người phụ nữ cầm điện thoại thông minh

Hầu hết những người tham gia trong một nghiên cứu gần đây đều không biết rằng địa chỉ email và thông tin cá nhân khác của họ đã bị xâm phạm trong trung bình năm lần vi phạm dữ liệu.

Đã chín năm kể từ vụ vi phạm dữ liệu LinkedIn, tám năm kể từ khi khách hàng của Adobe là nạn nhân của những kẻ tấn công mạng và bốn năm kể từ khi Equifax gây xôn xao về việc hàng triệu người bị lộ thông tin cá nhân.

Các nhà nghiên cứu từ Trường Thông tin của Đại học Michigan đã chỉ ra 413 dữ kiện về người từ tối đa ba vi phạm liên quan đến thông tin cá nhân của riêng họ. Các nhà nghiên cứu nhận thấy rằng mọi người không biết đến 74% các vi phạm.

“Đây là điều đáng lo ngại. Nếu mọi người không biết rằng thông tin của họ đã bị lộ khi vi phạm, họ không thể tự bảo vệ mình đúng cách trước những hệ lụy của hành vi vi phạm, ví dụ như nguy cơ bị đánh cắp danh tính ngày càng tăng, ”ứng viên tiến sĩ Yixin Zou nói.

Như đã báo cáo trong một giấy hội nghị, các nhà nghiên cứu cũng phát hiện ra rằng hầu hết những người bị vi phạm đều đổ lỗi cho hành vi cá nhân của họ về các sự kiện — sử dụng cùng một mật khẩu trên nhiều tài khoản; giữ cùng một email trong một thời gian dài; và đăng ký các tài khoản “sơ sài” — chỉ 14% cho rằng vấn đề là do các yếu tố bên ngoài.


đồ họa đăng ký nội tâm


“Mặc dù có một số trách nhiệm đối với người tiêu dùng trong việc cẩn thận Adam Aviv, phó giáo sư khoa học máy tính tại Đại học George Washington, cho biết lỗi họ chia sẻ thông tin cá nhân của họ với ai, lỗi do vi phạm hầu như luôn nằm ở việc công ty bị ảnh hưởng không thực hiện đầy đủ các biện pháp bảo mật, chứ không phải do nạn nhân của vi phạm.

Mô hình Tôi đã được Pwned cơ sở dữ liệu được sử dụng trong nghiên cứu này liệt kê gần 500 vi phạm trực tuyến và 10 triệu tài khoản bị xâm phạm trong thập kỷ qua. Theo Trung tâm Tài nguyên Trộm cắp Danh tính, tổng số vụ vi phạm dữ liệu ảnh hưởng đến người Mỹ thậm chí còn cao hơn, báo cáo hơn 1,108 vụ vi phạm chỉ riêng ở Hoa Kỳ trong năm 2020.

Nghiên cứu trước đã hỏi về những lo ngại và phản ứng đối với vi phạm dữ liệu nói chung, hoặc dựa trên dữ liệu tự báo cáo để xác định xem một sự cố cụ thể ảnh hưởng đến mọi người như thế nào. Nghiên cứu này sử dụng hồ sơ công khai trong tập dữ liệu Have I Been Pwned về những người bị ảnh hưởng bởi các vi phạm. Nhóm nghiên cứu đã thu thập 792 câu trả lời liên quan đến 189 vi phạm duy nhất và 66 loại dữ liệu tiếp xúc khác nhau. Trong số 431 địa chỉ email của người tham gia được truy vấn, 73% người tham gia đã bị lộ một hoặc nhiều vi phạm, với con số cao nhất là 20.

Trong số tất cả các thông tin bị vi phạm, địa chỉ email bị xâm phạm nhiều nhất, tiếp theo là mật khẩu, tên người dùng, địa chỉ IP và ngày sinh.

Hầu hết những người tham gia bày tỏ mối quan tâm vừa phải và lo lắng nhất về việc rò rỉ địa chỉ thực, mật khẩu và số điện thoại. Để đối phó với các tài khoản bị xâm phạm của họ, họ đã báo cáo hành động hoặc ý định thay đổi mật khẩu đối với 50% các vụ vi phạm.

“Có thể một số dịch vụ bị vi phạm được coi là 'không quan trọng' vì tài khoản bị vi phạm không chứa thông tin nhạy cảm. Tuy nhiên, mối quan tâm thấp về vi phạm cũng có thể được giải thích là do mọi người không xem xét đầy đủ hoặc không nhận thức được thông tin cá nhân bị rò rỉ có thể bị lạm dụng và gây hại cho họ như thế nào ”, Peter Mayer, nhà nghiên cứu sau tiến sĩ tại Viện Công nghệ Karlsruhe cho biết.

Rủi ro bao gồm từ việc nhồi nhét thông tin xác thực — hoặc sử dụng địa chỉ email và mật khẩu bị rò rỉ để truy cập vào các tài khoản khác của nạn nhân — cho đến hành vi gian lận và đánh cắp danh tính.

Hầu hết các vi phạm không bao giờ được đưa ra thông báo, và thường chúng liên quan ít hoặc không có thông báo cho các cá nhân bị ảnh hưởng.

“Các yêu cầu về thông báo vi phạm dữ liệu ngày nay là không đủ,” Zou nói. “Mọi người không được thông báo bởi các công ty vi phạm hoặc thông báo được tạo ra kém đến mức mọi người có thể nhận được thông báo qua email hoặc thư nhưng bỏ qua nó. Trong công việc trước đây, chúng tôi đã phân tích các thư thông báo vi phạm dữ liệu được gửi đến người tiêu dùng và nhận thấy rằng họ thường yêu cầu kỹ năng đọc nâng cao và ít rủi ro ”.

Vào cuối nghiên cứu, các nhà nghiên cứu đã cho những người tham gia xem danh sách đầy đủ các vi phạm ảnh hưởng đến họ và cung cấp thông tin để thực hiện các bước bảo vệ chống lại các nguy cơ tiềm ẩn do vi phạm dữ liệu.

Cách tránh vi phạm dữ liệu

Khi dữ liệu của bạn bị đánh cắp: 

  • Kiểm tra xem các tài khoản có phải là một phần của vi phạm hay không bằng cách sử dụng các dịch vụ miễn phí như https://haveibeenpwned.com/ or https://monitor.firefox.com/.
  • Đọc kỹ thông báo vi phạm.
  • Các trang web như FTC's https://identitytheft.gov/ có thể giúp tạo một kế hoạch khôi phục sau khi đánh cắp danh tính.
  • Đảm bảo thay đổi mật khẩu của tài khoản bị vi phạm và bất kỳ tài khoản nào khác sử dụng cùng một mật khẩu. Làm điều này một lần là đủ trừ khi có một vi phạm mới.
  • Đăng ký dịch vụ giám sát danh tính mà bạn được cung cấp. Dù không hoàn hảo nhưng chúng còn hơn không.
  • Nếu bạn bị tổn hại thực sự do vi phạm, bạn cũng có thể được hỗ trợ thêm.

Để ngăn vi phạm dữ liệu trong tương lai: 

  • Sử dụng một mật khẩu duy nhất cho mỗi tài khoản trực tuyến. Không ai có thể nhớ hàng tá mật khẩu này vì vậy tốt nhất bạn nên sử dụng trình quản lý mật khẩu để lưu trữ và tạo mật khẩu mạnh.
  • Sử dụng xác thực hai yếu tố, bất cứ khi nào có thể, yêu cầu mã qua điện thoại ngoài tên người dùng và mật khẩu để truy cập tài khoản.
  • Đóng băng các báo cáo tín dụng tại ba văn phòng chính (Equifax, Experian và TransUnion) để khiến những kẻ trộm danh tính khó gây tổn hại tài chính hơn. Xem Ở đây.
  • Cân nhắc sử dụng các dịch vụ như Đăng nhập bằng Apple  để giữ địa chỉ email riêng tư khi tạo tài khoản mới (nhà cung cấp dịch vụ chỉ thấy một địa chỉ email được tạo duy nhất cho tài khoản đó).

Florian Schaub, trợ lý giáo sư thông tin tại Đại học Michigan cho biết: “Những phát hiện từ nghiên cứu này nhấn mạnh thêm sự thất bại và thiếu sót của dữ liệu hiện tại và luật thông báo vi phạm bảo mật.

“Những gì chúng tôi nhận thấy lặp đi lặp lại trong công việc của mình là luật pháp và quy định quan trọng, nhằm bảo vệ người tiêu dùng, không hiệu quả trên thực tế bởi những nỗ lực giao tiếp kém của các công ty bị ảnh hưởng. Những công ty bị ảnh hưởng cần có trách nhiệm hơn trong việc bảo mật dữ liệu khách hàng.”

Các nhà nghiên cứu chỉ ra Quy định chung về bảo vệ dữ liệu của châu Âu đưa ra các khoản phạt nặng cho các công ty không bảo vệ người tiêu dùng như một phương tiện để giải quyết vấn đề. Luật này đã khiến các công ty trên toàn thế giới trang bị lại các chương trình bảo mật và quyền riêng tư của họ.

nguồn: Đại học Michigan

 

Giới thiệu về Tác giả

Vòng nguyệt quế Thomas-Michigan

Bài viết này ban đầu xuất hiện trên Futurity