スマートフォンを持っている女性

最近の調査のほとんどの参加者は、自分の電子メールアドレスやその他の個人情報がそれぞれ平均XNUMX回のデータ侵害で侵害されたことを知りませんでした。

LinkedInのデータ侵害からXNUMX年、アドビの顧客がサイバー攻撃者の犠牲になったのはXNUMX年、Equifaxが何百万人もの個人情報の公開について見出しを出したのはXNUMX年です。

ミシガン大学情報学部の研究者は、最大413人からXNUMX人の事実を示しました 違反 それは彼ら自身の個人情報を含んでいました。 研究者は、人々が違反の74%に気付いていなかったことを発見しました。

「これは心配です。 情報が侵害で公開されたことを人々が知らない場合、個人情報の盗難のリスクの増大など、侵害の影響から身を適切に保護することはできません」と博士課程の候補者YixinZou氏は述べています。

で報告されているように 会議資料、研究者はまた、違反した人のほとんどが、複数のアカウントで同じパスワードを使用して、イベントに対する自分の個人的な行動を非難していることを発見しました。 同じメールを長期間保持する。 そして「大ざっぱな」アカウントにサインアップします—問題を外部要因に起因させるのはわずか14%です。


インナーセルフ購読グラフィック


「消費者にはある程度の責任がありますが 注意してください 個人情報を誰と共有するかについては、ほとんどの場合、侵害の責任は、侵害の被害者ではなく、影響を受ける企業による不十分なセキュリティ慣行にあります」と、ジョージワシントン大学のコンピュータサイエンスの准教授であるAdamAvivは述べています。

  私はPwnedされている この調査で使用されたデータベースには、過去500年間で約10件のオンライン侵害と1,108万件の侵害されたアカウントがリストされています。 Identity Theft Resource Centerによると、アメリカ人に影響を与えるデータ侵害の総数はさらに多く、2020年だけで米国でXNUMX件以上の情報漏えいが報告されています。

以前の調査では、一般的なデータ侵害に対する懸念と反応について質問したか、特定のインシデントが人々にどのように影響したかを判断するために自己報告データに依存していました。 この調査では、違反の影響を受けた人のHave I beenPwnedデータセットの公開レコードを使用しました。 調査チームは、792件の固有の侵害と189件の異なる公開データタイプを含む66件の回答を収集しました。 照会された431の参加者の電子メールアドレスのうち、73%の参加者が20つ以上の違反にさらされ、最大数はXNUMXでした。

侵害されたすべての情報の中で、電子メールアドレスが最も侵害され、次にパスワード、ユーザー名、IPアドレス、生年月日が続きました。

ほとんどの参加者は中程度の懸念を表明し、物理アドレス、パスワード、および電話番号の漏洩について最も心配していました。 侵害されたアカウントに対応して、違反の50%について、アクションを実行するか、パスワードを変更する意図があると報告しました。

「侵害されたアカウントに機密情報が含まれていなかったため、侵害されたサービスの一部が「重要ではない」と見なされた可能性があります。 しかし、侵害に対する懸念が低いことは、漏洩した個人情報がどのように悪用されて害を及ぼす可能性があるかを十分に考慮または認識していない人々によっても説明される可能性があります」とカールスルーエ工科大学のポスドク研究員であるピーターメイヤーは述べています。

リスクは、資格情報の詰め込み、または漏洩した電子メールアドレスとパスワードを使用して被害者の他のアカウントにアクセスすることから、なりすましや詐欺にまで及びます。

ほとんどの違反はニュースになりませんでした、そしてしばしば彼らは影響を受けた個人への通知をほとんどまたはまったく含まなかった。

「今日のデータ漏えい通知の要件は不十分です」とZou氏は言います。 「どちらの人も、侵害された会社から通知を受けていないか、通知の作成が不十分であるため、電子メール通知や手紙を受け取っても無視する可能性があります。 前の仕事で、消費者に送信された情報漏えい通知書を分析したところ、高度な読み取りスキルとあいまいなリスクが必要になることがよくありました。」

調査の最後に、研究者は参加者に影響を与える侵害の完全なリストを示し、データ侵害による潜在的なリスクに対する保護措置を講じるための情報を提供しました。

データ侵害を回避する方法

データが盗まれた場合: 

  • 次のような無料サービスを使用して、アカウントが違反の一部であったかどうかを確認します https://haveibeenpwned.com/ or https://monitor.firefox.com/.
  • 違反通知を注意深くお読みください。
  • FTCのようなウェブサイト https://identitytheft.gov/ 個人情報の盗難後の復旧計画の作成に役立ちます。
  • 侵害されたアカウントおよび同じパスワードが使用された他のアカウントのパスワードを必ず変更してください。 新たな違反がない限り、これをXNUMX回行うだけで十分です。
  • 提供されるID監視サービスにサインアップします。 完璧ではありませんが、何もないよりはましです。
  • 違反による実際の危害を経験した場合は、さらにサポートを受ける権利もあります。

将来のデータ侵害を防ぐには: 

  • オンラインアカウントごとに一意のパスワードを使用します。 誰もこれらの数十を覚えていないので、強力なパスワードを保存および作成するには、パスワードマネージャーを使用するのが最善です。
  • アカウントにアクセスするには、ユーザー名とパスワードに加えて電話によるコードが必要なXNUMX要素認証を可能な限り使用してください。
  • XNUMXつの主要なビューロー(Equifax、Experian、およびTransUnion)でクレジットレポートを凍結して、なりすまし犯罪者が金銭的損害を引き起こすことをより困難にします。 見る こちらをご覧ください。.
  • 次のようなサービスの使用を検討してください Appleでサインインする  新しいアカウントを作成するときに電子メールアドレスを非公開に保つため(サービスプロバイダーには、そのアカウント用に一意に作成された電子メールアドレスのみが表示されます)。

「この調査の結果は、現在のデータとセキュリティ違反通知法の失敗と欠点をさらに強調しています」と、ミシガン大学の情報助教授であるフロリアンシャウブは述べています。

「私たちの仕事で何度も目にするのは、消費者を保護することを目的とした重要な法律や規制が、顧客データの保護についてより責任を負う必要のある影響を受ける企業による不十分なコミュニケーション努力によって実際には無効になっていることです。」

研究者たちは、問題を解決するための手段として、消費者を保護しない企業に多額の罰金を科すヨーロッパの一般データ保護規則を指摘しています。 この法律により、世界中の企業はプライバシープログラムと保護手段を再構築することになりました。

情報源: ミシガン大学

 

著者について

ローレルトーマス-ミシガン

この記事はもともとFuturityに掲載されました