们来帮助你。
插图:Wirecutter
在收到数据泄露通知后该怎么做
发布于2020年11月18日
通常情况下,情况是这样的:你的收件箱里收到一封主题为“请重置您的密码”、“我们致力于您的安全”或“数据泄露通知”的电子邮件。里面是一封道歉信,接着是一句承诺,公司“非常重视安全”。然后呢?一份列出了公司丢失的所有类型个人数据的清单。
接下来你应该怎么做?尽管每次数据泄露都有所不同,但你之后应该采取的步骤大致相同。
弄清楚被盗了什么
大多数州要求受影响的公司在数据泄露事件发生时通知你,但这些通知往往很晦涩。它们的目的是告诉你发生了什么以及它可能对你产生的影响,但通常它们很难理解,也没有提供有用的信息。至少,你需要知道某人以某种方式访问了公司的数据,可能(或肯定)包括你的数据,并且窃取了这些数据,这些数据现在可能在暗网上出售。要了解这些数据可能如何被用来对付你,可以查看我们的身份盗窃保护服务指南。
在收到有关此类事件影响到你的某个账户的通知后,花一点时间阅读数据泄露的详细信息,了解包括了哪些个人数据。注意泄露的日期,有时公司需要数月时间向客户披露这些事件的详细信息。你还可以通过在独立网站Have I Been Pwned?上搜索你的电子邮件地址来验证你的信息是否包含在泄露中,该网站记录了泄露事件,帮助人们了解这些事件。
最重要的是,你需要知道登录凭据(包括用户名、电子邮件地址或密码)、财务信息(包括银行账号或信用卡详细信息)或社会安全号码是否在被盗数据中。一旦你获得了这些信息,就可以采取积极的措施。
更改密码
无论登录凭据是否包含在泄露中,通常最好更改密码。公司通常会提供有关密码如何加密、加盐或哈希的详细信息,但这些概念很复杂,尝试弄清楚威胁的严重程度可能会让人感到困惑。通常情况下,最好假设情况最糟,并在发生泄露后更改密码。
如果你重复使用密码,数据泄露可能使黑客能够访问你在每个使用该密码的网站上的账户。例如,如果你在亚马逊和Target.com上都使用密码“1234passwordpro”,而Target.com遭到黑客攻击,有人可能会尝试一种称为“凭证填充”的技术,以找到你在其他网站上使用该密码的情况。最终,他们会尝试在亚马逊上使用该密码,然后你将有两个受损的账户。
如果你还没有,建议设置一个密码管理器。密码管理器可以创建和存储唯一而复杂的密码,并在你使用的浏览器和手机中安装插件,以便轻松访问这些密码。有了密码管理器,每个登录都有自己独立的强密码,这些密码被软件保护,只需一个主密码即可访问。设置好后,密码管理器会在你登录网站时自动填充你的唯一密码,使你的账户更安全,登录更便捷。
你还应考虑通过应用程序或物理密钥在你的账户上设置双重认证。我们建议尽可能避免使用短信双重认证,因为它不够安全。 双重认证为您的登录添加了第二层安全保障:在输入用户名和密码后,您还需要通过应用程序中的代码或将密钥插入USB端口来验证您的身份。这样,即使有人知道您的密码,他们也无法在没有第二个因素的情况下登录您的账户。
如果财务信息遭到泄露该怎么办
有时,数据泄露涉及财务信息,包括信用卡号码或银行账户信息。您应尽快采取措施应对此类泄露。
首先,立即向银行报告可能存在的欺诈行为,并监控您的账单是否有异常支出。您的银行可能会取消您当前的卡,并为您发行一个新的卡号。如果您经常在网上购物,可以考虑通过像Privacy这样的服务使用一次性卡,或使用Apple Pay或Google Pay等功能,这些功能可以隐藏您的信用卡号码。这样,即使号码泄露,对于数据窃贼来说,要将您的银行账户中的资金全部取走或者刷爆信用卡是更困难的。
接下来,通过AnnualCreditReport.com申请您的免费信用报告。您的信用报告将显示以您的名义开设的任何新账户。您每年可以从三个机构中获得一份免费报告,因此如果您每四个月检查一次,您应该能够全年注意到任何潜在问题(由于COVID-19大流行期间欺诈行为增加,该网站目前允许您每周检查一次信用报告,直到2021年4月)。如果您不需要使用信用额度,考虑冻结信用额度,这将阻止除您之外的任何人以您的名义开设新账户。信用额度冻结有助于在欺诈发生之前阻止欺诈行为,因此无论您的财务信息是否包含在泄露中,这都是一个值得考虑的好选择。
如果您在网上活动一段时间,您可能已经收到了无数此类泄露的通知。它们不太可能很快停止,这就是为什么遵循良好的数字卫生习惯(包括使用密码管理器为不同的网站使用独特的密码和使用双重认证)可以帮助减轻此类泄露造成的大部分损害。此外,尽可能删除尽可能多的旧账户也是一个好主意。人们经常被迫注册新账户来使用某些他们随后忘记的随机服务,而拥有您数据的网站越多,您的数据就有越多的潜在泄露地点。公司并不总是可靠地保护您的信息,或者及时通知您,因此通常需要您保持警惕,捍卫您的安全和隐私。
上述提及的内容 {#linked-heading}
- 有一些措施可以使身份盗窃变得更加困难,而且您可能不需要支付费用来使用这些服务。
大多数人不应支付身份盗窃保护费用 - 每个人都应该使用密码管理器,在研究了几十个密码管理器并测试了六个之后,我们推荐使用1Password,因为它安全且易于使用。
最佳密码管理器 - 保护在线账户的最佳方式是使用双重认证应用程序。对于大多数人来说,Duo Mobile是最好的选择。
最佳双重认证应用程序 - 物理安全密钥是启用双重认证的最安全方式。以下是我们为最佳硬件安全密钥的选择。
多因素认证的最佳安全密钥
原创文章,作者:纽约时报精选,如若转载,请注明出处:https://pingcer.com/nytimes/what-to-do-after-data-breach-notification/