פריצה למאגר הנתונים של Equifax

[בוקובזה שטראסה]

פריצה למאגר הנתונים של Equifax

לא יודע אם כולם שמעו, אבל מתברר שבסוף יולי נודע לחברה שפרצו למאגר הנתונים שלהם וגנבו נתונים של יותר ממאה מיליון "לקוחות" שלהם, כולל מספר ביטוח לאומי, כתובות, מספרי כרטיס אשראי, וכו'.

מי שלא יודע, זו אחת משלושת סוכנויות הקרדיט רפורט, כך שגם אם אתם לא שמעתם עליהם, יכול להיות שעדיין היו אצלם נתונים רגישים שלכם ועליכם...

מה לעשות? חוץ מאשר לבדוק טוב בסטייטימנט החודשי שלכם, כמו תמיד, שאף אחד לא עושה קניות בשמכם..., כרגע כל מה שהם מאפשרים זה להירשם בחינם לשרות הגנה ( https://www.equifaxsecurity2017.com/potential-impact/ ) ואומרים שאם תיתנו להם פרטיים בסיסיים (דרך הקישור למעלה) הם יעדכנו אותכם במידה ואולי גם אתם נחשפתם.

 

[3rd CYR]

זו מערכת שמעודדת תשלום דמי חסות

כל המערכת הזו שהופכת את הSSN לדבר כל כך קריטי וסודי באופן הכרחי מצד אחד, וכל כך נגיש וחשוף מצד שני, בנויה על כך הרגשה של צורך שיגנו על המידע שלך ואתה משלם על זה אקסטרה שיעקבו אחרי תנועות חשודות וחדשות בזהות שלך.. בפועל אלו דמי חסות שמשלמים לאותן חברות ביטוח והגנה על הזהות.
&nbsp
לי נראה שהפתרון היחיד לקבל שקט נפשי זה להקפיא את ההיסטורית אשראי וזהו גם בעלות של כאב ראש בכל פעם שצריך להפשיר אותו. זה נראה לי עדיף על פני החרדה שמישהו משתמש בנתונים שלי או לשלם דמי חסות לחברות הביטוח ומעקב.
(אלא אם כן נפגעים מספיק פעמים אחת לשנה בממוצע, כדי שתמיד תהיה מוגן באיזשהו שירות מעקב בחינם כפיצוי לשנה בעקבות פריצה ספציפית).

 

[John the Savage]

בצירוף מקרים

הנושא עליו דיברתי בקורס השבוע היה אבטחת מידע ופשעי מחשב, וגם היום התוכנית היא להמשיך לדבר על הנושא. כך שניראה שאקדיש חלק מהשיעור היום לדבר על הפריצה לאקוויפקס. זה בדיוק מדגים את הדברים שדיברתי עליהם בכיתה לפני יומיים.

 

[3rd CYR]

תודה על ההבהרה

אכן ראיתי את הפרסומים בעברית שהיה ברור שחלקם זרועים בטעיות וסתירות, ולא ידעתי מהו המקור. אז תודה על ההבהרה של הפרטים!

 

[3rd CYR]

היה צריך להיות משורשר לויזת J

 

[בוקובזה שטראסה]

שאפו, הר פרופסור.

מקווה שאתה נהנה מהחוויה. סמסטר ראשון שמלמדים קורס יכול ללכת ככה, או ככה. מקווה שהולך ככה.

 

[John the Savage]

כעקרון הולך טוב, אבל ...

סה"כ, הולך טוב, וכבר כמה סטודנטים באו ואמרו לי שזה קורס מעניין ומעורר מחשבה.

הבעיה היא בשביל קורס אחד מסכן, מה שמוגדר כחמישית משרה למרצה חוץ, אני מקדיש יותר מחצי מהזמן שלי. אני מלמד שלושה ימים בשבוע, שעה בכל יום. הקורס ב-2 בצהריים, ואני מקדיש את כל הבוקר בשביל להכין את ההרצאה הבאה, ולפעמים גם זמן בערב שלפני. כך ששלושה ימים בשבוע עד 3 אני עסוק בקורס, ואז נשארו רק שעתיים עד שאוספים את הקטנה מהגן.

 

[בוקובזה שטראסה]

אני מקווה שהם יהיו מספיק נבונים

לשכור אותך ללמד את הקורס הזה גם בסמסטרים נוספים, ואז חוץ מפיין-טיונינג ושינויים פה ושם (גם כדי לא לשעמם את עצמך...) העבודה שאתה עושה עכשיו תחזיר דיווינדים בכך שיידרש לך הרבה פחות זמן להכנה.
אבל כן, זה אחד מהדאון-סיידז הרציניים של הסמסטר הראשון שבו מלמדים קורס חדש.

 

[John the Savage]

גם אני מאד מקווה

ואגב, הינה המצגת שלי להרצאה שהעברתי היום ...

 

[Fellowship]

יפה מאוד! אפשר להזכיר את התרומה הישראלית

(עדי שמיר)

 

[בוקובזה שטראסה]

מצגת בהירה ומעולה גם

להדיוטות. נראה זורם ממש טוב.
&nbsp
סתם פדנטיות: בעמוד 4 הייתי מעדיף socio-economic ולא socio-economical.
&nbsp
&nbsp

 

[randomwinds]

מרשים!. אפשר להוסיף ל Non-technical ways

DO NOTHING

והבעיה עם Hackers are people זה שהם יותר ויותר מופעלים ע"י ממשלות

ותת הנושא Pressure on governments מסקרן. חבל שפיספסתי את ההרצאה

 

[John the Savage]

על הנושא של מעורבות ממשלות

דיברתי יותר בהרחבה בהרצאה הקודמת לפני זאת.

הסעיף של Hackers are people מתקשר למאמר הזה שנתתי להם לקרוא קודם:
https://academic.oup.com/policing/a...ccessKey=576254fd-e3e3-4db8-ae5b-b104f870f9ea

 

[ranshe]

ומה שיפה עוד יותר, שההנהלה מכרה מניות לפני ההודעה לציבור..

 

[Midriff]

אצלנו 1 מ-2

בדקנו, ואצלי נאמר שלא נפרץ, ואצלו נאמר שהחשבון שלו 'חשוד שכלול בפריצה'

 

[Fellowship]

אחד הדברים שטרם הצלחתי להבין הוא מדוע כ"כ קל

לזייף זהות/לבצע פעולות פיננסיות במידה ומישהו יודע מה ה SSN שלך (בשילוב פרטים פומביים נוספים, כגון שם וכתובת),
ואם זה כ"כ קל ובד בבד כ"כ קריטי, מדוע לא מייצרים מנגנון מאובטח יותר מאשר פיסת נייר עם מספר?

 

[John the Savage]

כל-כך קל בגלל ש...

קודם כל, למוסדות פיננסיים עד עכשיו לא היה תמריץ לעשות יותר מזה.

כן היה להם תמריץ להקל כמה שיותר על קבלת אשראי. ולכן הפכו את המספר הזה, מספר מסכן בן 9 ספרות שנמצא בידי כל-כך הרבה גורמים ולא ניתן להחליף (פרט למקרים חריגים), למפתח "סודי" שמאפשר לעשות כל-כך הרבה פעולות. כל מה שצריך זה להגיע לאתר, לתקתק את ה-SSN בצירוף עוד כמה נתונים בסיסיים, והאשראי הוא שלך. וחברות האשראי הרי מעוניינות שיהיה לך כמה שיותר קל.

חוץ מזה, הרעיון של שימוש ב-SSN לצורך פתיחת חשבונות החל בשנות ה-70, הרבה לפני ימי האינטרנט המסחרי ופריצות הענק למאגרי מידע. ואיכשהו נתקענו עם זה.

אפשר כמובן לפתח מנגנוני זיהוי הרבה יותר בטוחים די בקלות, לדוגמה כאלו שמבוססים על פאבליק קיי. אבל צריך לייצר את התשתית לכך, וניראה שהנזק הפיננסי מגניבת זהות לא היווה עד היום מוטיבציה מספקת בשביל שיפתחו תשתית כזו.

 

[Fellowship]

אני לא מצפה ממוסדות פיננסיים לקדם פתרון לנושא, הרי אין להם

אינטרס, אני מצפה זאת מהממשל.

 

[randomwinds]

צרת רבים - חצי נחמה

צרת מעטים - נחמה מלאה מבחינת הממשל. וזו עדיין צרת מעטים. וכמו עם ביטוח הבריאות / מספר הלא מבוטחים / מספר התת מבוטחים - הם מעטים ולממשל לא ממש בוער/חשוב. וכנ"ל עם 20 אלף הבתים המוצפים והלא מבוטחים ביוסטון וסביבתה. מה זה כבר 20 אלף...

 

[איי ל]

ואת מי אתה חושב הממשל משרת?

למוסדות הפיננסיים יש אינטרס רציני בנושא, מה שאומר שהם מחזיקים לובי חזק מאד.
בדיוק כמו כל הסיבוכים של מילוי המיסים. באמת שאפשר היה לייצר טופס פשוט למילוי מיסים שכל אחד יוכל למלא בעצמו. אבל מה יעשו כל הטורבוטקסים וה HR Block למיניהם? הבנת נכון, גם להם יש לובי. זו גם הסיבה שאתה לא יכול להשתמש באותה התוכנה שנה אחר שנה..
&nbsp
&nbsp