vrouw met smartphone

De meeste deelnemers aan een recent onderzoek hadden geen idee dat hun e-mailadressen en andere persoonlijke informatie waren gecompromitteerd in elk gemiddeld vijf datalekken.

Het is negen jaar geleden sinds het datalek op LinkedIn, acht jaar sinds Adobe-klanten het slachtoffer werden van cyberaanvallers en vier jaar sinds Equifax de krantenkoppen haalde over de openbaarmaking van privé-informatie van miljoenen mensen.

Onderzoekers van de University of Michigan School of Information toonden 413 mensen feiten van maximaal drie inbreuken waarbij hun eigen persoonlijke gegevens betrokken waren. De onderzoekers ontdekten dat mensen niet op de hoogte waren van 74% van de inbreuken.

“Dit is zorgwekkend. Als mensen niet weten dat hun informatie bij een datalek is gelekt, kunnen ze zich niet goed beschermen tegen de gevolgen van een datalek, bijvoorbeeld een verhoogd risico op identiteitsdiefstal”, zegt promovendus Yixin Zou.

Zoals vermeld in a Conference paper, ontdekten onderzoekers ook dat de meeste van degenen die zijn geschonden, de schuld gaven aan hun eigen persoonlijke gedrag voor de gebeurtenissen - door hetzelfde wachtwoord voor meerdere accounts te gebruiken; dezelfde e-mail voor een lange tijd bewaren; en aanmelden voor "schetsmatige" accounts - waarbij slechts 14% het probleem toeschrijft aan externe factoren.


innerlijk abonneren grafisch


"Hoewel er enige verantwoordelijkheid op de consumenten rust om voorzichtig zijn over met wie ze hun persoonlijke informatie delen, ligt de fout voor inbreuken bijna altijd bij onvoldoende beveiligingspraktijken door het getroffen bedrijf, niet bij de slachtoffers van de inbreuk”, zegt Adam Aviv, universitair hoofddocent computerwetenschappen aan de George Washington University.

De Heb ik Pwned database die in dit onderzoek wordt gebruikt, bevat de afgelopen tien jaar bijna 500 online inbreuken en 10 miljoen gecompromitteerde accounts. Volgens het Identity Theft Resource Center is het totale aantal datalekken dat Amerikanen treft zelfs nog hoger, met alleen al in 1,108 meer dan 2020 datalekken in de Verenigde Staten.

Voorafgaand onderzoek vroeg naar zorgen en reacties op datalekken in het algemeen, of het was gebaseerd op zelfgerapporteerde gegevens om te bepalen hoe een bepaald incident mensen trof. Deze studie maakte gebruik van openbare registers in de Have I Been Pwned-dataset van wie werd getroffen door inbreuken. Het onderzoeksteam verzamelde 792 reacties met betrekking tot 189 unieke inbreuken en 66 verschillende blootgestelde gegevenstypen. Van de 431 ondervraagde e-mailadressen van deelnemers, werd 73% van de deelnemers blootgesteld aan een of meer inbreuken, met het hoogste aantal van 20.

Van alle informatie die werd geschonden, werden e-mailadressen het meest gecompromitteerd, gevolgd door wachtwoorden, gebruikersnamen, IP-adressen en geboortedata.

De meeste deelnemers waren matig bezorgd en waren het meest bezorgd over het lekken van fysieke adressen, wachtwoorden en telefoonnummers. In reactie op hun gecompromitteerde accounts meldden ze dat ze actie ondernamen of van plan waren om wachtwoorden te wijzigen voor 50% van de inbreuken.

“Het kan zijn dat sommige van de geschonden services als 'niet belangrijk' werden beschouwd omdat het geschonden account geen gevoelige informatie bevatte. De geringe bezorgdheid over een inbreuk kan echter ook worden verklaard door mensen die niet volledig overwegen of zich er niet volledig van bewust zijn hoe gelekte persoonlijke informatie mogelijk kan worden misbruikt en schade kan berokkenen”, zegt Peter Mayer, postdoctoraal onderzoeker aan het Karlsruhe Institute of Technology.

Risico's variëren van het vullen van referenties - of het gebruik van een gelekt e-mailadres en wachtwoord om toegang te krijgen tot andere accounts van het slachtoffer - tot identiteitsdiefstal en fraude.

De meeste inbreuken haalden nooit het nieuws en vaak waren er weinig of geen meldingen aan getroffen personen.

"De huidige vereisten voor het melden van datalekken zijn onvoldoende", zegt Zou. “Ofwel worden mensen niet op de hoogte gebracht door bedrijven die geschonden zijn, of de meldingen zijn zo slecht gemaakt dat mensen een e-mailmelding of brief kunnen krijgen, maar deze negeren. In eerder werk, analyseerden we kennisgevingsbrieven voor datalekken die naar consumenten werden gestuurd en ontdekten dat ze vaak geavanceerde leesvaardigheid en obscure risico's vereisen.”

Aan het einde van het onderzoek toonden onderzoekers de deelnemers de volledige lijst van inbreuken die hen aangingen en verstrekten ze informatie voor het nemen van beschermende maatregelen tegen mogelijke risico's van gegevensinbreuken.

Zo voorkom je datalekken

Wanneer uw gegevens zijn gestolen: 

  • Controleer of accounts deel uitmaakten van een inbreuk met behulp van gratis services zoals: https://haveibeenpwned.com/ or https://monitor.firefox.com/.
  • Lees de inbreukmeldingen aandachtig.
  • Websites zoals de FTC's https://identitytheft.gov/ kan helpen bij het opstellen van een herstelplan na identiteitsdiefstal.
  • Zorg ervoor dat u het wachtwoord van het gehackte account en alle andere accounts waarvoor hetzelfde wachtwoord is gebruikt, wijzigt. Dit één keer doen zou voldoende moeten zijn, tenzij er een nieuwe inbreuk is.
  • Meld u aan voor identiteitsbewakingsservices die u wordt aangeboden. Hoewel ze niet perfect zijn, zijn ze beter dan niets.
  • Als u daadwerkelijk schade ondervindt door een inbreuk, heeft u mogelijk ook recht op verdere ondersteuning.

Om toekomstige datalekken te voorkomen: 

  • Gebruik voor elk online account een uniek wachtwoord. Niemand kan er tientallen onthouden, dus het is het beste om een ​​wachtwoordbeheerder te gebruiken om sterke wachtwoorden op te slaan en te maken.
  • Gebruik waar mogelijk tweefactorauthenticatie, waarbij naast een gebruikersnaam en wachtwoord ook een telefonische code nodig is om toegang te krijgen tot een account.
  • Bevries kredietrapporten bij de drie grote bureaus (Equifax, Experian en TransUnion) om het voor identiteitsdieven moeilijker te maken om financiële schade aan te richten. Zien hier..
  • Overweeg het gebruik van diensten zoals: Log in met Apple  om een ​​e-mailadres privé te houden bij het maken van nieuwe accounts (de serviceprovider ziet alleen een e-mailadres dat uniek is gemaakt voor dat account).

"De bevindingen van deze studie onderstrepen verder het falen en de tekortkomingen van de huidige wetgeving inzake gegevens- en beveiligingsinbreuken", zegt Florian Schaub, assistent-professor informatie aan de Universiteit van Michigan.

"Wat we keer op keer ontdekken in ons werk is dat belangrijke wet- en regelgeving, die bedoeld is om consumenten te beschermen, in de praktijk ondoeltreffend wordt door slechte communicatie-inspanningen van de getroffen bedrijven die meer verantwoordelijk moeten worden gehouden voor het beveiligen van klantgegevens."

De onderzoekers wijzen op de Europese Algemene Verordening Gegevensbescherming, die forse boetes oplegt voor bedrijven die consumenten niet beschermen als middel om het probleem op te lossen. De wet bracht bedrijven over de hele wereld ertoe hun privacyprogramma's en waarborgen opnieuw in te richten.

Bron: Universiteit van Michigan

 

Over de auteur

Laurel Thomas Michigan

Dit artikel verscheen oorspronkelijk op Futurity