Web gelap dikatakan sebagai pasar bernilai ratusan miliar dolar. Dan sekarang, jika Anda mengajukan permohonan untuk kartu kredit Capital One dan merupakan salah satu dari 100 juta orang yang informasi akunnya mungkin baru saja diretas, informasi pribadi Anda dapat di web gelap dan dijual dengan harga kurang dari harga pembayaran mobil bulanan Anda .
Inilah yang kami ketahui sejauh ini, dan inilah cara melindungi data Anda setelah pelanggaran ini — dan yang berikutnya.
Apa itu Capital One Hack?
Peretasan Capital One diduga dilakukan oleh Paige Thompson, seorang warga Seattle berusia 33 tahun. Dia didakwa dengan "penipuan dan penyalahgunaan komputer, " dan akan mengadakan sidang pada 1 Agustus. Fakta-fakta, menurut bank:
- Thompson memperoleh akses ke 140.000 nomor Jaminan Sosial, 1 juta nomor Asuransi Sosial Kanada, dan 80.000 nomor rekening bank.
- Dia juga memiliki akses ke sejumlah nama, alamat, nilai kredit, batas kredit, saldo, dan informasi lainnya yang tidak diungkapkan.
- Thompson memanfaatkan fragmen data transaksi dari total 23 hari dari 2016-18.
- Serangan mungkin termasuk pelanggan yang mengajukan kartu ini pada awal 2005.
Kerentanan terhadap sistem yang memungkinkan terjadinya peretasan terjadi diumumkan kembali pada bulan April, tetapi baru pada bulan Juli, setelah diperingatkan oleh peneliti luar, Capital One memperhatikan dan mulai merespons.
Capital One mengharapkan insiden itu untuk menghasilkan "biaya tambahan sekitar $ 100 hingga $ 150 juta pada 2019, " menurut perusahaan. "Biaya yang diharapkan sebagian besar didorong oleh pemberitahuan pelanggan, pemantauan kredit, biaya teknologi, dan dukungan hukum."
Ini adalah yang terbaru dari serangkaian peretasan yang tampaknya tak berujung termasuk peretasan Marriott, peretasan Equifax, dan peretasan Sony, yang sebagian besar merupakan hasil dari perusahaan yang tidak melindungi informasi warga negara secara tepat. Di mana informasi itu berakhir bervariasi, dari Rusia ke Korea Utara ke tempat-tempat yang tidak diketahui.
Apa yang Terjadi dengan Data Capital One Yang Hilang?
Gelap web adalah dunia bawah tanah kriminal, di mana data dibeli dan dijual oleh aktor kriminal — termasuk negara-bangsa — dan digunakan untuk mendanai kegiatan jahat. Sebuah studi 2019 dari University of Surrey menunjukkan bahwa jumlah daftar web gelap yang dapat membahayakan perusahaan telah meningkat sebesar 20 persen sejak 2016.
Tetapi web gelap juga merupakan pasar untuk membeli dan menjual nomor kartu kredit, senjata, kredensial berlangganan yang dicuri, kata sandi akun Netflix, dan banyak lagi. Akun premium Netflix “seumur hidup” berharga $ 6, tetapi Anda juga dapat menyewa seseorang untuk masuk ke komputer seseorang. Langit adalah batasnya.
Dan untuk saat ini, aman untuk mengasumsikan bahwa informasi pribadi yang dicuri dan nomor jaminan sosial dari pelamar Capital One dapat ditemukan di web gelap juga, setidaknya sampai dibuktikan sebaliknya.
Mengapa Informasi Kami Dicuri? Kemana perginya?
"Saya sangat menyesal atas apa yang telah terjadi, " kata Richard Fairbank, CEO Capital One, dalam siaran pers Capital One. "Saya dengan tulus meminta maaf atas kekhawatiran yang dapat dimengerti insiden ini harus menyebabkan mereka yang terkena dampak dan saya berkomitmen untuk memperbaikinya."
Pakar keamanan dunia maya tidak mendengarkan layanan bibir. “Apakah kita tidak belajar apa-apa dari Equifax?” Tanya Bob Sullivan, pembawa acara podcast Breach. "Pernyataan perusahaan menggunakan bahasa yang tidak masuk akal: 'Tidak ada nomor Jaminan Sosial yang dikompromikan ... selain 140.000 nomor Jaminan Sosial.' Kapan perusahaan akan belajar bersikap jujur kepada orang lain ketika insiden ini terjadi? "
Di situlah letak masalahnya.
Data kami dicuri, dijual, dan dibeli dengan sedikit kesadaran untuk keselamatan dan keamanan publik. Masalahnya ada tiga: Orang harus belajar untuk melindungi diri mereka sendiri, pemerintah harus belajar untuk melindungi warga negara, dan perusahaan harus belajar untuk melindungi data orang dengan lebih baik.
Pekan lalu, Komisi Perdagangan Federal mencapai penyelesaian dengan Equifax untuk membayar $ 125 kepada warga AS yang terkena dampak serangan 2017, dengan total hingga $ 425 juta sebagai ganti rugi. Ini diperkirakan menelan biaya Equifax lebih dari $ 700 juta. Dan serangan siber memakan biaya lebih banyak daripada industri lain — hingga $ 1 triliun dolar per tahun dan meningkat seiring laju serangan yang meningkat dengan cepat, menurut Accenture.
Untuk memerangi serangan ini, perusahaan harus mengembangkan sistem keamanan yang dapat mempertahankan serangan dan meresponsnya dengan cepat. Ini berarti menggunakan teknologi terbaru untuk mendeteksi dan menghindari potensi peretasan. Dan itu dimulai dengan AI.
“Salah satu hal yang kami lihat adalah semakin banyak perusahaan menggunakan AI untuk keamanan siber, ” kata Ben Lamm, CEO perusahaan AI Hypergiant. “Kita harus mengutamakan manusia dan memastikan kita melindungi identitas pribadi mereka. Menggunakan AI untuk meningkatkan keamanan lembaga perbankan adalah langkah alami. ”
Selain ganti rugi, pemerintah AS juga tidak cukup melindungi kami. Sementara Senator Elizabeth Warren dan Mark Warner telah aktif dalam memperjuangkan perubahan legislatif luas yang membuat perusahaan bertanggung jawab atas hilangnya informasi, Kongres belum mengalah. Sejauh ini, sedikit yang telah dilakukan untuk melindungi masyarakat. Jika peretasan Equifax tidak cukup, snafu Capital One mungkin juga tidak.
Apa Yang Dapat Anda Lakukan untuk Melindungi Diri Anda?
Menurut Capital One, perusahaan akan "memberi tahu orang-orang yang terkena dampak melalui berbagai saluran" dan akan "membuat pemantauan kredit gratis dan perlindungan identitas tersedia untuk semua orang yang terkena dampak." Tetapi apakah itu cukup?
Jika Anda merasa terpengaruh oleh retasan, ikuti strategi sederhana ini:
- Daftarkan peringatan teks atau email untuk melacak aktivitas akun.
- Pantau kartu kredit Anda untuk aktivitas yang tidak biasa atau mencurigakan.
- Panggil nomor itu di kartu Anda jika Anda mengamati sesuatu yang tidak biasa.
- Laporkan email yang diduga aktivitas phishing ke tim keamanan Capital One: . Jangan membalas email yang mencurigakan, menghapusnya setelah meneruskan ke Capital One, dan jangan membalas panggilan telepon yang mencurigakan.
Ingin terus berjuang? Tekan anggota kongres dan wanita anggota kongres Anda untuk berbuat lebih banyak untuk melindungi privasi data Anda dan menuntut reparasi dari perusahaan yang tidak cukup berbuat untuk membuat Anda tetap aman. Dengan asumsi data Anda sudah hilang menempatkan Anda pada posisi korban yang tidak perlu; kehilangan data bukanlah kesimpulan yang hilang.
“Sebagai individu, kita harus belajar pelajaran yang sulit dan mengajarkannya kepada anak-anak kita, ” kata Amir Orad, CEO SiSense, “Apa pun yang Anda simpan online mungkin akan diretas suatu hari, jadi cerdaslah dan selektiflah tentang hal itu.”
