Các trang web tối được cho là một thị trường trị giá hàng trăm tỷ đô la. Và bây giờ, nếu bạn đã đăng ký thẻ tín dụng Capital One và là một trong 100 triệu người có thông tin tài khoản có thể vừa bị hack, thông tin cá nhân của bạn có thể có trên web tối và bán với giá thấp hơn giá thanh toán xe hàng tháng của bạn .
Đây là những gì chúng ta biết cho đến nay và đây là cách bảo vệ dữ liệu của bạn sau khi vi phạm điều này và lần tiếp theo.
Capital One Hack là gì?
Vụ hack Capital One được cho là do Paige Thompson, một cư dân Seattle 33 tuổi gây ra. Cô ấy đang bị buộc tội gian lận và lạm dụng máy tính, và sẽ có phiên điều trần vào ngày 1 tháng 8. Sự thật, theo ngân hàng:
- Thompson đã đạt được quyền truy cập vào 140.000 số An sinh xã hội, 1 triệu số Bảo hiểm xã hội Canada và 80.000 số tài khoản ngân hàng.
- Cô cũng có quyền truy cập vào số lượng tên, địa chỉ, điểm tín dụng, giới hạn tín dụng, số dư và các thông tin khác không được tiết lộ.
- Thompson khai thác thành các đoạn dữ liệu giao dịch trong tổng số 23 ngày từ 2016-18.
- Các cuộc tấn công có thể bao gồm các khách hàng đã đăng ký các thẻ này vào đầu năm 2005.
Lỗ hổng cho hệ thống cho phép hack xảy ra đã được công khai vào tháng 4, nhưng mãi đến tháng 7, sau khi được một nhà nghiên cứu bên ngoài cảnh báo, Capital One mới nhận thấy và bắt đầu phản hồi.
Capital One dự kiến sự cố này sẽ tạo ra chi phí gia tăng của các chi nhánh trong khoảng từ 100 đến 150 triệu đô la trong năm 2019, theo công ty. Chi phí dự kiến chủ yếu được thúc đẩy bởi thông báo của khách hàng, giám sát tín dụng, chi phí công nghệ và hỗ trợ pháp lý.
Đây là vụ mới nhất trong một loạt các vụ hack dường như vô tận bao gồm vụ hack Marriott, vụ hack Equachus và vụ hack Sony, phần lớn là kết quả của việc các công ty không bảo vệ đúng thông tin của từng công dân. Nơi mà thông tin kết thúc khác nhau, từ Nga đến Bắc Triều Tiên đến những nơi chưa biết.
Điều gì đã xảy ra với dữ liệu vốn bị mất?
Mạng tối là thế giới của tội phạm ngầm, nơi dữ liệu được mua và bán bởi các diễn viên tội phạm, bao gồm cả các quốc gia, bang Pennsylvania và được sử dụng để tài trợ cho các hoạt động bất chính. Một nghiên cứu năm 2019 từ Đại học Surrey chỉ ra rằng số lượng danh sách web tối có thể gây hại cho doanh nghiệp đã tăng 20% kể từ năm 2016.
Nhưng web tối cũng là một thị trường để mua và bán số thẻ tín dụng, súng, thông tin đăng ký bị đánh cắp, mật khẩu tài khoản Netflix, v.v. Một tài khoản cao cấp của cuộc đời có tên là Netflix có giá 6 đô la, nhưng bạn cũng có thể thuê ai đó đột nhập vào máy tính của ai đó. Bầu trời là giới hạn.
Và hiện tại, thật an toàn khi giả định rằng thông tin cá nhân và số an sinh xã hội bị đánh cắp của những người đăng ký Capital One cũng có thể được tìm thấy trên web tối, ít nhất là cho đến khi được chứng minh khác đi.
Tại sao thông tin của chúng tôi bị đánh cắp? Nó đã đi đâu?
Tôi rất lấy làm tiếc về những gì đã xảy ra, ông Richard Fairbank, CEO của Capital One, cho biết trong một thông cáo báo chí của Capital One. Tôi rất chân thành xin lỗi vì sự lo lắng có thể hiểu được sự cố này phải khiến những người bị ảnh hưởng và tôi cam kết làm cho đúng.
Các chuyên gia an ninh mạng không nghe dịch vụ môi. Chúng tôi không học được gì từ Equachus? Hãy hỏi Bob Sullivan, người dẫn chương trình podcast Breach. Tuyên bố của công ty sử dụng ngôn ngữ xoắn vô lý: 'Không có số An sinh xã hội nào bị xâm phạm ... ngoài 140.000 số An sinh xã hội.' Khi nào các công ty sẽ học cách thẳng thắn với mọi người khi những sự cố này xảy ra?
Trong đó có mấu chốt của vấn đề.
Dữ liệu của chúng tôi đang bị đánh cắp, bán và mua với rất ít nhận thức về an toàn và an ninh công cộng. Vấn đề là gấp ba lần: Mọi người phải học cách bảo vệ bản thân tốt hơn, chính phủ phải học cách bảo vệ công dân tốt hơn và các công ty phải học cách bảo vệ dữ liệu của mọi người tốt hơn.
Tuần trước, Ủy ban Thương mại Liên bang đã đạt được một thỏa thuận với Equachus để trả 125 đô la cho các công dân Hoa Kỳ bị ảnh hưởng bởi cuộc tấn công năm 2017, với tổng số tiền lên tới 425 triệu đô la tiền bồi thường. Điều này được dự đoán sẽ tiêu tốn tổng cộng hơn 700 triệu đô la. Và các cuộc tấn công mạng gây thiệt hại cho các ngân hàng nhiều hơn bất kỳ ngành công nghiệp nào khác lên tới 1 nghìn tỷ đô la mỗi năm và tăng lên khi tốc độ của các cuộc tấn công tăng lên nhanh chóng, theo Accergy.
Để chống lại các cuộc tấn công này, các công ty phải phát triển các hệ thống an ninh có thể duy trì các cuộc tấn công và nhanh chóng đáp ứng với chúng. Điều này có nghĩa là sử dụng các công nghệ mới nhất để phát hiện và tránh các vụ hack tiềm năng. Và điều đó bắt đầu với AI.
Một trong những điều chúng ta đang thấy là ngày càng có nhiều công ty sử dụng AI cho an ninh mạng, Ben nói, Ben Lamm, CEO của công ty AI Hypergiant. Chúng tôi phải đặt con người lên hàng đầu và đảm bảo rằng chúng tôi đang bảo vệ danh tính cá nhân của họ. Sử dụng AI để cải thiện bảo mật của các tổ chức ngân hàng là một bước tự nhiên.
Ngoài thiệt hại trừng phạt, chính phủ Hoa Kỳ cũng không làm đủ để bảo vệ chúng tôi. Trong khi các thượng nghị sĩ Elizabeth Warren và Mark Warner đã tích cực đấu tranh cho những thay đổi lập pháp rộng lớn khiến các công ty phải chịu trách nhiệm về việc mất thông tin, Quốc hội đã không chơi bóng. Cho đến nay, rất ít được thực hiện để bảo vệ công chúng. Nếu hack Equachus không đủ, snafu Capital One có thể cũng không.
Bạn có thể làm gì để bảo vệ bản thân?
Theo Capital One, công ty sẽ được thông báo cho các cá nhân bị ảnh hưởng thông qua nhiều kênh khác nhau và sẽ giúp giám sát tín dụng miễn phí và bảo vệ danh tính cho mọi người bị ảnh hưởng.
Nếu bạn nghĩ rằng bạn đã bị ảnh hưởng bởi vụ hack, hãy làm theo các chiến lược đơn giản sau:
- Đăng ký thông báo bằng văn bản hoặc email để theo dõi hoạt động của tài khoản.
- Theo dõi thẻ tín dụng của bạn cho các hoạt động bất thường hoặc đáng ngờ.
- Gọi số trên thẻ của bạn nếu bạn quan sát thấy bất cứ điều gì bất thường.
- Báo cáo các email bị nghi ngờ về hoạt động lừa đảo cho nhóm bảo mật Capital One: . Không trả lời email đáng ngờ, xóa chúng sau khi chuyển tiếp đến Capital One và không trả lời các cuộc gọi điện thoại đáng ngờ.
Bạn muốn tiếp tục chiến đấu? Nhấn các nghị sĩ và đại hội của bạn để làm nhiều hơn để bảo vệ quyền riêng tư dữ liệu của bạn và yêu cầu bồi thường từ các công ty không làm đủ để giữ an toàn cho bạn. Giả sử dữ liệu của bạn đã bị mất sẽ đặt bạn vào vị trí nạn nhân không cần thiết; mất dữ liệu không phải là một kết luận quên.
Am cá nhân, chúng ta nên học một bài học khó và dạy điều đó cho những đứa trẻ của chúng ta
