Capital One Data Hack

  • Feb 02, 2020
click fraud protection

Les éditeurs de Country Living sélectionnent chaque produit présenté. Si vous achetez à partir d'un lien, nous pouvons gagner une commission. En savoir plus sur nous.

On dit que le dark web est un marché qui vaut des centaines de milliards de dollars. Et maintenant, si vous avez demandé une carte de crédit Capital One et que vous faisiez partie des 100 millions de personnes dont les informations de compte peut avoir été piraté, vos informations personnelles pourraient être sur le dark web et être vendues pour moins que le prix de votre paiement mensuel de voiture.

Voici ce que nous savons jusqu'à présent, et voici comment protéger vos données après cette violation — et la suivante.

Qu'est-ce que le Capital One Hack?

Le piratage de Capital One aurait été perpétrée par Paige Thompson, un résident de Seattle de 33 ans. Elle est accusée de «fraude et abus informatiques» et aura une audience le 1er août. Les faits, selon la banque:

  • Thompson a eu accès à 140 000 numéros de sécurité sociale, 1 million de numéros d'assurance sociale au Canada et 80 000 numéros de compte bancaire.
instagram viewer
  • Elle a également eu accès à un nombre non divulgué de noms, adresses, cotes de crédit, limites de crédit, soldes et autres informations.
  • Thompson a exploité des fragments de données de transaction sur un total de 23 jours entre 2016 et 2018.
  • Les attaques ont pu concerner des clients ayant demandé ces cartes dès 2005.

La vulnérabilité au système qui a permis le piratage a été rendue publique en avril, mais elle ce n'est qu'en juillet, après avoir été alerté par un chercheur extérieur, que Capital One a remarqué et a commencé à répondre.

Capital One s'attend à ce que l'incident génère des «coûts différentiels d'environ 100 à 150 millions de dollars en 2019», selon la société. «Les coûts attendus sont largement déterminés par les notifications des clients, la surveillance du crédit, les coûts technologiques et l'assistance juridique.»

Ceci est le dernier d'une série de piratages en apparence sans fin, y compris le Les hacks de Marriott, les Hack Equifax, et le Sony pirater, qui sont en grande partie le résultat d'entreprises qui ne protègent pas correctement les informations des citoyens. Où ces informations finissent par varier, de la Russie à la Corée du Nord à des endroits inconnus.

Qu'est-il advenu des données Capital One perdues?

Le dark web est le monde de la clandestinité criminelle, où les données sont achetées et vendues par des acteurs criminels - y compris les États-nations - et utilisées pour financer des activités néfastes. A 2019 étude de l'Université de Surrey a indiqué que le nombre d'annonces Web sombres qui pourraient nuire à une entreprise a augmenté de 20% depuis 2016.

Mais le dark web est également un marché pour acheter et vendre des numéros de carte de crédit, des armes à feu, des informations d'identification d'abonnement volées, des mots de passe de compte Netflix, etc. Un compte premium Netflix «à vie» coûte 6 $, mais vous pouvez également embaucher quelqu'un pour s'introduire dans l'ordinateur de quelqu'un. Le ciel est la limite.

Et pour l'instant, il est sûr de supposer que les informations personnelles et les numéros de sécurité sociale volés des candidats à Capital One peuvent également être trouvés sur le dark web, du moins jusqu'à preuve du contraire.

Pourquoi nos informations ont-elles été volées? Où est-il allé?

"Je suis profondément désolé de ce qui s'est passé", a déclaré Richard Fairbank, PDG de Capital One, dans un Communiqué de presse Capital One. «Je m'excuse sincèrement pour l'inquiétude compréhensible que cet incident doit causer aux personnes touchées et je m'engage à y remédier.»

Les experts en cybersécurité n'écoutent pas le bout des lèvres. «N'avons-nous rien appris d'Equifax?», Demande Bob Sullivan, animateur du podcast Breach. "La déclaration de la société utilise un langage absurdement tordu:" Aucun numéro de sécurité sociale n'a été compromis... autre que 140 000 numéros de sécurité sociale. "Quand les entreprises apprendront-elles à être honnêtes avec les gens lorsque ces incidents se produisent?"

C'est là que réside le nœud du problème.

Nos données sont volées, vendu et acheté avec très peu de conscience pour la sûreté et la sécurité publiques. Le problème est triple: les gens doivent apprendre à mieux se protéger, les gouvernements doivent apprendre à mieux protéger les citoyens et les entreprises doivent apprendre à mieux protéger les données des personnes.

La semaine dernière, le Commission fédérale du commerce a conclu un accord avec Equifax pour payer 125 $ aux citoyens américains touchés par l'attaque de 2017, totalisant jusqu'à 425 millions de dollars en restitution. On prévoit que cela coûtera à Equifax plus de 700 millions de dollars au total. Et les cyberattaques coûtent plus cher aux banques que toute autre industrie - jusqu'à 1 billion de dollars par an et augmentent à mesure que le taux d'attaques grimpe rapidement, par Accenture.

Afin de lutter contre ces attaques, les entreprises doivent développer des systèmes de sécurité capables de soutenir les attaques et d'y répondre rapidement. Cela signifie utiliser les dernières technologies pour détecter et éviter les hacks potentiels. Et cela commence par l'IA.

«L'une des choses que nous constatons est que de plus en plus d'entreprises utilisent l'IA pour la cybersécurité», explique Ben Lamm, PDG de la société AI Hypergiant. «Nous devons donner la priorité aux humains et nous assurer que nous protégeons leur identification personnelle. Utiliser l'IA pour améliorer la sécurité des institutions bancaires est une étape naturelle. »

Au-delà des dommages-intérêts punitifs, le gouvernement américain ne fait pas assez pour nous protéger non plus. Alors que les sénateurs Elizabeth Warren et Mark Warner se sont battus pour de vastes changements législatifs qui tiennent les entreprises responsables de la perte d'informations, le Congrès n'a pas joué la balle. Jusqu'à présent, peu a été fait pour protéger le public. Si le hack d'Equifax n'était pas suffisant, le snafu Capital One ne le serait peut-être pas non plus.

Que pouvez-vous faire pour vous protéger?

Selon Capital One, la société «notifiera les personnes concernées par divers canaux» et "rendra la surveillance du crédit et la protection de l'identité gratuites accessibles à toutes les personnes concernées". suffisant?

Si vous pensez que vous avez été affecté par le piratage, suivez ces stratégies simples:

  • Inscrivez-vous par SMS ou par e-mail pour suivre l'activité du compte.
  • Surveillez vos cartes de crédit pour détecter toute activité inhabituelle ou suspecte.
  • Appelez le numéro sur votre carte si vous observez quelque chose d'inhabituel.
  • Signalez les e-mails suspectés d'activité de phishing à l'équipe de sécurité de Capital One: [email protected]. Ne répondez pas aux e-mails suspects, supprimez-les après le transfert vers Capital One et ne répondez pas aux appels téléphoniques suspects.

Vous voulez continuer à vous battre? Faites pression sur vos congressistes et congressistes pour qu'ils fassent plus pour protéger la confidentialité de vos données et demandent des réparations aux entreprises qui ne font pas assez pour assurer votre sécurité. En supposant que vos données sont déjà perdues, vous vous trouvez dans une position de victimisation inutile; la perte de données est ne pas une conclusion perdue.

«En tant qu'individus, nous devons apprendre une leçon difficile et l'enseigner à nos enfants», explique Amir Orad, PDG de SiSense«Tout ce que vous stockez en ligne sera probablement piraté un jour, alors soyez intelligent et sélectif à ce sujet.»

De:Mécanique populaire

Kristina LibbyKristina Libby est professeur à NYU, l'hôte du prochain podcast Cyberwar Threat Matrix, et consultant, auteur et innovateur dans les technologies émergentes.