Se, da un lato, non si può fare molto contro le violazioni ai dati sensibili che comunque avvengono sul web, si possono tuttavia intraprendere una serie di azioni preventive per limitare l’esposizione al rischio. Di seguito, i passi da seguire.

È successo di nuovo. Un’altra importante società di servizi web ha perso il controllo del proprio database, e ora vi state arrabattando per sconfiggere i malintenzionati. Per quanto siano intollerabili, le violazioni di dati  sensibili sono destinate a persistere. L’aspetto confortante è che non devono suscitare un vero e proprio panico, qualunque sia il livello di delicatezza rivestito dai dati trafugati. È possibile effettuare una serie di semplici passi per limitare la propria esposizione ad una minaccia totale.

Ecco come procedere.

Passo 1:  Stabilire  l’entità del danno.

Innanzitutto, è necessario capire quali dati sono stati rubati dagli hacker. Nel caso si siano impossessati, ad esempio del vostro nome utente e password, non risulta molto utile avvertire la propria società, fornitrice delle carte di credito.

Gli articoli pubblicati come pure i report dell’azienda dovranno specificare molto chiaramente quali dati sono stati violati. Si è trattato di un furto relativo solamente all’indirizzo e-mail oppure sono stati rubati i dati relativi anche alla Password? Cosa è successo alle carte di credito (se coinvolte) oppure ai dati personali come ad esempio i messaggi privati?

È il primo passo da compiere al fine di elaborare un piano di recupero effettivo. Tuttavia, prima di effettuare ogni ulteriore azione, è d’obbligo porsi la domanda successiva.

Passo 2:  I malintenzionati possono utilizzare i dati personali?

Gli hacker rubano dati in continuazione, ma nella maggior parte dei casi, i dati rubati non sono utilizzabili, grazie alle procedure di sicurezza dove entrano in gioco termini tipo la funzione crittografica  di ” hash”,  i valori di salt e “criptato”.  Se i dati vengono visualizzati in “chiaro”, significa che non è stato impiegato nessun tipo di crittografia ed è molto facile leggere e manipolare un Documento word o un semplice messaggio e-mail.

D’altronde, I dati sottoposti alla funzione di Hash sono stati mescolati in modo tale da non poterli decodificare per farli ritornare in chiaro. La funzione di hash è spesso utilizzata per i database di password, ad esempio.

Non tutte le metodologie inerenti alla funzione hash sono identiche, comunque, a volte, sono reversibili.  Al fine di anteporre una seconda protezione con l’obiettivo di complicare ulteriormente il compito di decodifica,  un’azienda può aggiungere un valore salt  – dati random -. In conclusione, con l’hashing, sarà necessario  controllare più approfonditamente per capire se l’azienda ritiene che i dati siano o meno sfruttabili da parte di chi li ha trafugati.

Infine, la crittografia  viene classificata come un processo di scomposizione a doppia via che autorizza l’accesso unicamente a coloro muniti di “chiave” (di solito, una password o un file di password) che consenta la decodifica dei dati.

Anche nel caso gli hacker abbiano rubato dei dati che sono sottoposti allo hashing o crittografati, alcune aziende potrebbero suggerire di cambiare comunque la propria password, a titolo di precauzione aggiuntiva.

 Passo 3: Cambiare quella password

Se c’è la necessità di modificare la propria password, bisogna adottare un comportamento proattivo. Si può provvedere subito alla sua modifica, senza dover necessariamente aspettare una e-mail o un messaggio di raccomandazione da parte dell’azienda.

Se si utilizza la stessa password su diversi siti, è ovviamente necessario cambiarla.  Continuare a riutilizzare le stesse ,dopo aver subito una violazione di dati anche se è avvenuta su un solo sito, potrebbe provocare la cancellazione degli altri account.  Non fatelo mai.

Passo 3a:Iniziare ad utilizzare un gestore di password

Se non l’avete ancora fatto, è proprio il momento opportuno per iniziare ad utilizzare un gestore di password. Questi programmi sono in grado di creare delle nuove password, difficili da indovinare che andranno  salvate per ognuno degli account online che si possiede. È inoltre possibile proteggere le proprie password tramite l’impiego della crittografia e (generalmente, a titolo oneroso) renderle disponibili su tutti i vostri dispositivi.

Date un’occhiata alla nostra selezione relativa ai migliori gestori di password e mettetelo in pratica. Il nostro favorito è LastPass ma Dashlane si posiziona subito dietro (tuttavia costa di più).

Passo 3b: Aggiungere un blocco in più su tutti i propri account con il 2FA.

Le password, da sole, potrebbero non essere più sufficienti, ecco perché un’ottima idea potrebbe essere quella di utilizzare l’autenticazione a due fattori (2FA) su tutti i propri account online se i siti di riferimento la supportano. L’applicazione dell’autenticazione a due fattori significa che il vostro servizio web richiederà  l’inserimento di un codice numerico secondario a 6 cifre, prima di poter accedere al proprio account, anche se si è in possesso della password corretta.

Si tratta di un ottimo mezzo per frenare i malintenzionati. Sfortunatamente, ha lo stesso effetto anche su di voi. La maggior parte dei servizi richiedono solo un codice 2FA ogni 30 giorni per ogni dispositivo, oppure una sola volta per un singolo browser da un singolo dispositivo. Non è, alla fine, così terribile.

Il modo migliore per utilizzare l’autenticazione a due fattori è quella di utilizzare un’app oppure un dispositivo dedicato alla generazione di questi codice. Non è consigliabile ricevere i codici tramite SMS perché sono esposti ad una molteplicità di aggressioni di poco conto.

Passo 3c: Creare un indirizzo e-mail di recupero con password dedicata

Molti siti web permettono di impostare un indirizzo e-mail specifico di recuperato,distinto dalla propria e-mail di account principale. Si tratta dell’indirizzo e-mail dove si possono ricevere i link per reimpostare la propria password dopo aver cliccato sul link ” Hai dimenticato la tua password?”.

La soluzione migliore è quella di disporre di un indirizzo e-mail specifico che si utilizza unicamente per le e-mail di ricupero account ma non è collegabile alla propria identità: ad esempio, se l’indirizzo gmail è jandrews, non si utilizzi JAndrews@outlook.com. Infatti, se per il ripristino dell’account, si utilizza il proprio indirizzo e-mail abituale, gli hacker possono prendere di mira quell’indirizzo e-mail e nel caso riescano a violarla, potrebbero impadronirsi della vostra vita online.

Come per qualsiasi account e-mail, ci si deve accertare che la propria e-mail di recupero sia protetta con una password complessa, difficile da indovinare, associata ad un processo di  autenticazione a due fattori.

Passo 4: Contattare il proprio provider di carta di credito.

Nel caso il codice della carta di credito sia stato compromesso, è necessario avvertire il provider della carta di credito o bancaria. Se si è trattato di una violazione di dati di entità sostanziale, ci sono buone probabilità che le banche siano già state informate ma è comunque auspicabile avvisarli che si è stati colpiti.

È opportuno accertarsi che l’interlocutore sia un funzionario della banca e quindi spiegare l’accaduto. L’istituto di credito deciderà probabilmente di cancellare la carta di credito per riemetterne una nuova.

Non bisogna comunque fare affidamento su questo. È necessario notificare immediatamente la società della carta di credito o la propria banca affinché venga confermato di non essere ritenuti responsabili per qualsiasi tipo di addebito fraudolente. Nel caso di furto del codice della carta di debito, questo passaggio è doppiamente importante. Non solo perché ciò significa che il denaro può essere prelevato dal conto con degli addebiti negativi  ma anche perché le carte di debito non hanno le stesse protezioni di ripristino delle carte di credito.

Passo 4a: Intraprendere le azioni del caso presso gli istituti di controllo credito.

Richiedete l’attivazione dell’avviso di truffa sul vostro profilo di credito presso le tre più importanti società di controllo credito: Equifax, Experian e TransUnion. Si potrebbe anche richiedere il congelamento del credito per impedire qualsiasi tentativo di apertura del conto a proprio nome, se permane l’eventualità del rischio di furto della propria identità.

Si può beneficiare del proprio diritto nel ricevere il report annuale di credito gratuito da parte di ognuna delle società di controllo credito. Con i report scaglionati lungo l’anno, al rimo di uno ogni quattro mesi, si può tenere sotto controllo il proprio grado di solvibilità.

Passo 5: Prendere in considerazione le carte ricaricabili.

Un altro buon provvedimento consiste nell’utilizzare carte di debito ricaricabili dall’uso limitato, collegate al proprio conto bancario reale ma che non si riferiscono alle carte di debito effettive. Con Privacy.com., è possibile operare in questo senso ed è un ottimo mezzo per tutelare se stessi. Anziché utilizzare la carta effettiva, si possono usare delle carte ricaricabili con tutti i tipi di limitazioni, come ad esempio una carta utilizzabile solo per Netflix o quelle con un tetto massimo di $100. È persino possibile creare una carta usa e getta  per effettuare un acquisto importante. Si tratta di un servizio molto pratico e se anche la carta ricaricabile dovesse essere violata, sarà semplicissimo cancellarla e ricominciare da capo.

Tirate un sospiro di sollievo

Le più importanti violazioni di dati sono snervanti ma costituiscono la regolarità, in altre parole, non è una questione di vedere se si sarà colpiti ma quando. L’aspetto positivo da cogliere riguarda il fatto che un minimo di proattività può essere di aiuto nell’evitare tutti i rompicapo derivanti dal furto di identità.

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>