多年来,我已经看到成百上千个数据泄露通知,警告该公司的数据丢失,被盗或留在网上供任何人窃取。
它们中的大多数看上去基本相同。我的工作是解读这些信息对遭受信息威胁的受害者的实际含义。
数据泄露通知旨在告诉您发生了什么,何时以及对您产生什么影响。您今年可能已经见过一些。这是因为美国大多数州都制定了法律,迫使公司尽快公开披露安全事件,例如数据泄露。欧洲的规则更加严格,如果不披露违规行为,罚款可能是很常见的情况。
但是,数据泄露通知已成为危机通信中的一种非常常规的做法。这些通知越来越多地试图逃避责备,混淆重要细节并忽略重要事实。毕竟,保持股票市场的快乐,投资者的满意和监管者的支持对公司来说是最大利益。为什么要说相反的话?
下次收到数据泄露通知时,请在两行之间阅读。通过了解要避免的常见废话行,您可以了解需要提出的问题。
“我们认真对待安全和隐私。”
阅读:“我们显然没有。”
在数据泄露通知中经常出现的一句话,我们去年首次写到公司“认真”采取安全和隐私措施。我们发现,2019年向加利福尼亚州检察长提交的所有通知中约有1/3对此行有所更改。现实情况是,大多数公司对您的数据的隐私或安全几乎没有同情心或关心,但确实关心必须向客户解释其数据被盗。这是一个空心的,过度使用的短语,毫无意义。
“我们最近发现了一起安全事件……”
阅读:“其他人找到了,但我们正在尝试进行破坏控制。”
听起来足够无害,但这是正确的重要说明。当一家公司说他们“最近发现”了一个安全事件时,请问是谁实际举报了该事件。经常有一个记者(像我一样)来发表评论,因为黑客删除了包含其客户数据库的文件,而现在该公司正争夺该事件的所有权,因为它看上去比黑暗中的公司还好。
“一个未经授权的人……”
读到:“我们不知道该怪谁,但不怪我们。”
这是数据泄露通知中最有争议的部分之一,可以归结为一个简单的问题:谁应该为安全事件负责?从法律上讲,“未经授权的访问”是指某人经常使用他人的密码或绕过登录屏幕而非法闯入系统。但是公司常常会弄错这一点,或者无法(或不想)区分事件是否为恶意事件。如果某个系统在没有密码的情况下被暴露或保持在线状态,则您应归咎于公司松懈的安全控制。例如,如果一个诚实的安全研究人员发现并报告了一个未受保护的系统,则没有理由将其描述为恶意行为者。公司喜欢转移责任,因此请保持开放的态度。
“我们立即采取了措施……”
阅读:“一旦发现,我们便立即采取行动。”
黑客并非总是会陷入困境。在很多情况下,大多数黑客在公司了解到违规行为时就已经走了。当一家公司表示已立即采取措施时,不要以为是从违规那一刻起。Equifax说,它“立即采取行动”制止了入侵,黑客入侵后窃取了近1.5亿消费者的信用记录。但是在Equifax发现可疑活动之前,黑客已经进入系统两个月了。真正重要的是安全事件何时开始;公司何时得知安全事件的;公司何时将违规情况通知监管机构?
“我们的法医调查显示……”
阅读:“我们要求某人告诉我们我们的情况如何。”
事件响应者有助于了解入侵或数据泄露是如何发生的。它有助于公司收集网络保险,并防止再次发生类似的违规事件。但是有些公司宽松地使用“取证”一词。内部调查不是透明的或不负责任的,其结果很少受到审查或公布,而事件响应者是独立的合格评估师,即使他们的发现可能仍然存在,它们都可以告诉公司需要听什么而不是想要听什么。私人的。
“出于谨慎考虑,我们想通知您该事件。”
阅读:“我们被迫告诉你。”
不要再三考虑一家公司通过披露安全事件来做“正确的事情”。在美国和欧洲,公司没有选择的余地。大多数州都有某种形式的数据泄露通知法,迫使公司披露影响到一定数量以上居民的事件。不披露违规行为可能会导致严厉的处罚。看看雅虎(与TechCrunch一样,由Verizon拥有),该公司于2018年因未能披露其数据泄露事件之一而被罚款3500万美元,该数据泄露事件导致5亿个用户帐户被盗。
“一次复杂的网络攻击……”
阅读:“我们试图使自己看起来不像我们现在一样愚蠢。”
仅仅因为一家公司表示受到“复杂”网络攻击的打击,并不意味着是这样。它是夸张的,旨在用作“掩盖你的屁股”声明,以轻描淡写安全事件。它真正告诉您的是,该公司不知道攻击是如何发生的。毕竟,历史上一些最大的漏洞是由于未打补丁的系统,弱密码或有人单击了恶意电子邮件所致。
“没有证据表明已获取数据。”
阅读:“我们知道。”
“没有证据”并不表示尚未发生任何事情,而是尚未看到。公司要么看起来不够努力,要么不知道。即使一家公司表示“没有证据”证明数据被盗,也有必要询问它如何得出结论。
“一小部分客户受到影响。”
阅读:“如果我们说“数百万”用户,这听起来会更糟。”
下次您看到一条数据泄露通知,说只有一小部分客户受到泄露影响时,请花一分钟时间来思考这实际上意味着什么。Houzz承认在2019年1月发生数据泄露,其中说“我们的一些用户数据”已被窃取。几个月后,一名黑客发布了大约5700万个Houzz用户记录。哥伦比亚广播公司(CBS)拥有的Last.fm 在2012年还表示,其“某些”密码被盗。它后来量达 4300万个密码。如果一家公司没有告诉您有多少人受到影响,那是因为他们不知道-或他们不想让您知道。