Kiedy lepiej zamknąć konto, z którego wyciekły dane, zamiast je chronić?

Spędzamy dni w sieci, tworząc profile i akceptując regulaminy, nie zwracając uwagi na drobny druk, a w międzyczasie zostawiamy za sobą ślad konta, dane osobowe i hasła Rozrzucone po całym internecie. Wiele z tych kont zostaje zapomnianych, inne pojawiają się w masowych wyciekach, a zanim się obejrzymy, e-maile, adresy IP, a nawet dane bankowe krążą bez kontroli. Kiedy należy zamknąć konto, z którego wyciekły dane? Wyjaśniamy to tutaj.

Gdy odkryjesz, że konto zostało naruszone lub podejrzewasz, że Twoje dane trafiły do ​​wyciekłej bazy danych, pojawia się odwieczne pytanie: czy wystarczy zmienić hasło, czy czas na trwałe zamknięcie wyciekłego konta? Odpowiedź nie jest prosta, ponieważ zależy od tego, jakie dane zostały ujawnione, jak korzystasz z konta i czy usługa faktycznie pozwala na usunięcie informacji.

Dlaczego zapomniane konta stanowią poważny problem

Przez lata gromadzimy profile w sieciach społecznościowych, na forach, w sklepach internetowych, serwisach streamingowych i różnych aplikacjach, o których już nie pamiętamy, ale które nadal przechowujemy adresy e-mail, adresy, numery telefonów i dane bankoweProblem polega na tym, że te konta nie znikają ot tak, a w wielu przypadkach nie są chronione tak dobrze, jak powinny.

Konto użytkownika to nie tylko nazwa i hasło: zazwyczaj zawiera: dane identyfikacyjne, adresy fizyczne, data urodzenia, metody płatności a nawet listy kontaktów. Cały ten pakiet to czyste złoto dla cyberprzestępcy, który chce się pod Ciebie podszyć lub zorganizować ukierunkowane kampanie oszustw.

Chociaż wiele firm ulepszyło swoje systemy bezpieczeństwa, przyzwyczailiśmy się do oglądania od czasu do czasu doniesień medialnych na temat wycieki obejmujące miliony kont wszelkiego rodzaju usług. Dlatego menedżery haseł i specjalistyczne narzędzia powiadamiają Cię, gdy wykryją, że Twój adres e-mail lub jedno z Twoich haseł pojawiło się w wyniku naruszenia bezpieczeństwa danych.

Największym problemem jest to, że nawet po zaprzestaniu korzystania z usługi, Twoje dane są często przechowywane latami. W idealnym przypadku, Każde nieaktywne konto zostanie dezaktywowane lub usunięte po upływie rozsądnego czasu.W praktyce jednak zdarza się to rzadko. Istnieją przykłady, takie jak Google czy Microsoft, które dezaktywują konta nieaktywne przez dwa lata, czy Proton, który podejmuje działania po trzech miesiącach, ale to wciąż wyjątki.

Jak cyberprzestępcy wykorzystują Twoje wyciekłe dane

Napastnicy nie kradną danych dla sportu: szukają sposobów, aby uzyskać do nich dostęp. korzyści finansowe, kradzież tożsamości i wykorzystywanie osobistych relacjiNa podstawie jednego wycieku danych mogą przeprowadzić wiele ataków, nawet na konta, które nigdy nie zostały bezpośrednio naruszone podczas pierwotnego włamania.

Wykorzystując prostą kombinację adresu e-mail i wykradzionego hasła, będą próbować szczęścia w wielu różnych usługach (bankowość internetowa, sieci społecznościowe, sklepy, poczta firmowa…), stosując technikę znaną jako wypełnianie danych uwierzytelniającychJeśli będziesz używać tych samych haseł wielokrotnie, będziesz otwierał do nich drzwi w więcej niż jednym miejscu, nie zdając sobie z tego sprawy.

Co więcej, korzystając z list kontaktów wyodrębnionych ze starych kont, można uruchomić masowe kampanie bardzo przekonujący phishing i smishingMogą podszywać się pod Ciebie lub zaufaną firmę. Twoi znajomi, klienci lub członkowie rodziny mogą otrzymywać fałszywe e-maile lub SMS-y, które wydają się autentyczne, ponieważ zawierają prawdziwe informacje.

Gdy wyciek dotrze do bardziej wrażliwych informacji, takich jak: Dowód osobisty, adres pocztowy lub dane finansoweRyzyko gwałtownie rośnie. Mając te informacje, mogą rejestrować się w usługach, otwierać linie telefoniczne, próbować uzyskać pożyczki lub pobierać nieautoryzowane opłaty z Twoich kart, poważnie komplikując Ci życie i zmuszając Cię do walki z bankami i agencjami rządowymi.

W przypadku firm naruszenie może narazić Kod źródłowy, własność intelektualna, listy klientów lub wewnętrzne dane uwierzytelniająceOznacza to szpiegostwo, szantaż, sabotaż i często szkody wizerunkowe, które trudno naprawić.

Co zrobić, gdy odkryjesz, że Twoje dane wyciekły

Dowiedzenie się, że Twój adres e-mail, hasła lub adres IP pojawiły się w wyniku naruszenia danych, jest dość niepokojące, ale najważniejsze jest to, działać szybko i metodycznie, postępując zgodnie z przewodnikami na temat Co zrobić krok po krokuNie możesz usunąć wyciekłej bazy danych, ale możesz zminimalizować jej wpływ i utrudnić przyszłe nadużycia.

Pierwszym krokiem jest ustalenie, w której usłudze wystąpił wyciek i jaki rodzaj informacji został naruszonyNajbardziej rozsądnym rozwiązaniem jest założenie, że wszystkie dane, które przekazałeś tej firmie, mogą zostać naruszone, nawet jeśli tylko część z nich została wspomniana w materiale informacyjnym.

Jeśli doszło do wycieku haseł, natychmiastowym krokiem jest zmień je w usłudze, której to dotyczy I na każdej innej stronie, na której mogłeś użyć tego samego hasła lub jego podobnej wersji. Zrób to jak najszybciej, bez zwłoki, ponieważ atakujący zazwyczaj bardzo szybko wykorzystują luki w zabezpieczeniach.

Skorzystaj z okazji i sprawdź sekcję dotyczącą bezpieczeństwa konta. ostatnie logowania, podłączone urządzenia i otwarte sesjeJeżeli usługa na to pozwala, zamknij wszystkie aktywne sesje i loguj się ponownie tylko ze swoich urządzeń.

Jeśli na zagrożonym koncie znajdowały się dane dotyczące płatności (karty, konta bankowe, PayPal lub inne środki cyfrowe), powinieneś zachować nad nimi szczególną ostrożność. aktywność bankowa i transakcje kartąChociaż wiele usług korzysta z zewnętrznych i tokenizowanych bramek płatniczych, zawsze warto sprawdzić, czy naliczane są nietypowe opłaty, a jeśli zauważysz coś podejrzanego, skontaktuj się ze swoim bankiem w celu zablokowania kart lub kont.

Kiedy ma sens zamknięcie konta filtrowanego?

Najważniejsze pytanie brzmi, kiedy zmiana hasła i wzmocnienie bezpieczeństwa przestanie być wystarczające i stanie się rozsądne zamknij dotknięte kontoNie wszystkie sytuacje są takie same, ale istnieją przypadki, w których zamknięcie sprawy jest zdecydowanie zalecane.

Jeśli jest to usługa, z której już nie korzystasz, ale wcześniej podałeś jej dane osobowe, informacje o płatnościach lub dużą listę kontaktów, najrozsądniejszym rozwiązaniem jest całkowicie usunąć konto pod warunkiem, że platforma na to pozwala. Pozostawienie jej otwartej jedynie wydłuża czas, w którym dane mogą zostać ujawnione w wyniku nowych naruszeń.

Zaleca się również rozważenie zamknięcia usługi w przypadku, gdy usługa ucierpiała wiele incydentów bezpieczeństwa I nie widać żadnych oznak, że wyciągnął z nich wnioski. Jeśli co kilka miesięcy pojawia się nowy przeciek lub wsparcie pozostaje niejasne co do tego, co się stało, to znak, że twoje zaufanie jest nieuzasadnione.

W przypadku szczególnie wrażliwych kont (główny adres e-mail, media społecznościowe używane w celach zawodowych, bankowość internetowa, przechowywanie danych w chmurze) nie zawsze można je zamknąć naraz, ale mimo to warto rozważyć należy dokonać migracji do innego dostawcy, jeśli zarządzanie filtrowaniem jest nieskuteczne.Czasami wysiłek związany ze zmianą usługi jest wart zachodu, gdyż pozwala uzyskać spokój ducha w perspektywie średnioterminowej.

Wreszcie, jeśli konto jest stale atakowane przez osoby niepowołane, mimo że jest chronione silnymi hasłami i dwuetapowym uwierzytelnianiem, jedną z drastycznych opcji jest przestań używać tego adresu e-mail jako swojego głównego identyfikatora i utwórz alias lub nowy adres e-mail dla najważniejszych usług.

Jak zlokalizować i wyczyścić stare i nieaktywne konta

Zanim zdecydujesz, co zamknąć, musisz wiedzieć, co masz pod ręką. W tym celu najlepszym sprzymierzeńcem będzie nowoczesny menedżer hasełNiezależnie od tego, czy jest to aplikacja samodzielna, czy też zintegrowana z przeglądarką lub systemem operacyjnym, zwykle zapisuje ona dostępy, z których korzystałeś na przestrzeni lat.

Wielu menedżerów uwzględnia funkcje audytu, które wskazują ponownie wykorzystane, słabe lub ujawnione hasłaLista ta to prawdziwa kopalnia złota, jeśli chodzi o usługi, z których być może już nie korzystasz lub o których istnieniu nie pamiętasz, a które warto teraz dokładnie przejrzeć.

Jeśli nie zawsze korzystałeś z menedżera haseł, inną taktyką jest sprawdzenie głównej skrzynki odbiorczej poczty e-mail pod kątem wiadomości o tematach takich jak: „Witamy”, „Zweryfikuj swoje konto”, „Potwierdź rejestrację” lub podobne. Zwykle stanowią najbardziej wiarygodny ślad starych kont, które założyłeś, a następnie porzuciłeś.

Po zidentyfikowaniu zaloguj się na każde z tych kont i sprawdź, czy mają opcję usuń lub trwale dezaktywuj profilJeśli oferują taką możliwość, skorzystaj z niej. Jeśli pozwalają jedynie na tymczasowe wyłączenie, zastanów się, czy warto, czy wolisz pójść dalej, korzystając z praw do ochrony danych (jeśli dotyczy).

W przypadku bardziej nietypowych usług można zapoznać się z katalogami, takimi jak: JustDeleteMegdzie zebrano szczegółowe instrukcje dotyczące Jak usuwać konta na każdej platformielub jeśli nie da się tego zrobić ze strony internetowej bez otwierania zgłoszenia pomocy technicznej.

Przejrzyj loginy powiązane z Google, Apple, Facebookiem i Microsoftem

W ostatnich latach popularne stało się logowanie się za pomocą kont głównych dostawców (typowy przycisk „zaloguj”). „Kontynuuj z Google, Apple, Facebookiem lub Microsoftem”To wygodne, ale oznacza również, że do tego samego profilu przypisane są dziesiątki aplikacji i usług.

• En GoogleW ustawieniach konta znajdziesz sekcję „Aplikacje i usługi innych firm z dostępem do Twojego konta”. Znajdziesz tam wszystkie aplikacje internetowe i mobilne, którym zezwoliłeś na korzystanie z Twojego profilu Google, i możesz cofnąć dostęp do tych, z których nie korzystałeś od lat.
• En Identyfikator AppleNa iPhonie, iPadzie lub komputerze Mac przejdź do Ustawień, następnie do swojego profilu i poszukaj opcji „Zaloguj się przez Apple”. Pojawi się lista powiązanych usług, z których możesz usunąć te, których już nie potrzebujesz, zmniejszając w ten sposób ilość danych udostępnianych podmiotom zewnętrznym.
• En FacebookŚcieżka prowadzi do Ustawień i prywatności > Ustawienia > „Aplikacje i strony internetowe”, w sekcji Aktywność i uprawnienia. Zobaczysz, które aplikacje łączą się z Twoim kontem na Facebooku, czy logują się, czy udostępniają dane profilowe, a także będziesz mieć możliwość usunięcia wszelkich integracji, które nie są już potrzebne.
• En MicrosoftZa pośrednictwem konta online możesz przejrzeć aplikacje i usługi, które korzystają z Twojego konta Microsoft jako metody dostępu. Jeśli nie korzystałeś z nich przez dłuższy czas, możesz edytować ich uprawnienia lub całkowicie je wyłączyć.

Co zrobić, gdy usługa nie pozwala na usunięcie konta

W idealnym świecie samo naciśnięcie przycisku spowodowałoby usunięcie wszystkich informacji z systemu i kopii zapasowych. W praktyce wiele usług stwarza przeszkody, ukrywa tę opcję lub po prostu ją blokuje. Nie oferują prawdziwego wymazania. konta, jedynie powierzchowna dezaktywacja.

Jeśli nie możesz usunąć swojego profilu, następnym najlepszym krokiem jest zalogowanie się i usuń wszystkie poufne informacjeZmień swoje imię i nazwisko, adres, numer telefonu i wszelkie inne dane identyfikacyjne na fałszywe lub ogólne, a także usuń zdjęcia, dokumenty i posty, które mogą łączyć Cię z tym kontem.

W przypadku list kontaktów, kalendarzy lub wewnętrznych harmonogramów rozsądnie jest usuń te kontakty, aby ich dane nie były wykorzystywane w przyszłych kampaniach phishingowych. Możesz je najpierw wyeksportować do obecnego menedżera kontaktów, aby ich nie stracić, a następnie usunąć ze starej usługi.

Zaleca się również dokładne przejrzenie takich sekcji jak: dane dotyczące płatności, aktywne subskrypcje i adresy wysyłkiUsuń zapisane metody płatności, anuluj automatyczne odnawianie i pozostaw jak najmniej śladu, zwłaszcza jeśli witryna nie wzbudza dużego zaufania.

Dodatkowo zmień hasło na losowo generowany, bardzo długi i unikalny klucz oraz włącz uwierzytelnianie wieloskładnikowe, jeśli jest dostępne. Nawet jeśli nigdy więcej nie skorzystasz z konta, zapewni to jego bezpieczeństwo. chronione przed przyszłymi próbami dostępu.

Prawo do usunięcia danych i RODO: dodatkowa korzyść dla mieszkańców UE

Jeżeli mieszkasz w kraju należącym do Europejskiego Obszaru Gospodarczego, RODO Przyznaje Ci rozszerzone prawa do Twoich danych, w tym: prawo do usunięcia lub „prawo do bycia zapomnianym”Oznacza to, że w pewnych okolicznościach możesz zażądać od usługodawcy usunięcia Twoich danych osobowych.

Aby skorzystać z tego prawa, zazwyczaj konieczne będzie skontaktowanie się z polityka prywatności serwisuPowinni wyjaśnić, jak złożyć wniosek o usunięcie danych, w tym wskazać adres e-mail lub formularz, którego należy użyć. W wielu przypadkach konieczne będzie wysłanie konkretnego wniosku, a w niektórych przypadkach potwierdzenie miejsca zamieszkania w UE.

Ważne jest, aby nie nadpisywać wszystkich danych konta fikcyjnymi informacjami, jeśli planujesz skorzystać z tej opcji, ponieważ dostawca może tego wymagać Zweryfikuj swoją prawdziwą tożsamość aby poprawnie przeprowadzić operację usuwania.

Jeżeli firma zignoruje Twoje żądanie lub bez uzasadnionej przyczyny odmówi wykonania przysługującego Ci prawa, możesz skontaktować się z Krajowy Urząd Ochrony Danych (w Hiszpanii AEPD) i złożyć skargę. W zależności od przypadku możesz nawet ubiegać się o odszkodowanie.

Należy jednak pamiętać, że istnieją sytuacje, w których firma jest prawnie zobowiązana do przechowywania określonych danych, na przykład ze względów podatkowych lub księgowych. W takich przypadkach usunięcie danych może być ograniczone do informacji absolutnie niezbędnych, a reszta zablokowana.

Jak stwierdzić, czy doszło do wycieku poczty e-mail lub kont

Nie istnieje uniwersalna baza danych, w której można przeszukać wszystkie informacje, ale istnieją narzędzia, które pozwalają sprawdzić, czy dana informacja jest prawdziwa. adres e-mail lub hasło Konkretne z nich pojawiły się w znanych lukach.

Strony takie jak Czy zostałem zhakowany?lub skanery podatności wbudowane w menedżery haseł mogą Cię ostrzec, gdy Twój adres e-mail jest widoczny w filtrowanych zbiorach danych.Niektóre rozwiązania komercyjne monitorują również pojawianie się Twoich wiadomości e-mail i kart kredytowych w dark webie.

Oprócz tych narzędzi, kluczowe jest zwracanie uwagi na oznaki nietypowej aktywności: wiadomości e-mail informujące o logowaniach z nietypowych krajów, wiadomości o zmianie hasła, o które nie prosiłeś, dziwne posty w sieciach społecznościowych lub subskrypcje, do których nie pamiętasz, że się zapisałeś.

Na kontach takich jak Microsoft, Google lub Apple możesz przeglądać ostatnie dzienniki aktywności, aby zobaczyć z jakich urządzeń i lokalizacji uzyskano dostępJeśli wykryjesz coś, czego nie rozpoznajesz, oznacz to jako podejrzaną aktywność i postępuj zgodnie z oferowaną procedurą ochrony.

A gdy główny dostawca ogłosi wyciek, a Ty jesteś jego klientem, nawet jeśli nie otrzymasz konkretnego e-maila, zachowuj się tak, jakbyś go otrzymał. uzasadnione prawdopodobieństwo wystąpienia skutków i zastosuj środki bezpieczeństwa, które omówiliśmy.

Jeśli wprowadzisz do swojego codziennego życia cyfrowego szereg rutynowych czynności (regularne sprawdzanie kont, używanie silnych haseł, aktywowanie dodatkowych czynników bezpieczeństwa i usuwanie profili, z których już nie korzystasz), każde przyszłe naruszenie bezpieczeństwa będzie miało na Ciebie mniejszy wpływ, a podejmowanie decyzji będzie dla Ciebie znacznie łatwiejsze. Kiedy wystarczy wzmocnić konto, a kiedy warto je definitywnie zamknąć?.