donna che tiene smartphone

La maggior parte dei partecipanti a uno studio recente non aveva idea che i loro indirizzi e-mail e altre informazioni personali fossero stati compromessi in una media di cinque violazioni dei dati ciascuno.

Sono passati nove anni dalla violazione dei dati di LinkedIn, otto anni da quando i clienti Adobe sono stati vittime di attacchi informatici e quattro anni da quando Equifax ha fatto notizia per l'esposizione di informazioni private di milioni di persone.

I ricercatori della School of Information dell'Università del Michigan hanno mostrato fatti a 413 persone da un massimo di tre violazioni che ha coinvolto le proprie informazioni personali. I ricercatori hanno scoperto che le persone non erano a conoscenza del 74% delle violazioni.

“Questo è preoccupante. Se le persone non sanno che le loro informazioni sono state esposte in una violazione, non possono proteggersi adeguatamente contro le implicazioni di una violazione, ad esempio un aumento del rischio di furto di identità", afferma il dottorando Yixin Zou.

Come riportato in a carta per la conferenza, i ricercatori hanno anche scoperto che la maggior parte delle persone violate ha incolpato i propri comportamenti personali per gli eventi, utilizzando la stessa password su più account; mantenere la stessa email per lungo tempo; e la registrazione di account "imprecisi", con solo il 14% che attribuisce il problema a fattori esterni.

innerself iscriviti alla grafica

"Mentre c'è una certa responsabilità sui consumatori per stai attento riguardo a chi condividono le loro informazioni personali, la colpa delle violazioni risiede quasi sempre in pratiche di sicurezza insufficienti da parte dell'azienda interessata, non dalle vittime della violazione", afferma Adam Aviv, professore associato di informatica presso la George Washington University.

I Sono stato pegno? Il database utilizzato in questo studio elenca quasi 500 violazioni online e 10 milioni di account compromessi nell'ultimo decennio. Secondo l'Identity Theft Resource Center, il numero complessivo di violazioni dei dati che interessano gli americani è ancora più alto, segnalando oltre 1,108 violazioni negli Stati Uniti solo nel 2020.

La ricerca precedente ha chiesto informazioni su preoccupazioni e reazioni alle violazioni dei dati in generale, oppure si è basata su dati auto-segnalati per determinare in che modo un particolare incidente ha colpito le persone. Questo studio ha utilizzato i record pubblici nel set di dati Have I Been Pwned di chi è stato colpito da violazioni. Il team di ricerca ha raccolto 792 risposte relative a 189 violazioni uniche e 66 diversi tipi di dati esposti. Dei 431 indirizzi e-mail dei partecipanti interrogati, il 73% dei partecipanti è stato esposto a una o più violazioni, con il numero più alto di 20.

Di tutte le informazioni violate, gli indirizzi e-mail sono stati quelli maggiormente compromessi, seguiti da password, nomi utente, indirizzi IP e date di nascita.

La maggior parte dei partecipanti ha espresso una moderata preoccupazione ed era più preoccupata per la fuga di indirizzi fisici, password e numeri di telefono. In risposta ai loro account compromessi, hanno segnalato di aver preso provvedimenti o l'intenzione di modificare le password per il 50% delle violazioni.

“Potrebbe essere che alcuni dei servizi violati siano stati considerati 'non importanti' perché l'account violato non conteneva informazioni sensibili. Tuttavia, la scarsa preoccupazione per una violazione può anche essere spiegata da persone che non considerano o non sono pienamente consapevoli di come le informazioni personali trapelate potrebbero essere potenzialmente utilizzate in modo improprio e danneggiarle", afferma Peter Mayer, ricercatore post-dottorato presso il Karlsruhe Institute of Technology.

I rischi vanno dal riempimento delle credenziali o dall'utilizzo di un indirizzo e-mail e password trapelati per accedere ad altri account della vittima, al furto di identità e alla frode.

La maggior parte delle violazioni non ha mai fatto notizia e spesso ha comportato poca o nessuna notifica alle persone interessate.

"I requisiti di notifica di violazione dei dati odierni sono insufficienti", afferma Zou. “O le persone non vengono informate dalle aziende violate, oppure le notifiche sono realizzate così male che le persone potrebbero ricevere una notifica via e-mail o una lettera ma ignorarle. Nel lavoro precedente, abbiamo analizzato le lettere di notifica di violazione dei dati inviate ai consumatori e abbiamo scoperto che spesso richiedono capacità di lettura avanzate e rischi oscuri".

Alla fine dello studio, i ricercatori hanno mostrato ai partecipanti l'elenco completo delle violazioni che li hanno colpiti e hanno fornito informazioni per adottare misure protettive contro potenziali rischi di violazione dei dati.

Come evitare le violazioni dei dati

Quando i tuoi dati sono stati rubati: 

  • Verifica se gli account hanno fatto parte di una violazione utilizzando servizi gratuiti come https://haveibeenpwned.com/ or https://monitor.firefox.com/.
  • Leggi attentamente le notifiche di violazione.
  • Siti web come gli FTC https://identitytheft.gov/ può aiutare a creare un piano di recupero dopo il furto di identità.
  • Assicurati di cambiare la password dell'account violato e di tutti gli altri per i quali è stata utilizzata la stessa password. Fare questo una volta dovrebbe essere sufficiente a meno che non ci sia una nuova violazione.
  • Iscriviti ai servizi di monitoraggio dell'identità che ti vengono offerti. Anche se non perfetti, sono meglio di niente.
  • Se riscontri un danno effettivo a causa di una violazione, potresti anche avere diritto a ulteriore supporto.

Per prevenire future violazioni dei dati: 

  • Usa una password univoca per ogni account online. Nessuno può ricordarne decine, quindi è meglio usare un gestore di password per archiviare e creare password complesse.
  • Utilizza l'autenticazione a due fattori, ove possibile, che richiede un codice telefonico oltre a nome utente e password per accedere a un account.
  • Congelare i rapporti di credito presso i tre principali uffici (Equifax, Experian e TransUnion) per rendere più difficile per i ladri di identità causare danni finanziari. Vedere qui.
  • Considerare l'utilizzo di servizi come Accedi con Apple  per mantenere privato un indirizzo e-mail durante la creazione di nuovi account (il fornitore di servizi vede solo un indirizzo e-mail creato in modo univoco per quell'account).

"I risultati di questo studio sottolineano ulteriormente il fallimento e le carenze delle attuali leggi sulla notifica delle violazioni dei dati e della sicurezza", afferma Florian Schaub, assistente professore di informatica presso l'Università del Michigan.

"Ciò che troviamo più e più volte nel nostro lavoro è che importanti leggi e regolamenti, che hanno lo scopo di proteggere i consumatori, sono resi inefficaci nella pratica da scarsi sforzi di comunicazione da parte delle aziende interessate che devono essere ritenute più responsabili per la protezione dei dati dei clienti".

I ricercatori indicano il regolamento generale sulla protezione dei dati in Europa che prevede multe salate per le aziende che non proteggono i consumatori come mezzo per risolvere il problema. La legge ha portato le aziende di tutto il mondo a riorganizzare i propri programmi e tutele sulla privacy.

Fonte: University of Michigan

 

Circa l'autore

Laurel Thomas-Michigan

Questo articolo è apparso originariamente su Futurity