Ochrona danych osobowych konsumentów

Zalecenia OAG dotyczące bezpieczeństwa danych

Zgodnie z prawem stanu Nowy Jork, firmy muszą stosować rozsądne zabezpieczenia w celu ochrony danych osobowych nowojorczyków. Jeśli okaże się, że firma tego nie zrobiła, OAG przeprowadzi dochodzenie i, w razie potrzeby, podejmie odpowiednie działania. Niniejszy raport podkreśla ustalenia z kilku ostatnich dochodzeń OAG i oferuje proste wskazówki, które mogą pomóc firmom wzmocnić ich programy bezpieczeństwa danych i lepiej chronić informacje o konsumentach.

Utrzymanie kontroli bezpiecznego uwierzytelniania

Jeśli firma przechowuje informacje o klientach, procedury silnego uwierzytelniania mogą pomóc w zapewnieniu, że tylko upoważnione osoby mają dostęp do danych. Zasady i procedury Twojej firmy powinny:

Korzystanie z bezpiecznej metody uwierzytelniania

W przypadku wielu systemów chronionych hasłem, skradzione hasło może być wszystkim, co jest potrzebne cyberprzestępcy do uzyskania dostępu do poufnych i wrażliwych informacji. Niestety, cyberprzestępcy opracowali niezliczone sposoby na zdobycie haseł. Dlatego w wielu przypadkach uwierzytelnianie oparte na hasłach samo w sobie nie jest bezpiecznym mechanizmem uwierzytelniania użytkowników. Firmy powinny korzystać z bezpieczniejszej alternatywy, takiej jak uwierzytelnianie wieloskładnikowe, szczególnie w przypadku kont administracyjnych lub zdalnego dostępu. Co ważne, dotyczy to zarówno wewnętrznych kont pracowników, jak i kont klientów.

Dwa niedawne cyberataki zbadane przez OAG ilustrują ryzyko związane z uwierzytelnianiem przy użyciu samych haseł. W 2022 r. ogłosiliśmy ugodę z EyeMed po tym, jak atakujący uzyskali dostęp do firmowego konta e-mail zawierającego poufne dane klientów. EyeMed nie wymagał uwierzytelniania wieloskładnikowego podczas logowania, co mogło udaremnić próby uzyskania dostępu do konta przez atakującego. Włamanie dało atakującemu dostęp do wiadomości e-mail i załączników sprzed sześciu lat, w tym nazwisk konsumentów, adresów, numerów ubezpieczenia społecznego i numerów kont ubezpieczeniowych.

Podobnie, w 2022 r. ogłosiliśmy ugodę z Carnival Cruise po nieautoryzowanym dostępie atakującego do kont e-mail pracowników Carnival. Naruszenie ujawniło poufne informacje o klientach i pracownikach, w tym numery paszportów, numery prawa jazdy, informacje o kartach płatniczych, informacje zdrowotne i numery ubezpieczenia społecznego. Należy zauważyć, że powiadomienie konsumentów było szczególnie trudne w tych przypadkach, ponieważ firmy nie miały wglądu w te dane, które były przechowywane w wiadomościach e-mail przez wiele lat, co powodowało miesiące opóźnień.

Wymaganie długich i bezpiecznych haseł

Trudność w śledzeniu wielu haseł prowadzi do tego, że ludzie używają łatwych do zapamiętania haseł i używają ich wielokrotnie. Być może nie jest zaskoczeniem, że najczęściej używanym hasłem jest: password. Drugi najbardziej popularny: 123456. Pamiętaj, że każdy dodatkowy znak znacznie utrudnia złamanie hasła. A dodanie symboli i liczb sprawia, że jest to o wiele trudniejsze. Jeśli dany komputer byłby w stanie złamać sześcioznakowe hasło w ciągu jednej sekundy, to złamanie 12-znakowego hasła zajęłoby ponad dwa miliony lat^.2 Naruszenie Carnival prawdopodobnie wiązało się z automatycznym zgadywaniem haseł zwanym atakiem siłowym.

Co więcej, oprócz narzucenia wymogów dotyczących złożoności haseł, co może skutkować dodaniem przez użytkowników cyfry lub znaku specjalnego na końcu łatwego do odgadnięcia hasła (takiego jak Password1 lub Password!), firmy powinny rozważyć porównanie haseł wybranych przez użytkowników z bazami danych haseł, które zostały naruszone i zakazanie używania haseł kontekstowych, takich jak nazwa użytkownika/firmy lub data urodzenia.

Zabezpieczanie haseł przed atakami

Zabezpieczenie haseł przed atakami ma kluczowe znaczenie. W większości przypadków wymaga to "hashowania", procesu, który zamienia hasła w ciąg liter i/lub cyfr, tak aby nie można ich było odczytać ani użyć, jeśli wpadną w niepowołane ręce. Firmy powinny stosować metodę haszowania, która nie jest podatna na próby złamania hasła. Zazwyczaj wymaga to zarówno wyboru odpowiedniego algorytmu haszującego, jak i użycia dodatkowych losowych znaków, czasami nazywanych "solą".

Nasze biuro wielokrotnie podejmowało działania przeciwko firmom, które nie zabezpieczyły haseł swoich klientów. Na przykład, OAG niedawno zawarła ugodę z Wegmans po tym, jak dochodzenie ujawniło, że firma korzystała z przestarzałej metody haszowania w przypadku niektórych haseł klientów, w tym algorytmu haszowania, który można było łatwo obalić.

Szyfrowanie poufnych informacji o klientach

Ponieważ cyberzagrożenia nieustannie ewoluują, żadne zabezpieczenie nie może być w 100% skuteczne. Dlatego tak ważne jest, aby firmy nie tylko broniły się przed nieautoryzowanym dostępem, ale także wprowadzały kontrole na wypadek, gdyby te zabezpieczenia zawiodły. W przypadku większości firm, które obsługują poufne informacje o klientach, kontrole te powinny obejmować szyfrowanie, proces szyfrowania informacji, który można odwrócić tylko za pomocą tajnego klucza, zwanego kluczem deszyfrującym.

W naszej niedawnej sprawie CafePress odkryliśmy, że popularny rynek internetowy nie zdołał bezpiecznie zaszyfrować informacji o kupujących i sprzedających, w tym numerów ubezpieczenia społecznego i numerów identyfikacji podatkowej powiązanych z ponad 180 000 kont sprzedawców, które zostały pozostawione w postaci zwykłego tekstu. Cyberprzestępca, który uzyskał dostęp do systemu firmy, był w stanie wykraść te informacje i ostatecznie zaoferował je na sprzedaż w ciemnej sieci. Gdyby informacje były zaszyfrowane, byłyby chronione nawet w rękach cyberprzestępcy.

Upewnienie się, że dostawcy usług stosują rozsądne środki bezpieczeństwa

Firmy, które powierzają informacje o klientach swoim usługodawcom, są odpowiedzialne za zapewnienie, że usługodawcy ci stosują odpowiednie środki bezpieczeństwa w celu ochrony tych informacji. Niezastosowanie się do tego wymogu może narazić informacje o klientach na ryzyko. W 2022 r. zawarliśmy ugodę z T-Mobile po naruszeniu, w wyniku którego nieautoryzowany podmiot uzyskał dostęp do informacji o klientach przechowywanych w sieci dostawcy. Informacje, do których uzyskano dostęp, obejmowały nazwiska, adresy, daty urodzenia, numery ubezpieczenia społecznego, numery identyfikacyjne (takie jak numery prawa jazdy i paszportu) oraz powiązane informacje wykorzystywane we własnych ocenach kredytowych T-Mobile.

W ramach ugody z OAG, T-Mobile zgodził się na szczegółowe postanowienia dotyczące zarządzania dostawcami, mające na celu wzmocnienie nadzoru nad dostawcami w przyszłości. Obejmują one prowadzenie wykazu umów z dostawcami T-Mobile, w tym oceny ryzyka dostawców w oparciu o charakter i rodzaj informacji, które dostawca otrzymuje lub przechowuje; nałożenie umownych wymogów bezpieczeństwa danych na dostawców i podwykonawców T-Mobile; ustanowienie mechanizmów oceny i monitorowania dostawców; oraz odpowiednie działania w odpowiedzi na niezgodność dostawcy, w tym rozwiązanie umowy.

Firmy, które polegają na dostawcach usług, powinny podjąć uzasadnione kroki w celu zapewnienia, że ich dostawcy wdrażają odpowiednie środki bezpieczeństwa, w tym te opisane w niniejszym raporcie. W większości przypadków obejmowałoby to staranne wybieranie dostawców usług z odpowiednimi programami bezpieczeństwa danych, uwzględnianie oczekiwań dotyczących bezpieczeństwa w umowach z dostawcami usług oraz monitorowanie pracy dostawców usług w celu zapewnienia zgodności.

Dowiedz się, gdzie przechowujesz informacje o konsumentach

Firma nie może właściwie chronić informacji o klientach, jeśli nie wie, gdzie są one przechowywane. Przypadek firmy Wegmans podkreśla niebezpieczeństwa związane z utratą danych klientów. W tej sprawie badacz bezpieczeństwa skontaktował się ze sprzedawcą artykułów spożywczych po odkryciu, że jeden z firmowych kontenerów pamięci masowej w chmurze został skonfigurowany tak, aby umożliwić publiczny dostęp do jego zawartości. Kontener zawierał pliki kopii zapasowej bazy danych z informacjami o ponad trzech milionach klientów. Kiedy badacz bezpieczeństwa skontaktował się z firmą, jej pracownicy nie wiedzieli, że stare pliki kopii zapasowych są w ogóle przechowywane w tej lokalizacji.

Firma mogła całkowicie uniknąć tego incydentu, gdyby prowadziła inwentaryzację zasobów zawierających informacje o klientach. Dzięki inwentaryzacji zasobów firma wiedziałaby, że te kontenery w chmurze zawierają pliki z informacjami o klientach, a zatem mogłaby przeprowadzić odpowiednie testy bezpieczeństwa, które mogłyby wcześniej wykryć błędną konfigurację.

Ze względu na rotację personelu i zmieniające się z czasem praktyki, kluczowe znaczenie ma prowadzenie inwentaryzacji zasobów, która śledzi, gdzie przechowywane są dane osobowe, aby można je było odpowiednio zabezpieczyć. Utrzymanie bezpieczeństwa inwentaryzacji aktywów jest również bardzo ważne.

Ochrona przed wyciekiem danych w aplikacjach internetowych

Wrażliwe informacje nigdy nie powinny być ujawniane za pośrednictwem strony internetowej lub aplikacji bez odpowiedniego uwierzytelnienia. W wielu przypadkach ujawnianie takich informacji w ogóle nie jest konieczne ani właściwe. Zamiast tego wrażliwe informacje powinny być zazwyczaj maskowane, na przykład poprzez wysyłanie tylko czterech ostatnich cyfr numeru karty kredytowej. Firmy powinny przeprowadzić audyt swoich aplikacji internetowych, aby upewnić się, że wrażliwe dane są przesyłane w formie niezamaskowanej tylko wtedy, gdy jest to właściwe.

Ochrona kont klientów dotkniętych incydentami związanymi z bezpieczeństwem danych

Udane cyberataki mogą nie tylko zapewnić atakującym dostęp do informacji o klientach - w niektórych przypadkach mogą również zapewnić atakującym dostęp do kont internetowych klientów. Gdy atakujący naruszył bezpieczeństwo konta klienta - na przykład kradnąc dane logowania klienta lub włamując się na konto - firmy powinny podjąć działania w celu zabezpieczenia konta i ochrony klienta przed dalszymi szkodami.

Niedawno podjęliśmy działania przeciwko firmie, która nie chroniła kont klientów, na które miał wpływ incydent związany z bezpieczeństwem danych. W 2018 r. atakujący przeniknęli do systemów Zoetop i ukradli różne informacje o klientach, w tym dane logowania do dziesiątek milionów kont klientów SHEIN. Jednak w przypadku zdecydowanej większości tych kont Zoetop nie podjął żadnych kroków w celu ochrony swoich klientów, na przykład poprzez zresetowanie haseł do kont lub ostrzeżenie klientów, że ich konta są zagrożone. Po przeprowadzeniu dochodzenia OAG zawarła ugodę, która wymagała od firmy przyjęcia ulepszonych zasad reagowania na incydenty.

Jeśli dane logowania lub konta klientów zostały naruszone lub istnieje uzasadnione prawdopodobieństwo, że zostały naruszone, firma powinna podjąć kilka kroków. Po pierwsze, powinien działać szybko, aby zablokować atakującym dostęp do kont. W większości przypadków wymaga to natychmiastowego zresetowania haseł do kont, które prawdopodobnie ucierpiały w wyniku ataków. W niektórych przypadkach właściwe może być również podjęcie dodatkowych kroków, takich jak zamrożenie odpowiednich kont. Po drugie, w większości przypadków firma powinna szybko powiadomić klientów, których to dotyczy. Powiadomienie umożliwia klientom podjęcie kroków w celu ochrony, na przykład poprzez sprawdzenie swoich kont internetowych lub wyciągów finansowych pod kątem oszustw i zabezpieczenie innych kont internetowych, które korzystają z tych samych naruszonych danych logowania.

Usuwanie lub wyłączanie niepotrzebnych kont

Stare, nieużywane konta, czasami określane jako konta osierocone, są ulubionymi kontami atakujących, którzy próbują uzyskać dostęp do chronionych systemów. Konta te są zazwyczaj niemonitorowane i często korzystają z danych uwierzytelniających, które pozostają niezmienione przez lata. W niedawnym naruszeniu zgłoszonym przez sprzedawcę szkolnego, atakujący byli w stanie uzyskać dostęp do systemów firmy przy użyciu klucza dostępu byłego pracownika. Chociaż pracownik opuścił firmę wiele lat przed atakiem, konto i klucz dostępu pozostały niezmienione, ponieważ firma nie usunęła nieaktywnych kont ani nie wymagała aktualizacji danych uwierzytelniających.

Firmy powinny mieć wdrożone procesy usuwania lub wyłączania kont z dostępem do poufnych informacji w przypadku odejścia pracowników lub zakończenia współpracy z dostawcami. Większość firm powinna również regularnie kontrolować konta, aby zidentyfikować te, które były nieaktywne przez dłuższy czas.

Ochrona przed automatycznymi atakami

Fałszowanie danych uwierzytelniających nadal jest jedną z najczęstszych form ataków na konta klientów. Ten rodzaj ataku zazwyczaj obejmuje powtarzające się próby logowania do kont internetowych przy użyciu nazw użytkowników i haseł skradzionych z innych usług online. Cyberprzestępcy często używają zautomatyzowanego oprogramowania lub "botów", które są w stanie wykonywać setki prób logowania jednocześnie bez ręcznego wprowadzania danych. Gdy cyberprzestępca pomyślnie zaloguje się na konto, może być w stanie dokonać zakupów przy użyciu karty kredytowej zapisanej na koncie, ukraść kartę podarunkową zapisaną na koncie, wykorzystać dane klienta zapisane na koncie w ataku phishingowym lub sprzedać dane logowania w ciemnej sieci.

Nasze biuro podjęło również działania w związku z brakiem odpowiedniej reakcji firmy na udane ataki polegające na fałszowaniu danych uwierzytelniających. W niedawnym pozwie przeciwko Dunkin' Donuts twierdziliśmy, że dziesiątki tysięcy kont klientów Dunkin' zostało naruszonych w wyniku serii ataków online. Chociaż Dunkin' był świadomy tych ataków, firma nie podjęła żadnych działań w celu ochrony klientów, o których kontach wiedziała, że zostały naruszone, takich jak powiadomienie klientów o naruszeniu, zresetowanie haseł do kont, aby zapobiec dalszemu nieautoryzowanemu dostępowi lub zamrożenie przechowywanych kart wartościowych zarejestrowanych na kontach klientów.

Dla wielu firm ataki typu credential stuffing są nieuniknione. Dlatego też firmy, które prowadzą konta online dla swoich klientów, powinny mieć wdrożony program bezpieczeństwa danych, który obejmuje skuteczne zabezpieczenia chroniące klientów przed atakami typu "credential stuffing". W styczniu 2022 r. opublikowaliśmy Przewodnik biznesowy dotyczący ataków typu Credential Stuffing, w którym wyszczególniliśmy cztery obszary, w których należy zachować zabezpieczenia, oraz konkretne zabezpieczenia, które okazały się skuteczne.

Przekazywanie konsumentom jasnych i dokładnych informacji

Gdy informacje o konsumentach wpadają w ręce atakujących, powiadomienie umożliwia konsumentom podjęcie kroków w celu ochrony. Dlatego tak ważne jest, aby firmy dostarczały konsumentom powiadomienia, które są zarówno terminowe, jak i dokładne. Gdy zamiast tego firma wydaje oświadczenia, które wprowadzają w błąd, starając się umniejszyć zakres lub powagę ataku, może to dać konsumentom fałszywe poczucie bezpieczeństwa. Może to również naruszać prawo stanu Nowy Jork.

Niedawno podjęliśmy działania w celu pociągnięcia firmy do odpowiedzialności za wprowadzające w błąd oświadczenia złożone po ataku. Jak wspomniano powyżej, w 2018 r. atakujący przeniknęli do systemów Zoetop i ukradli różne informacje o klientach. Zoetop po raz pierwszy dowiedział się o ataku od swojego podmiotu przetwarzającego płatności, który napisał, że posiada informacje "wskazujące, że system [Zoetop] został zinfiltrowany, a dane kart [kredytowych] skradzione". Jednak w publicznym oświadczeniu po naruszeniu Zoetop fałszywie napisał, że "nie ma dowodów" na to, że informacje o kartach kredytowych zostały pobrane z jego systemów. Zoetop publicznie oświadczył również fałszywie, że jest w trakcie powiadamiania klientów, którzy zostali dotknięci atakiem. W rzeczywistości Zoetop nie powiadomił zdecydowanej większości klientów, których dane logowania zostały skradzione.

Powiadomienie jest krytycznym aspektem reagowania na incydenty. Firmy powinny zadbać o to, aby powiadomienie było terminowe oraz jasno i dokładnie przekazywało istotne informacje o ataku.

Wniosek

Nowy Jork szczyci się mianem krajowego lidera innowacji i postępu. Doskonale radzimy sobie z tworzeniem nowych, ekscytujących technologii, które mogą poprawić jakość życia, ale musimy zapewnić konsumentom możliwość bezpiecznego i odpowiedzialnego poruszania się po cyfrowym świecie. Ponieważ techniki i taktyki cyberprzestępców wciąż się doskonalą, nasze wysiłki na rzecz ich powstrzymania również muszą. Organizacje mogą podjąć stosunkowo proste kroki w celu zabezpieczenia swoich systemów i ograniczenia lub wyeliminowania naruszeń danych. Niniejszy przewodnik powinien pomóc organizacjom wzmocnić ich programy bezpieczeństwa danych, aby mogły zapewnić nowojorczykom najlepsze bezpieczeństwo danych w kraju.

¹ Niniejszy raport służy wyłącznie celom informacyjnym i nie powinien być interpretowany jako oświadczenie prawne, porada prawna lub polityka stanu Nowy Jork. Dokument może być kopiowany pod warunkiem, że (1) znaczenie skopiowanego tekstu nie zostanie zmienione lub przeinaczone, (2) zostanie podana nazwa autora, Prokurator Generalny Stanu Nowy Jork, Letitia James, oraz (3) wszystkie kopie będą rozpowszechniane bezpłatnie.

² Jean-Paul Delahaye, The Mathematics of Hacking, Scientific American, 12 kwietnia 2019 r., https://www.scientificamerican.com/article/the-mathematics-of-hacking-passwords (ostatni dostęp: 4 marca 2023 r.).