mulher segurando smartphone

A maioria dos participantes de um estudo recente não tinha ideia de que seus endereços de e-mail e outras informações pessoais haviam sido comprometidos em uma média de cinco violações de dados cada.

Já se passaram nove anos desde a violação de dados do LinkedIn, oito anos desde que os clientes da Adobe foram vítimas de ataques cibernéticos e quatro anos desde que a Equifax ganhou as manchetes pela exposição de informações privadas de milhões de pessoas.

Pesquisadores da Escola de Informação da Universidade de Michigan mostraram fatos para 413 pessoas de até três violações que envolvia suas próprias informações pessoais. Os pesquisadores descobriram que as pessoas não estavam cientes de 74% das violações.

“Isso é preocupante. Se as pessoas não sabem que suas informações foram expostas em uma violação, elas não podem se proteger adequadamente contra as implicações de uma violação, por exemplo, um risco aumentado de roubo de identidade ”, diz o doutorando Yixin Zou.

Conforme relatado em um papel da conferência, os pesquisadores também descobriram que a maioria dos violados culpava seus próprios comportamentos pessoais pelos eventos - usando a mesma senha em várias contas; manter o mesmo e-mail por muito tempo; e inscrever-se para contas “incompletas” - com apenas 14% atribuindo o problema a fatores externos.

innerself assinar gráfico

“Embora haja alguma responsabilidade dos consumidores em Seja Cuidadoso sobre com quem eles compartilham suas informações pessoais, a culpa pelas violações quase sempre reside nas práticas de segurança insuficientes por parte da empresa afetada, não pelas vítimas da violação ”, disse Adam Aviv, professor associado de ciência da computação na George Washington University.

A Tenho sido pwned O banco de dados usado neste estudo lista quase 500 violações online e 10 milhões de contas comprometidas na última década. De acordo com o Identity Theft Resource Center, o número geral de violações de dados que afetam os americanos é ainda maior, relatando mais de 1,108 violações nos Estados Unidos apenas em 2020.

Pesquisas anteriores perguntavam sobre preocupações e reações a violações de dados em geral, ou baseavam-se em dados auto-relatados para determinar como um determinado incidente afetava as pessoas. Este estudo usou registros públicos no conjunto de dados Have I Been Pwned de quem foi afetado por violações. A equipe de pesquisa reuniu 792 respostas envolvendo 189 violações exclusivas e 66 diferentes tipos de dados expostos. Dos 431 endereços de e-mail de participantes consultados, 73% dos participantes foram expostos em uma ou mais violações, com o maior número de 20.

De todas as informações violadas, os endereços de e-mail foram os mais comprometidos, seguidos por senhas, nomes de usuário, endereços IP e datas de nascimento.

A maioria dos participantes expressou preocupação moderada e estava mais preocupada com o vazamento de endereços físicos, senhas e números de telefone. Em resposta às contas comprometidas, eles relataram que tomaram medidas ou pretendiam alterar as senhas em 50% das violações.

“Pode ser que alguns dos serviços violados tenham sido considerados 'não importantes' porque a conta violada não continha informações confidenciais. No entanto, a pouca preocupação com uma violação também pode ser explicada por pessoas que não consideram totalmente ou não estão cientes de como as informações pessoais vazadas podem ser usadas indevidamente e prejudicá-las ”, disse Peter Mayer, pesquisador de pós-doutorado no Instituto de Tecnologia de Karlsruhe.

Os riscos variam de empastamento de credenciais - ou uso de um endereço de e-mail e senha vazados para obter acesso a outras contas da vítima - a roubo de identidade e fraude.

A maioria das violações nunca chegou ao noticiário e frequentemente envolvia pouca ou nenhuma notificação aos indivíduos afetados.

“Os requisitos atuais de notificação de violação de dados são insuficientes”, diz Zou. “Ou as pessoas não estão sendo notificadas por empresas violadas ou as notificações são tão mal elaboradas que as pessoas podem receber uma notificação por e-mail ou carta, mas desconsideram. Em trabalho anterior, analisamos cartas de notificação de violação de dados enviadas aos consumidores e descobrimos que muitas vezes exigem habilidades de leitura avançada e riscos obscuros. ”

No final do estudo, os pesquisadores mostraram aos participantes a lista completa de violações que os afetam e forneceram informações para tomar medidas de proteção contra riscos potenciais de violações de dados.

Como evitar violações de dados

Quando seus dados forem roubados: 

  • Verifique se as contas fizeram parte de uma violação usando serviços gratuitos, como https://haveibeenpwned.com/ or https://monitor.firefox.com/.
  • Leia as notificações de violação com atenção.
  • Sites como o FTC's https://identitytheft.gov/ pode ajudar a criar um plano de recuperação após o roubo de identidade.
  • Certifique-se de alterar a senha da conta violada e quaisquer outras para as quais a mesma senha foi usada. Fazer isso uma vez deve ser o suficiente, a menos que haja uma nova violação.
  • Inscreva-se nos serviços de monitoramento de identidade oferecidos. Embora não sejam perfeitos, eles são melhores do que nada.
  • Se você sofrer danos reais devido a uma violação, também poderá ter direito a suporte adicional.

Para evitar futuras violações de dados: 

  • Use uma senha única para cada conta online. Ninguém consegue se lembrar de dezenas deles, então é melhor usar um gerenciador de senhas para armazenar e criar senhas fortes.
  • Use a autenticação de dois fatores, sempre que possível, que exige um código por telefone, além de um nome de usuário e senha para acessar uma conta.
  • Congele relatórios de crédito nas três principais agências (Equifax, Experian e TransUnion) para tornar mais difícil para ladrões de identidade causar danos financeiros. Ver SUA PARTICIPAÇÃO FAZ A DIFERENÇA.
  • Considere o uso de serviços como Entrar com a Apple  para manter um endereço de e-mail privado ao criar novas contas (o provedor de serviços só vê um endereço de e-mail criado exclusivamente para essa conta).

“As descobertas deste estudo enfatizam ainda mais a falha e as deficiências dos dados atuais e as leis de notificação de violação de segurança”, disse Florian Schaub, professor assistente de informação da Universidade de Michigan.

“O que encontramos repetidamente em nosso trabalho é que legislação e regulamentação importantes, destinadas a proteger os consumidores, se tornam ineficazes na prática devido aos esforços de comunicação insuficientes das empresas afetadas que precisam ser mais responsabilizadas pela proteção dos dados dos clientes.”

Os pesquisadores apontam para o Regulamento Geral de Proteção de Dados da Europa, que legisla multas pesadas para empresas que não protegem os consumidores como um meio de resolver o problema. A lei levou empresas em todo o mundo a reformular seus programas de privacidade e salvaguardas.

Fonte: Universidade de Michigan

 

Sobre o autor

Laurel Thomas-Michigan

Este artigo apareceu originalmente no Futurity