女子手持智能手机

最近一项研究的大多数参与者都不知道,他们的电子邮件地址和其他个人信息平均每人经历了五次数据泄露事件。

LinkedIn 数据泄露事件已经过去九年,Adobe 客户遭受网络攻击事件已经过去八年,Equifax 因泄露数百万人的私人信息而登上新闻头条事件也已经过去四年。

密歇根大学信息学院的研究人员向413人展示了多达三个人的事实 违规 这其中涉及他们自己的个人信息。研究人员发现,人们对74%的数据泄露事件毫不知情。

“这令人担忧。如果人们不知道自己的信息在泄露事件中被曝光,他们就无法妥善保护自己免受泄露事件的影响,例如身份盗窃风险的增加,”博士生邹一欣说。

据报道 会议论文研究人员还发现,大多数数据泄露事件的受害者将事件归咎于自己的个人行为——在多个帐户中使用相同的密码;长期使用同一个电子邮件地址;以及注册“可疑”的帐户——只有 14% 的人将问题归咎于外部因素。

内心订阅图形

“虽然消费者负有一定的责任……” 当心 “关于他们与谁分享个人信息,泄露事件的过错几乎总是在于受影响公司的安全措施不足,而不是泄露事件的受害者,”乔治·华盛顿大学计算机科学副教授亚当·阿维夫说。

这个 我是否曾经被用过 本研究使用的数据库记录了过去十年间近500起网络数据泄露事件和10万个被盗账户。据身份盗窃资源中心(Identity Theft Resource Center)称,影响美国人的数据泄露事件总数更高,仅2020年一年,美国就发生了超过1,108起数据泄露事件。

以往的研究主要询问人们对数据泄露的总体担忧和反应,或者依赖于自我报告的数据来确定特定事件对人们的影响。本研究使用了“Have I Been Pwned”数据集中的公开记录,该数据集记录了受数据泄露影响的人员信息。研究团队收集了792份回复,涉及189起不同的数据泄露事件和66种不同的泄露数据类型。在查询的431个参与者电子邮件地址中,73%的参与者在一次或多次数据泄露事件中受到影响,其中受影响次数最多的一次达到了20次。

在所有泄露的信息中,电子邮件地址泄露最多,其次是密码、用户名、IP 地址和出生日期。

大多数参与者表示中等程度的担忧,他们最担心的是家庭住址、密码和电话号码的泄露。在账户被盗用后,他们表示已采取措施或计划更改密码,其中50%的案例涉及账户安全问题。

“一些被泄露的服务可能被认为‘不重要’,因为被泄露的账户不包含敏感信息。然而,人们对数据泄露的担忧程度较低,也可能是因为人们没有充分考虑或意识到泄露的个人信息可能会被滥用并对他们造成伤害,”卡尔斯鲁厄理工学院的博士后研究员彼得·迈耶说道。

风险包括凭证填充攻击(即使用泄露的电子邮件地址和密码访问受害者的其他帐户)、身份盗窃和欺诈。

大多数数据泄露事件从未见诸报端,而且通常很少或根本没有通知受影响的个人。

邹先生表示:“目前的数据泄露通知要求还不够完善。要么是数据泄露的公司没有通知人们,要么是通知写得太差,人们可能收到了电子邮件或信件通知,但却置之不理。” 在先前的工作中我们分析了发送给消费者的数据泄露通知信,发现这些信件通常需要较高的阅读技巧,而且涉及的风险也比较隐晦。”

研究结束时,研究人员向参与者展示了影响他们的全部数据泄露事件清单,并提供了有关采取保护措施以防范数据泄露潜在风险的信息。

如何避免数据泄露

当你的数据被盗时: 

  • 使用诸如此类的免费服务检查账户是否属于数据泄露事件的一部分。 https://haveibeenpwned.com/ or https://monitor.firefox.com/.
  • 请仔细阅读违规通知。
  • 像联邦贸易委员会的网站 https://identitytheft.gov/ 可以帮助制定身份盗窃后的恢复计划。
  • 务必更改被盗账户的密码以及所有使用相同密码的其他账户的密码。除非发生新的安全漏洞,否则只需更改一次密码即可。
  • 注册使用别人提供的身份监控服务。虽然它们并不完美,但总比没有强。
  • 如果因违约而遭受实际损害,您也可能有权获得进一步的支持。

为防止未来发生数据泄露: 

  • 每个在线账户都应使用不同的密码。没有人能记住几十个密码,所以最好使用密码管理器来存储和创建强密码。
  • 尽可能使用双因素身份验证,即除了用户名和密码外,还需要通过电话接收验证码才能访问帐户。
  • 冻结三大信用机构(Equifax、Experian 和 TransUnion)的信用报告,以增加身份窃贼造成经济损失的难度。 点击这里.
  • 考虑使用诸如此类的服务 使用Apple登录  创建新帐户时,要对电子邮件地址保密(服务提供商只能看到为该帐户唯一创建的电子邮件地址)。

“这项研究的结果进一步凸显了当前数据和安全漏洞通知法律的失败和不足,”密歇根大学信息学助理教授弗洛里安·绍布说。

“我们在工作中一次又一次地发现,旨在保护消费者的重要立法和法规,由于受影响公司沟通不畅,在实践中无法发挥作用。这些公司需要承担更多责任,以确保客户数据的安全。”

研究人员指出,欧洲的《通用数据保护条例》(GDPR)规定,对于不保护消费者权益的公司处以巨额罚款,这是解决该问题的一种有效途径。该条例促使全球各地的公司重新调整其隐私保护措施和保障措施。

来源: 密歇根大学

 

关于作者

劳雷尔·托马斯-密歇根州

本文最初发表于 Futurity 网站。