Após a notícia de que da T-Mobile sofreu na semana passada uma violação de dados, incluindo o roubo de senhas criptografadas, é um bom momento para rever as ações que você pode tomar para minimizar os riscos.
Outro grande serviço da web perdeu o controle do seu banco de dados e agora a empresa está lutando para ficar à frente dos bandidos. O acontecimento traz uma lição: violações de dados estão aqui para ficar. A boa notícia é que elas não precisam provocar pânico total, não importa quão sensíveis os dados roubados possam ser.
Normalmente, existem alguns passos muito simples que você pode colocar em prática para minimizar sua exposição à ameaça em potencial. Abaixo, você saberá como.
Etapa 1: determine o dano
A primeira coisa a descobrir é o que os hackers fizeram. Se eles tiverem seu nome de usuário e senha, por exemplo, não faz sentido alertar a empresa de cartão de crédito.
Notícias e declarações de empresas devem deixar bem claro o que foi vazado. Foi apenas o seu endereço de e-mail, ou foram seus dados de senha também? E quanto aos cartões de crédito (se aplicável) ou dados pessoais, como mensagens privadas?
Este é o primeiro passo para criar um plano de recuperação eficaz, mas antes de tomar qualquer ação, é necessário fazer uma pergunta crítica de acompanhamento.
Passo 2: os hackers podem usar seus dados?
Os hackers pegam dados o tempo todo, mas, muitas vezes, as informações roubadas são inutilizáveis graças a práticas de segurança que incluem termos como “hash” e “criptografados”. Se os dados estiverem na forma de “texto puro”, isso significa que nenhuma criptografia foi usada e é tão fácil de ler e manipular quanto um documento do Word ou uma mensagem de e-mail comum.
Dados em hash, por outro lado, são dados que foram embaralhados de tal maneira que você não pode decodificá-lo de volta para texto simples. O hash é frequentemente usado por bancos de dados em suas senhas, por exemplo.
Nem todos os métodos de hashing são iguais, no entanto, e algumas vezes são reversíveis. Como segunda linha de defesa, uma empresa pode adicionar dados aleatórios para dificultar a decodificação. O ponto principal do hashing é que você precisará investigar um pouco mais para ver se a empresa acredita que os dados são utilizáveis ou não.
Finalmente, a criptografia deve ser um processo de mistura bidirecional que permite que apenas alguém com a “chave” (geralmente um arquivo de senha) seja capaz de decodificar os dados.
Mesmo se os hackers pegarem dados que estejam em hash ou criptografados, às vezes as empresas aconselharão a alteração da sua senha, só por segurança.
Etapa 3: altere a senha
Se você precisar alterar sua senha, seja proativo. Altere sua senha imediatamente e não espere por um e-mail de aviso ou uma mensagem da empresa, se possível.
Se você usou a mesma senha em outros sites, altere-a também. Uma única violação de dados pode facilmente derrubar outras contas se você reutilizar senhas. Não faça isso.
Etapa 3a: comece a usar um gerenciador de senhas
Agora é um ótimo momento para começar a usar um gerenciador de senhas, se você ainda não o tiver. Esses programas podem criar senhas novas e difíceis de adivinhar e salvá-las para cada conta on-line que você possui. Eles também protegem suas senhas com criptografia e (geralmente por uma taxa) as disponibilizam em todos os seus dispositivos.
Etapa 3b: coloque um bloqueio extra nas suas contas com a autenticação de dois fatores
As senhas não são mais suficientes. Por isso, também é uma boa ideia ativar a autenticação de dois fatores (2FA) em qualquer uma das suas contas que a suportem. A autenticação de dois fatores significa que seu serviço web exigirá um código secundário de seis dígitos antes de permitir o acesso à sua conta, mesmo com a senha correta.
Esta é uma ótima maneira de desacelerar os bandidos. Infelizmente, também tem o mesmo efeito em você. A maioria dos serviços exige apenas um código 2FA a cada 30 dias por dispositivo ou, em alguns casos, apenas uma vez em um único navegador a partir de um único dispositivo. Então não é tão terrível.
A melhor maneira de usar a autenticação de dois fatores é com um aplicativo ou dispositivo dedicado a gerar esses códigos. Receber códigos SMS não é aconselhável, porque eles são vulneráveis a uma variedade de ataques relativamente triviais.
Etapa 3c: crie um e-mail de recuperação de senha dedicado
Muitos sites permitem que você defina um endereço de e-mail de recuperação específico, separado do e-mail da sua conta principal. Esse é o endereço de e-mail no qual você recebe links para redefinir sua senha depois de clicar no link “Esqueceu a senha?” em um site.
É melhor ter um endereço de e-mail específico que seja apenas para e-mails de recuperação de conta e não esteja conectado à sua identidade. Por exemplo, se o Gmail for o JAndrews, não use o jandrews@outlook.com. Se você usa seu e-mail comum para recuperação de conta, os hackers podem segmentar esse endereço de e-mail e, se o comprometerem, assumir sua vida on-line.
Como com qualquer outra conta de e-mail, verifique se o seu e-mail de recuperação está protegido com uma senha difícil de adivinhar e autenticação de dois fatores.
Etapa 4: entre em contato com sua operadora de cartão de crédito
Se o seu número de cartão de crédito foi comprometido, então você precisa alertar seu banco ou provedor de cartão de crédito. Se foi uma violação particularmente grande, há uma boa chance de seu banco já saber disso, mas ainda é uma boa ideia informá-lo de que você foi atingido.
Informe seu banco ou empresa de cartão de crédito imediatamente para garantir que você não seja responsabilizado por cobranças fraudulentas. Se um número de cartão de débito foi roubado, esse passo é duplamente importante. Não apenas porque isso significa que o dinheiro deixará sua conta a cada cobrança incorreta, mas também porque os cartões de débito não têm as mesmas proteções de recuperação dos cartões de crédito.
Passo 4a: atue com as agências de crédito
Você pode até obter um congelamento de crédito para impedir que alguém tente abrir uma conta em seu nome se estiver em risco de roubo de identidade.
Aproveite o seu direito a um relatório anual de crédito gratuito das agências de crédito. Ao escalonar os relatórios, fazendo um a cada quatro meses, você pode ficar de olho no seu rating de crédito ao longo do ano.
Etapa 5: considere usar cartões virtuais
Outra boa jogada é usar os cartões de débito virtuais que estão conectados à sua conta bancária real, mas não são seus cartões de débito reais.
Assim, você pode até criar um cartão de uso único para uma compra importante. É um serviço muito útil e, se o seu cartão for afetado por vazamentos, basta apagá-lo e começar de novo.
Respire tranquilamente
Grandes violações de banco de dados são ruins, mas são uma ocorrência comum, o que significa que não é uma questão de se você for atingido, mas quando. A boa notícia é que ser um pouco proativo pode ajudar a evitar as dores de cabeça causadas pelo roubo de identidade.