segunda-feira, 27 de agosto de 2018

O que fazer após uma violação de dados: 5 dicas para minimizar o risco


   As violações de banco de dados do site acontecem e, embora haja pouco que você possa fazer para evitá-las, você pode minimizar sua exposição. Veja o que fazer. Após o anúncio da T-Mobile na semana passada de que sofreu uma violação de dados, incluindo o roubo de senhas criptografadas, é um bom momento para rever as ações que você pode tomar para minimizar os riscos.

   Aconteceu novamente. Outro grande serviço da Web perdeu o controle de seu banco de dados e agora você está lutando para ficar à frente dos bandidos. Tanto quanto nós os odiamos, as violações de dados estão aqui para ficar. A boa notícia é que eles não precisam provocar pânico total, por mais sensíveis que possam ser os dados roubados. Normalmente, existem alguns passos muito simples que você pode tomar para minimizar sua exposição à ameaça em potencial.

Etapa 1: determine o dano

   A primeira coisa a descobrir é o que os hackers fizeram. Se eles tiverem seu nome de usuário e senha, por exemplo, não há sentido em alertar sua empresa de cartão de crédito. Artigos de notícias e declarações de empresas devem deixar bem claro o que vazou. Foi apenas o seu endereço de e-mail, ou foram seus dados de senha também? E quanto aos cartões de crédito (se aplicável) ou dados pessoais, como mensagens privadas?

   Este é o primeiro passo na criação de um plano de recuperação eficaz, mas antes de tomar qualquer ação, há uma pergunta crítica a ser feita.

Passo 2: Os bandidos podem usar seus dados?

   Os hackers pegam dados o tempo todo, mas muitas vezes os dados roubados são inutilizáveis ​​graças a práticas de segurança que incluem termos como "hash", "salgados" e "criptografados". Se os dados estiverem na forma de "texto puro", isso significa nenhuma criptografia foi usada e é tão fácil de ler e manipular quanto um documento do Word ou uma mensagem de email comum.

   Dados em hash, por outro lado, são dados que foram embaralhados de tal maneira que você não pode decodificá-lo de volta para texto simples. O hash é frequentemente usado para bancos de dados de senha, por exemplo.

   Nem todos os métodos de hashing são iguais, no entanto, e às vezes são reversíveis. Como segunda linha de defesa, uma empresa pode adicionar o que é chamado de sal - dados aleatórios - para tornar a decodificação mais difícil. A linha inferior com hashing é que você precisará investigar um pouco mais para ver se a empresa acredita que os dados são utilizáveis ​​ou não.

   Finalmente, a criptografia deve ser um processo de mistura bidirecional que permite que apenas alguém com a “chave” (geralmente um arquivo de senha ou senha) seja capaz de decodificar os dados. Mesmo se os hackers pegarem dados que estejam em hash ou criptografados, às vezes as empresas aconselharão a alteração de sua senha independentemente, só por segurança.

Veja Também:


Etapa 3: altere essa senha

   Se você precisar alterar sua senha, seja proativo. Altere sua senha imediatamente e não espere por um aviso de e-mail ou mensagem da empresa, se possível. Se você usou essa mesma senha em outros sites, altere-a também. Uma única violação de dados pode facilmente derrubar outras contas, se você estiver reutilizando senhas. Não faça isso.

Etapa 3a: comece a usar um gerenciador de senhas

   Agora é um ótimo momento para começar a usar um gerenciador de senhas, se você ainda não estiver. Esses programas podem criar senhas novas e difíceis de adivinhar e salvá-las para cada conta on-line que você possui. Eles também protegem suas senhas com criptografia e (geralmente por uma taxa) as disponibilizam em todos os seus dispositivos.

Etapa 3b: coloque um bloqueio extra nas suas contas com 2FA

   As senhas não são mais suficientes, e é por isso que também é uma boa ideia ativar a autenticação de dois fatores (2FA) em qualquer uma das suas contas que a suportem. A autenticação de dois fatores significa que seu serviço da Web exigirá um código secundário de seis dígitos antes de permitir o acesso à sua conta, mesmo com a senha correta. 

   Esta é uma ótima maneira de desacelerar os bandidos. Infelizmente, também tem o mesmo efeito em você. A maioria dos serviços exige apenas um código 2FA a cada 30 dias por dispositivo ou, em alguns casos, apenas uma vez em um único navegador a partir de um único dispositivo. Então não é tão terrível.

   A melhor maneira de usar a autenticação de dois fatores é com um aplicativo ou dispositivo dedicado a gerar esses códigos. Receber códigos SMS não é aconselhável, porque eles são vulneráveis ​​a uma variedade de ataques relativamente triviais. Se você precisar de ajuda para escolher um aplicativo de autenticação de dois fatores, confira nosso resumo dos melhores aplicativos 2FA.

Etapa 3c: criar um email de recuperação de senha dedicado

   Muitos sites permitem que você defina um endereço de e-mail de recuperação específico, separado do e-mail da sua conta principal. Esse é o endereço de e-mail no qual você recebe links para redefinir sua senha depois de clicar no link "Esqueceu a senha?" Em um site.

   É melhor ter um endereço de e-mail específico que seja apenas para e-mails de recuperação de conta e não esteja conectado à sua identidade. Se o seu Gmail for o JAndrews, não use JAndrews@outlook.com, por exemplo. Se você usa seu e-mail comum para recuperação de conta, os hackers podem segmentar esse endereço de e-mail e, se o comprometerem, assumir sua vida on-line.

   Como com qualquer outra conta de e-mail, verifique se o seu e-mail de recuperação está protegido com uma senha difícil de adivinhar e autenticação de dois fatores.

Etapa 4: entre em contato com sua operadora de cartão de crédito

   Se o seu número de cartão de crédito foi comprometido, então você precisa alertar seu banco ou provedor de cartão de crédito. Se foi uma violação particularmente grande, há uma boa chance de o seu banco já saber disso, mas ainda é uma boa ideia informá-lo que você foi atingido. Você quer ter certeza de falar com um representante e dizer o que aconteceu. A empresa provavelmente cancelará seu cartão e emitirá um novo.

   Não espere por isso. Informe seu banco ou empresa de cartão de crédito imediatamente para garantir que você não seja responsabilizado por cobranças fraudulentas. Se um número de cartão de débito foi roubado, este passo é duplamente importante. Não só porque isso significa que o dinheiro deixará sua conta com todas as cobranças ruins, mas também porque os cartões de débito não têm as mesmas proteções de recuperação dos cartões de crédito.

Passo 4a: Agir com as agências de crédito

   Receba um alerta de fraude em seu registro de crédito com as três principais agências de crédito: Equifax, Experian e TransUnion. Você pode até querer obter um congelamento de crédito para impedir que alguém tente abrir uma conta em seu nome, caso esteja em risco de roubo de identidade.

   Aproveite o seu direito a um relatório anual de crédito gratuito de cada uma das três empresas relatoras. Ao escalonar os relatórios, fazendo um a cada quatro meses, você pode ficar de olho no seu rating de crédito ao longo do ano.

Etapa 5: considere cartões de queimadores

   Outra boa jogada é usar os cartões de débito de queimador de uso limitado que estão conectados à sua conta bancária real, mas não são seus cartões de débito reais. Privacy.com permite que você faça isso, e é uma ótima maneira de se proteger. Em vez de usar o número real do seu cartão, você pode usar cartões com todos os tipos de limites, como um cartão exclusivo da Netflix ou cartões limitados a um máximo de US $ 100. Você pode até criar um cartão de uso único para uma compra importante. É um serviço muito útil, e se o seu cartão de queimador vazar, você pode simplesmente apagá-lo e começar de novo.

Respirar com facilidade
   Grandes violações de banco de dados são ruins, mas elas são uma ocorrência comum, o que significa que não é uma questão de se você for atingido, mas quando. A boa notícia é que ser um pouco proativo pode ajudar a evitar as dores de cabeça causadas pelo roubo de identidade.