Ecco quanto valgono le tue informazioni personali per i criminali informatici
Il mercato nero delle informazioni personali rubate motiva la maggior parte delle violazioni dei dati.

Le violazioni dei dati sono diventate comuni e miliardi di dischi vengono rubati in tutto il mondo ogni anno. La maggior parte della copertura mediatica delle violazioni dei dati tende a concentrarsi su come si è verificata la violazione, quanti record sono stati rubati e l'impatto finanziario e legale dell'incidente per le organizzazioni e gli individui colpiti dalla violazione. Ma cosa succede ai dati che vengono rubati durante questi incidenti?

Come un ricercatore di sicurezza informatica, tengo traccia delle violazioni dei dati e del mercato nero dei dati rubati. La destinazione dei dati rubati dipende da chi c'è dietro una violazione dei dati e dal motivo per cui hanno rubato un determinato tipo di dati. Ad esempio, quando i ladri di dati sono motivati ​​a mettere in imbarazzo una persona o un'organizzazione, denunciare illeciti percepiti o migliorare la sicurezza informatica, tendono a rilasciare dati rilevanti nel pubblico dominio.

Nel 2014, gli hacker sostenuti dalla Corea del Nord ha rubato i dati dei dipendenti di Sony Pictures Entertainment come numeri di previdenza sociale, documenti finanziari e informazioni sugli stipendi, nonché e-mail tra i massimi dirigenti. Gli hacker hanno quindi pubblicato le e-mail per mettere in imbarazzo la società, forse come punizione per aver rilasciato un file commedia su un complotto per assassinare il leader della Corea del Nord, Kim Jong Un.

A volte, quando i dati vengono rubati dai governi nazionali, non vengono divulgati o venduti. Invece, è utilizzato per lo spionaggio. Ad esempio, la società alberghiera Marriott è stata vittima di una violazione dei dati nel 2018 in cui sono state rubate informazioni personali su 500 milioni di ospiti. I principali sospettati di questo incidente erano hacker supportati dal governo cinese. Una teoria è che il governo cinese ha rubato questi dati come parte di uno sforzo di raccolta di informazioni per raccogliere informazioni sui funzionari del governo degli Stati Uniti e sui dirigenti aziendali.

innerself iscriviti alla grafica

Ma la maggior parte degli hack sembra riguardare la vendita dei dati per fare soldi.

Ma la maggior parte degli hack sembra riguardare la vendita dei dati per fare soldi.

Riguarda (principalmente) i soldi

Sebbene le violazioni dei dati possano essere una minaccia alla sicurezza nazionale, l'86% riguarda il denaro e il 55% è commesso da gruppi criminali organizzati, secondo Rapporto annuale sulla violazione dei dati di Verizon. I dati rubati spesso finiscono per essere venduti online su Web scuro. Ad esempio, nel 2018 gli hacker messo in vendita più di 200 milioni di dischi contenente le informazioni personali di individui cinesi. Ciò includeva informazioni su 130 milioni di clienti della catena alberghiera cinese Huazhu Hotels Group.

Allo stesso modo, i dati rubati da Target, Sally bellezza, PF Chang, Porto merci ed Home Depot è apparso su un noto sito di mercato nero online chiamato Rescator. Sebbene sia facile trovare marketplace come Rescator tramite una semplice ricerca su Google, altri marketplace nel dark web possono essere trovati solo utilizzando browser web speciali.

Gli acquirenti possono acquistare i dati a cui sono interessati. Il modo più comune per pagare la transazione è con bitcoin o tramite Western Union. I prezzi dipendono dal tipo di dato, dalla sua domanda e dalla sua offerta. Ad esempio, a grande eccedenza di rubato informazioni personali identificabili ha fatto scendere il suo prezzo da $ 4 per le informazioni su una persona nel 2014 a $ 1 nel 2015. Dump e-mail contenente da centomila a un paio di milioni di indirizzi e-mail costa $ 10, e database degli elettori da vari stati vendono per $100.

Ecco quanto valgono le tue informazioni personali per i criminali informaticiEcco quanto valgono le tue informazioni personali per i criminali informatici

Dove finiscono i dati rubati

Gli acquirenti utilizzano i dati rubati in diversi modi. I numeri di carta di credito e i codici di sicurezza possono essere utilizzati per creare carte clone per effettuare transazioni fraudolente. Numeri di previdenza sociale, indirizzi di casa, nomi completi, date di nascita e altre informazioni di identificazione personale possono essere utilizzati nel furto di identità. Ad esempio, l'acquirente può richiedere prestiti o carte di credito a nome della vittima e presentare dichiarazioni fiscali fraudolente.

A volte vengono acquistate informazioni personali rubate by società di marketing o aziende specializzate in campagne di spam. Gli acquirenti possono anche utilizzare le e-mail rubate per phishing e altri attacchi di ingegneria sociale e per distribuire malware.

Gli hacker hanno preso di mira informazioni personali e dati finanziari per molto tempo perché sono facili da vendere. I dati sanitari hanno diventare una grande attrazione per i ladri di dati negli ultimi anni. In alcuni casi la motivazione è l'estorsione.

Un buon esempio è il furto di dati dei pazienti dall'azienda finlandese di psicoterapia Vastaamo. Gli hacker hanno utilizzato le informazioni rubate per chiedere un riscatto non solo a Vastaamo, ma anche ai suoi pazienti. Essi inviare email ai pazienti con la minaccia di esporre i propri dati di salute mentale a meno che le vittime non pagassero un riscatto di 200 euro in bitcoin. Almeno 300 di questi record rubati sono stati pubblicati online, secondo un rapporto dell'Associated Press.

Possono essere utilizzati anche dati rubati, inclusi diplomi medici, licenze mediche e documenti assicurativi forgiare un background medico.

Come sapere e cosa fare

Cosa puoi fare per ridurre al minimo il rischio di dati rubati? Il primo passo è scoprire se le tue informazioni vengono vendute sul dark web. Puoi utilizzare siti web come haveibeenpwned ed IntelligenzaX per vedere se la tua email faceva parte di dati rubati. È anche una buona idea iscriversi a servizi di protezione contro il furto di identità.

Se sei stato vittima di una violazione dei dati, puoi prendere questi passaggi per ridurre al minimo l'impatto: informa le agenzie di segnalazione del credito e altre organizzazioni che raccolgono dati su di te, come il tuo medico, la compagnia di assicurazioni, le banche e le società di carte di credito e modifica le password per i tuoi account. Puoi anche segnalare l'incidente alla Federal Trade Commission per ottenere un file piano su misura per riprendersi dall'incidente.The Conversation

Circa l'autore

Ravi Sen, Professore Associato di Gestione delle informazioni e delle operazioni, Texas A & M University

Questo articolo è ripubblicato da The Conversation sotto una licenza Creative Commons. Leggi il articolo originale.