Securitywatch: faites en sorte que les entreprises, et non les clients, souffrent d'infractions de données | max eddy

Le 29 mars, Earl Enterprises a annoncé que les informations de sa carte de crédit avaient été volées aux visiteurs de ses chaînes de restaurants. Comme d'habitude lorsque ce genre de chose se produit, on m'a demandé de mettre en place des conseils pour les consommateurs sur ce qu'ils pourraient faire pour se protéger. C’est un sujet qui a fait l’objet d’années d’histoires similaires, mais cette fois, c’était différent. C'est en partie à cause de la nature unique de l'attaque, mais aussi parce que notre pratique consistant à confier la responsabilité de nettoyer les dégâts aux consommateurs ne fonctionne pas. Il est temps de laisser la responsabilité aux entreprises qui ont permis que les données soient compromises en premier lieu.

À la brèche

Si vous avez mangé à Buca di Beppo, Chicken Guy !, Comté de Sandwich, Mixology, Planet Hollywood ou Tequila Taqueria, vos informations de carte de crédit ou de débit vous ont peut-être été volées. Selon Earl Enterprises, cela aurait pu inclure à peu près tout le nécessaire pour commettre une fraude: numéro de carte, dates d'expiration et certains noms de détenteurs de cartes. Le nombre de personnes touchées serait d'environ 2 millions.

Un fait intéressant à propos de cette violation particulière est qu'il ne s'agissait pas d'une violation en soi . Au lieu de cela, les pirates ont réussi à accéder à distance à des ordinateurs de points de vente ou de points de vente (oui, c’est le vrai sigle) dans divers restaurants et à installer des logiciels malveillants qui ont détruit les données des clients. Ces informations ont été regroupées et vendues sur des sites Web du marché noir.

Que pouvez-vous faire pour rester en sécurité?

Outre les informations relatives aux logiciels malveillants présents sur les ordinateurs des points de vente, la violation / attaque par Earl Enterprises est plutôt typique. Tout comme le conseil que je donnerais à ce que les consommateurs (c’est vous) peuvent faire pour rester en sécurité.

Tout d’abord, j’ai l'habitude de dire d'utiliser une carte de crédit et non une carte de débit. Les transactions par carte de crédit sont facilement annulées et les sociétés émettrices de cartes de crédit savent très bien attraper la fraude avant vous. Surtout, vous n'êtes pas responsable des frais de carte de crédit frauduleux. L'utilisation d'une carte de débit est essentiellement une transaction en espèces. Vous pouvez obtenir le remboursement de ces frais, mais cela prend parfois plus de temps et, dans le pire des cas, peut entraîner des disputes avec la banque ou la FDIC.

Une fois que c'est fait, j'aborde les problèmes des transactions à piste magnétique. Les bandes magnétiques sont stupidement simples. Vous pouvez connecter un lecteur de bande magnétique USB, exécuter une carte et l'ordinateur saisira les informations dans un fichier texte à votre place. Une carte à puce (carte EMV) utilise un processus différent, beaucoup plus sécurisé et plus difficile à intercepter.

Cela mène à une discussion naturelle sur la manière dont ces informations sont généralement volées à l'aide de petits appareils appelés «skimmers» ou «scintillants». J'ai toute une histoire sur la façon de les repérer, alors vous pouvez simplement les lire. L'essentiel est que c'est une bonne idée d'inspecter les machines de point de vente avant de les utiliser, dans tous les contextes, mais en particulier dans les pompes à essence et les guichets automatiques. Vous avez enregistré un clic (mais cliquez quand même, ça m'aide à être payé).

Après cela, je me lancerai dans une série de projets sur les solutions de paiement de haute technologie. Android Pay, Apple Pay et Samsung Pay utilisent un système de tokenization qui ne révèle jamais les informations de votre carte de crédit. Leur utilisation peut sembler moins sûre, car les informations sont transmises sans fil, mais c’est en fait très bon.

Ensuite, je vais parfois expliquer comment vous pouvez utiliser Abine Blur pour créer des cartes de crédit prépayées et de fausses adresses électroniques à la volée. Je vais peut-être préciser que l'argent comptant et les cartes de crédit prépayées sont les moyens les plus sûrs et les plus respectueux de la vie privée. Je n'approuverai certainement pas les services de protection contre le vol d'identité, car je ne suis pas sûr qu'ils fonctionnent réellement, et je n'en dirai pas plus sur la surveillance du crédit, car je ne pense pas que vous devriez payer pour vos propres informations financières compilées. sans votre consentement.

Je ne soutiens jamais Bitcoin parce que vis ces gars, sérieusement.

Peu importe à quel point vous êtes prudent

Nous écrivons ce genre de récits tout le temps chez PCMag, et ils sont utiles pour illustrer les petites choses qui peuvent faire une différence dans la vie des gens. Les gens doivent connaître les méthodes de paiement les plus intelligentes et se faire conseiller d'utiliser les gestionnaires de mots de passe et 2FA, ou au moins savoir en quoi ils consistent, afin de pouvoir choisir en connaissance de cause. Mais la violation de Earl Enterprises m’a vraiment touchée, parce que les clients n’auraient pratiquement rien pu faire pour se protéger eux-mêmes.

Lors de l’attaque de Earl Enterprises, les malfaiteurs avaient un accès à distance aux machines POS. Cela signifie que quel que soit le nombre de recherches effectuées par un client sur les lecteurs de cartes, ils ne allaient pas trouver un écumeur révélateur car la menace était à l' intérieur de la machine. De plus, dans les restaurants américains, les clients n’ont pas toujours la possibilité de communiquer avec le terminal de point de vente. Nous remettons notre paiement au serveur, qui gère la carte et le retourne avec un reçu. Cela signifie que les clients ne peuvent pas utiliser le système de paiement des appareils mobiles plus récent et plus sécurisé. De plus, rien ne garantit qu'un commerçant en particulier prend en charge les puces EMV ou les paiements mobiles, ni que le personnel soit formé à son utilisation.

Cela ne veut pas dire qu'il a été signalé à Earl Enterprises qu'il a fallu 10 mois pour réagir à la violation. Ni parce que ces informations ont été vendues en bloc, ce qui est la norme pour ce type d'opérations, les victimes pourraient subir des conséquences de deuxième et de troisième ordre pour les années à venir.

Parmi tous les conseils que je dois donner à ce sujet, il ne reste qu'une option: utiliser de l'argent comptant ou des cartes prépayées. C'est une situation assez ridicule dans l'année de notre seigneur 2019 lorsque je peux utiliser un téléphone pour acheter un drone et le faire livrer chez moi avant de rentrer chez moi, tout en appelant un ami en Thaïlande.

La première violation massive de données qui semblait pouvoir changer les choses remonte à 2013, lorsque près de 110 millions de clients Target ont découvert qu'il y avait une spéciale spéciale relative aux informations sur le fléau. À l'instar de l'attaque d'Earl Enterprises, les clients n'auraient guère pu faire pour se protéger. À l'époque, on craignait que la réaction des consommateurs ne fasse couler la société.

Cela ne s'est pas produit et aucun des autres manquements subséquents qui ont fait la une des journaux. Target en a pris un coup et a payé un peu d’argent, mais il est resté en activité. Il n’ya pas non plus eu de conséquences dévastatrices pour les autres violations ultérieures qui ont fait les manchettes, pas plus que nous n’avons constaté de véritable problème financier lorsqu'une entreprise se comporte mal et abuse des informations confidentielles de ses clients (vous regardant, Facebook !) En fait, ce genre de trahison envers les clients est devenu si banal qu’il n’était pas logique pour PCMag de couvrir l’attaque de Earl Enterprises. Cela ne méritait tout simplement pas l'attention.

Aucune forme d'autodéfense du consommateur ne pourra mettre fin à ce type de fraude et, apparemment, aucune mauvaise presse en matière d'atteinte à la sécurité ne nuira à une entreprise suffisamment pour lui permettre de protéger de manière adéquate les informations des clients. À mon avis, cela ne laisse qu'une option: la réglementation.

Les protections des consommateurs protègent les consommateurs

• Les meilleurs gestionnaires de mots de passe pour 2019 Les meilleurs gestionnaires de mots de passe pour 2019
• Target Hack touché jusqu'à 70M Shoppers Target Hack concerné jusqu'à 70M Shoppers
• Authentification à deux facteurs: qui l'a et comment la configurer? Authentification à deux facteurs: qui l'a et comment la configurer

Les entreprises doivent être tenues légalement et financièrement responsables des violations de la sécurité qui affectent leurs clients. Il doit y avoir des amendes, des enquêtes et des conséquences ordonnées par le tribunal. Il faut dépenser de l'argent en avocats, beaucoup d'argent . Le modèle actuel selon lequel les clients doivent dépenser leur propre argent et leur propre énergie pour engager des poursuites judiciaires est déraisonnable. De la même manière que l’énergie nécessaire pour nous protéger de la petite fraude ou, pire, pour tenter de reconstruire notre vie après le vol d’identité.

Les entreprises doivent également prendre les menaces au sérieux et planifier des attaques. Le minimum de données client doit être stocké, et tout ce qui est stocké doit être conservé sous forme de code ou par un autre moyen afin de le rendre inutilisable en cas de vol. Les créateurs de systèmes de paiement doivent également commencer à prendre les menaces au sérieux, ce qui, j'en suis sûr, le serait si les commerçants demandaient des dispositifs plus sécurisés.

Depuis un certain temps déjà, je soupçonne que le grand nombre d'informations privées qui a été exposé au cours de la dernière décennie signifie que tout le monde a été ou sera blessé d'une manière ou d'une autre. Cela ne peut pas être acceptable. Pour ma part, je suis sur ma deuxième carte de débit de 2019, car les numéros des deux premiers ont été compromis. C'est avril.