安全观察：让公司而不是客户遭受数据泄露的伤害 最大涡

3月29日，伯爵企业宣布，其连锁餐厅的访客可能已窃取其信用卡信息。 与往常一样，当发生这种情况时，我被要求为消费者提供一些建议，说明他们可以采取哪些措施保护自己。 这是多年类似故事中的老话题，但这次却有所不同。 这部分是由于攻击的独特性质，还因为我们将清理垃圾的责任放在消费者身上的做法是行不通的。 现在该把责任归于那些首先要破坏数据的公司了。

违背

如果您在特定的Buca di Beppo，Chicken Guy！，Earl of Sandwich，Mixology，Planet Hollywood或Tequila Taqueria外出就餐，则您的信用卡或借记卡信息可能已被盗。 根据Earl Enterprises的说法，这可能几乎包括欺诈所需要的一切：卡号，有效期和某些持卡人姓名。 据报告，受影响的人数约为200万人。

关于此特定违规的一个有趣事实是，它 本身 并不是违规。 相反，黑客设法在各个餐厅远程访问销售点或POS（是真正的缩写）机器，并安装了可抓取客户数据的恶意软件。 这些信息被集中在一起并在黑市网站上出售。

您可以采取什么措施来确保安全？

除了有关POS机上的恶意软件的信息外，伯爵企业的违规/攻击非常典型。 正如我对消费者（即您）可以采取哪些措施以保持安全的建议。

首先，我通常会说，使用信用卡而不是借记卡。 信用卡交易很容易被撤销，而信用卡公司则非常擅长于发现欺诈行为。 重要的是，您不承担欺诈性信用卡费用。 使用借记卡本质上是现金交易。 您可以报销这些费用，但有时会花费更长的时间，在最坏的情况下，可能会导致与银行或FDIC发生争执。

一旦解决了这个问题，我就会遇到磁条交易的问题。 磁条非常简单。 您可以连接USB磁条阅读器，运行卡，然后计算机会将信息输入到您的文本文件中。 芯片卡（EMV卡）使用不同的过程，该过程更加安全且难以拦截。

这就引起了一个自然的讨论，即通常如何使用称为撇油器或闪光器的小型设备窃取此信息。 关于如何发现它们，我有一个完整的故事，因此您可以阅读。 要点是，在使用POS机之前，在任何情况下都应检查POS机是一个好主意，尤其是在气泵和室外ATM机上。 为您节省了一次点击（但是无论如何点击都会帮助我获得付款）。

之后，我将全面介绍有关支付的高科技解决方案。 Android Pay，Apple Pay和Samsung Pay使用令牌化系统，该系统不会泄露您的实际信用卡信息。 由于信息是通过无线方式传输的，因此使用它们似乎不太安全，但是实际上非常好。

然后，我有时会简单介绍一下如何使用Abine Blur即时创建预付费信用卡和虚假电子邮件地址。 也许我会提到现金和预付信用卡是最安全，最注重隐私的业务方式。 我绝对不会认可身份盗窃保护服务，因为我不确定它们是否真正起作用，并且我不会对信用监控说太多，因为我认为您不必为自己正在编译的财务信息付费未经您的同意。

我从不认可比特币，因为认真对待那些家伙。

不管你有多小心

我们一直在PCMag上写这类故事，它们对于说明可以改变人们生活的小事情很有用。 人们应该知道更明智的付款方式，并被建议使用密码管理器和2FA，或者至少知道这些是什么，以便他们可以在生活中做出明智的选择。 但是Earl Enterprises的违规确实引起了我的注意，因为几乎没有什么客户可以真正保护自己。

在Earl Enterprises攻击中，坏人可以远程访问POS机。 这意味着无论客户调查了多少读卡器，他们都不会找到有说服力的撇渣器，因为威胁就 在 机器 内部 。 而且，在美国餐厅，顾客并非总是可以选择使用POS终端。 我们将付款交给服务器，服务器运行该卡并返回收据。 这意味着客户无法使用更新，更安全的移动设备支付系统。 也不能保证任何给定的商人都支持EMV芯片或移​​动支付，或者不能向员工培训如何使用它。

更不用说据报道，伯爵企业（Earl Enterprises）花了10个月来对违规做出回应。 也不是因为这些信息是批量出售的，这是此类操作的标准，受害者在未来的几年中可能会遭受二阶和三阶后果。

在有关此主题的所有建议中，我只剩下一个选择：使用现金或预付卡。 在我们2019年主人的那一年，这是一个非常荒谬的事情，当时我可以用电话买一架无人驾驶飞机，然后在我回到家之前将它送到我的房子里，同时还给泰国的一个朋友打电话。

第一个似乎可能会改变事情的大规模数据泄露事件发生在2013年，当时有约1.1亿名塔吉特购物者发现他们的私人信息有一个特别的蓝灯。 就像伯爵企业的攻击一样，客户几乎不可能采取切实措施来保护自己。 当时，人们担心消费者的强烈反对可能会使公司陷入困境。

这没有发生，随后发生的其他任何头条新闻也都没有发生。 Target遭受重创​​并支付了一些现金，但仍保持营业。 对于随后成为头条新闻的任何其他违规行为，也没有造成破坏性的后果，也没有看到公司行为不当并滥用其客户的私人信息（看着您， 脸书 ！）。 实际上，这种对客户的背叛已经变得司空见惯，因此PCMag掩盖Earl Enterprises的攻击是没有意义的。 它根本不值得关注。

大量的消费者自我防御都无法阻止这种欺诈行为，而且显然也没有任何对安全漏洞的不良报道足以损害公司的利益，足以使他们充分保护客户信息。 在我看来，这留下了一个选择：监管。

消费者保护保护消费者

• 2019年最佳密码管理器2019年最佳密码管理器
• 目标黑客影响了多达7000万购物者目标黑客影响了多达7000万购物者
• 两要素身份验证：谁拥有它以及如何设置两要素身份验证：谁拥有它以及如何设置

公司必须对影响客户的安全漏洞承担法律和财务责任。 需要罚款，调查和法院命令的后果。 钱需要花在律师身上 ， 很多钱 。 客户必须花费自己的金钱和精力来承担法律责任的当前模式是不合理的。 保护自己免受小额欺诈或（更糟糕的是）在身份盗窃后试图使我们的生活重拾能量所需的精力也是如此。

公司还需要认真对待威胁并计划攻击。 应该存储最少的客户数据，并且应该对存储的所有数据进行加密或以其他方式使之在被盗后变得无用。 支付系统的创建者还需要开始认真对待这些威胁，如果商家要求使用更安全的设备，我相信他们会这样做。

在相当长的一段时间内，我一直怀疑过去十年中公开的大量私人信息意味着每个人都已经或将受到某种程度的伤害。 那是不能接受的。 对我自己来说，我在2019年的第二张借记卡上，因为前两个卡的号码已被盗用。 现在是四月。