ผู้เข้าร่วมส่วนใหญ่ในการศึกษาเมื่อเร็ว ๆ นี้ไม่ทราบว่าที่อยู่อีเมลและข้อมูลส่วนบุคคลอื่น ๆ ของพวกเขาถูกบุกรุกโดยมีการละเมิดข้อมูลโดยเฉลี่ยห้าครั้งในแต่ละครั้ง
เป็นเวลาเก้าปีแล้วที่ข้อมูลรั่วไหลของ LinkedIn แปดปีแล้วที่ลูกค้า Adobe ตกเป็นเหยื่อของผู้โจมตีทางไซเบอร์ และสี่ปีแล้วที่ Equifax กลายเป็นหัวข้อข่าวเกี่ยวกับการเปิดเผยข้อมูลส่วนตัวของผู้คนนับล้าน
นักวิจัยจากโรงเรียนข้อมูลมหาวิทยาลัยมิชิแกนแสดงข้อเท็จจริง 413 คนจากมากถึงสามคน การละเมิด ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของตนเอง นักวิจัยพบว่าผู้คนไม่ทราบถึง 74% ของการละเมิด
“เรื่องนี้เป็นเรื่องที่เกี่ยวข้อง หากผู้คนไม่ทราบว่าข้อมูลของพวกเขาถูกเปิดเผยในการละเมิด พวกเขาไม่สามารถป้องกันตนเองได้อย่างถูกต้องจากผลกระทบของการละเมิด เช่น ความเสี่ยงที่เพิ่มขึ้นของการโจรกรรมข้อมูลประจำตัว” Yixin Zou ผู้สมัครระดับปริญญาเอกกล่าว
ตามที่รายงานใน เอกสารการประชุมนักวิจัยยังพบว่าผู้ที่ละเมิดส่วนใหญ่ตำหนิพฤติกรรมส่วนตัวของตนเองสำหรับเหตุการณ์ โดยใช้รหัสผ่านเดียวกันในหลายบัญชี รักษาอีเมลเดิมไว้เป็นเวลานาน และลงทะเบียนสำหรับบัญชี "ร่าง" โดยมีเพียง 14% ที่ระบุว่าปัญหามาจากปัจจัยภายนอก
“ในขณะที่ผู้บริโภคมีความรับผิดชอบในการ ระวัง อดัม อาวีฟ รองศาสตราจารย์ด้านวิทยาการคอมพิวเตอร์แห่งมหาวิทยาลัยจอร์จ วอชิงตันกล่าวว่าพวกเขาแบ่งปันข้อมูลส่วนบุคคลกับใคร ความผิดในการละเมิดมักอยู่ที่แนวทางปฏิบัติด้านความปลอดภัยที่ไม่เพียงพอของบริษัทที่ได้รับผลกระทบ ไม่ใช่โดยเหยื่อของการละเมิด”
พื้นที่ ได้ฉันถูกปล้น ฐานข้อมูลที่ใช้ในการศึกษานี้แสดงรายการการละเมิดออนไลน์เกือบ 500 รายการและบัญชีที่ถูกบุกรุก 10 ล้านบัญชีในช่วงทศวรรษที่ผ่านมา จากข้อมูลของ Identity Theft Resource Center จำนวนการละเมิดข้อมูลโดยรวมที่ส่งผลกระทบต่อชาวอเมริกันนั้นสูงขึ้นไปอีก โดยรายงานการละเมิดมากกว่า 1,108 ครั้งในสหรัฐอเมริกาในปี 2020 เพียงปีเดียว
การวิจัยก่อนหน้านี้ได้สอบถามเกี่ยวกับข้อกังวลและปฏิกิริยาต่อการละเมิดข้อมูลโดยทั่วไป หรืออาศัยข้อมูลที่รายงานด้วยตนเองเพื่อพิจารณาว่าเหตุการณ์หนึ่งๆ ส่งผลกระทบต่อผู้คนอย่างไร การศึกษานี้ใช้บันทึกสาธารณะในชุดข้อมูล Have I Been Pwned ว่าใครได้รับผลกระทบจากการละเมิด ทีมวิจัยได้รวบรวมคำตอบ 792 รายการที่เกี่ยวข้องกับการละเมิดที่ไม่ซ้ำกัน 189 รายการและประเภทข้อมูลที่เปิดเผย 66 ประเภท จากที่อยู่อีเมลของผู้เข้าร่วม 431 รายการที่ถูกสอบถาม 73% ของผู้เข้าร่วมถูกเปิดเผยในการละเมิดอย่างน้อยหนึ่งครั้ง โดยมีจำนวนสูงสุด 20 รายการ
จากข้อมูลทั้งหมดที่ถูกละเมิด ที่อยู่อีเมลถูกบุกรุกมากที่สุด รองลงมาคือรหัสผ่าน ชื่อผู้ใช้ ที่อยู่ IP และวันเกิด
ผู้เข้าร่วมส่วนใหญ่แสดงความกังวลในระดับปานกลางและกังวลมากที่สุดเกี่ยวกับการรั่วไหลของที่อยู่ทางกายภาพ รหัสผ่าน และหมายเลขโทรศัพท์ เพื่อตอบสนองต่อบัญชีที่ถูกบุกรุก พวกเขารายงานการดำเนินการหรือความตั้งใจที่จะเปลี่ยนรหัสผ่านสำหรับ 50% ของการละเมิด
“อาจเป็นไปได้ว่าบริการที่ถูกละเมิดบางส่วนได้รับการพิจารณาว่า 'ไม่สำคัญ' เนื่องจากบัญชีที่ถูกละเมิดไม่มีข้อมูลที่ละเอียดอ่อน อย่างไรก็ตาม ความกังวลเล็กน้อยเกี่ยวกับการละเมิดอาจถูกอธิบายโดยผู้ที่ไม่ได้พิจารณาอย่างเต็มที่หรือตระหนักว่าข้อมูลส่วนบุคคลที่รั่วไหลอาจถูกนำไปใช้ในทางที่ผิดและเป็นอันตรายต่อพวกเขาได้อย่างไร” ปีเตอร์ เมเยอร์ นักวิจัยด้านดุษฏีบัณฑิตที่สถาบันเทคโนโลยีคาร์ลสรูเฮอกล่าว
ความเสี่ยงมีตั้งแต่การใช้ข้อมูลประจำตัวหรือการใช้ที่อยู่อีเมลและรหัสผ่านที่รั่วไหลเพื่อเข้าถึงบัญชีอื่นๆ ของเหยื่อ ไปจนถึงการโจรกรรมข้อมูลประจำตัวและการฉ้อโกง
การละเมิดส่วนใหญ่ไม่เคยสร้างข่าว และมักเกี่ยวข้องกับการแจ้งเตือนเพียงเล็กน้อยหรือไม่มีเลยแก่บุคคลที่ได้รับผลกระทบ
“ข้อกำหนดการแจ้งเตือนการละเมิดข้อมูลในปัจจุบันไม่เพียงพอ” Zou กล่าว “ทั้งบุคคลไม่ได้รับแจ้งจากบริษัทที่ละเมิด หรือการแจ้งเตือนถูกสร้างขึ้นมาไม่ดีจนผู้คนอาจได้รับการแจ้งเตือนทางอีเมลหรือจดหมายแต่ไม่สนใจมัน ในการทำงานก่อนเราได้วิเคราะห์จดหมายแจ้งเตือนการละเมิดข้อมูลที่ส่งถึงผู้บริโภค และพบว่าพวกเขามักต้องการทักษะการอ่านขั้นสูงและความเสี่ยงที่คลุมเครือ”
ในตอนท้ายของการศึกษา นักวิจัยได้แสดงรายชื่อการละเมิดทั้งหมดที่มีผลกระทบต่อพวกเขาและให้ข้อมูลสำหรับการดำเนินการป้องกันความเสี่ยงที่อาจเกิดขึ้นจากการละเมิดข้อมูล
วิธีหลีกเลี่ยงการละเมิดข้อมูล
เมื่อข้อมูลของคุณถูกขโมย:
- ตรวจสอบว่าบัญชีเป็นส่วนหนึ่งของการละเมิดโดยใช้บริการฟรีเช่น https://haveibeenpwned.com/ or https://monitor.firefox.com/.
- อ่านการแจ้งเตือนการละเมิดอย่างระมัดระวัง
- เว็บไซต์เช่น FTC's https://identitytheft.gov/ สามารถช่วยสร้างแผนการกู้คืนหลังจากการโจรกรรมข้อมูลประจำตัว
- ตรวจสอบให้แน่ใจว่าได้เปลี่ยนรหัสผ่านของบัญชีที่ละเมิดและอื่น ๆ ที่ใช้รหัสผ่านเดียวกัน การทำเช่นนี้เพียงครั้งเดียวก็เพียงพอแล้วเว้นแต่จะมีการละเมิดใหม่
- สมัครใช้บริการตรวจสอบข้อมูลประจำตัวที่คุณได้รับ แม้จะไม่ได้สมบูรณ์แบบ แต่ก็ดีกว่าไม่ทำอะไรเลย
- หากคุณประสบอันตรายจริงจากการละเมิด คุณอาจมีสิทธิ์ได้รับการสนับสนุนเพิ่มเติม
เพื่อป้องกันการละเมิดข้อมูลในอนาคต:
- ใช้รหัสผ่านเฉพาะสำหรับบัญชีออนไลน์แต่ละบัญชี ไม่มีใครจำรหัสผ่านเหล่านี้ได้หลายสิบตัว ดังนั้นควรใช้ตัวจัดการรหัสผ่านเพื่อจัดเก็บและสร้างรหัสผ่านที่รัดกุม
- ใช้การตรวจสอบสิทธิ์แบบสองปัจจัย หากเป็นไปได้ ซึ่งต้องใช้รหัสทางโทรศัพท์นอกเหนือจากชื่อผู้ใช้และรหัสผ่านเพื่อเข้าถึงบัญชี
- ตรึงรายงานเครดิตที่สำนักงานหลักสามแห่ง (Equifax, Experian และ TransUnion) เพื่อทำให้การขโมยข้อมูลประจำตัวทำได้ยากขึ้นเพื่อก่อให้เกิดอันตรายทางการเงิน ดู โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม.
- พิจารณาใช้บริการเช่น เข้าสู่ระบบด้วย Apple เพื่อรักษาที่อยู่อีเมลให้เป็นส่วนตัวเมื่อสร้างบัญชีใหม่ (ผู้ให้บริการจะเห็นเฉพาะที่อยู่อีเมลที่สร้างขึ้นโดยเฉพาะสำหรับบัญชีนั้น)
Florian Schaub ผู้ช่วยศาสตราจารย์ด้านข้อมูลของมหาวิทยาลัยมิชิแกนกล่าวว่า "ผลการวิจัยจากการศึกษาครั้งนี้เน้นย้ำถึงความล้มเหลวและข้อบกพร่องของข้อมูลปัจจุบันและกฎหมายการแจ้งเตือนการละเมิดความปลอดภัย"
“สิ่งที่เราพบครั้งแล้วครั้งเล่าในงานของเราคือกฎหมายและระเบียบข้อบังคับที่สำคัญซึ่งมีขึ้นเพื่อปกป้องผู้บริโภคนั้นไม่ได้ผลในทางปฏิบัติโดยความพยายามในการสื่อสารที่ไม่ดีโดยบริษัทที่ได้รับผลกระทบซึ่งจำเป็นต้องรับผิดชอบต่อการรักษาความปลอดภัยข้อมูลลูกค้ามากขึ้น”
นักวิจัยชี้ไปที่กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคของยุโรป ซึ่งออกกฎหมายปรับจำนวนมากสำหรับบริษัทที่ไม่ปกป้องผู้บริโภคเพื่อเป็นแนวทางในการแก้ปัญหา กฎหมายดังกล่าวทำให้บริษัทต่างๆ ทั่วโลกปรับปรุงโปรแกรมความเป็นส่วนตัวและการป้องกันของตน
ที่มา: มหาวิทยาลัยมิชิแกน
เกี่ยวกับผู้เขียน