wanita memegang smartphone

Sebagian besar peserta dalam penelitian baru-baru ini tidak tahu bahwa alamat email mereka dan informasi pribadi lainnya telah diretas dalam rata-rata lima pelanggaran data masing-masing.

Sudah sembilan tahun sejak pelanggaran data LinkedIn, delapan tahun sejak pelanggan Adobe menjadi korban penyerang cyber, dan empat tahun sejak Equifax menjadi berita utama karena pengungkapan informasi pribadi jutaan orang.

Peneliti dari University of Michigan School of Information menunjukkan 413 fakta dari hingga tiga orang pelanggaran yang melibatkan informasi pribadi mereka sendiri. Para peneliti menemukan orang tidak menyadari 74% dari pelanggaran.

“Ini memprihatinkan. Jika orang tidak tahu bahwa informasi mereka terungkap dalam pelanggaran, mereka tidak dapat melindungi diri mereka sendiri dengan baik terhadap implikasi pelanggaran, misalnya, peningkatan risiko pencurian identitas,” kata kandidat doktor Yixin Zou.

Sebagaimana dilaporkan dalam a kertas konferensi, peneliti juga menemukan bahwa sebagian besar dari mereka yang melanggar menyalahkan perilaku pribadi mereka sendiri atas peristiwa tersebut—menggunakan kata sandi yang sama di beberapa akun; menyimpan email yang sama untuk waktu yang lama; dan mendaftar untuk akun "samar"—dengan hanya 14% yang menghubungkan masalah tersebut dengan faktor eksternal.


grafis berlangganan batin


“Meskipun ada beberapa tanggung jawab pada konsumen untuk Hati-Hati tentang dengan siapa mereka membagikan informasi pribadi mereka, kesalahan pelanggaran hampir selalu terletak pada praktik keamanan yang tidak memadai oleh perusahaan yang terpengaruh, bukan oleh para korban pelanggaran,” kata Adam Aviv, profesor ilmu komputer di Universitas George Washington.

Grafik Apakah saya Sudah Pwned database yang digunakan dalam penelitian ini mencantumkan hampir 500 pelanggaran online dan 10 juta akun yang disusupi selama dekade terakhir. Menurut Pusat Sumber Daya Pencurian Identitas, jumlah keseluruhan pelanggaran data yang mempengaruhi orang Amerika bahkan lebih tinggi, melaporkan lebih dari 1,108 pelanggaran di Amerika Serikat pada tahun 2020 saja.

Penelitian sebelumnya menanyakan tentang kekhawatiran dan reaksi terhadap pelanggaran data secara umum, atau mengandalkan data yang dilaporkan sendiri untuk menentukan bagaimana insiden tertentu memengaruhi orang. Studi ini menggunakan catatan publik dalam kumpulan data Have I Been Pwned tentang siapa saja yang terpengaruh oleh pelanggaran. Tim peneliti mengumpulkan 792 tanggapan yang melibatkan 189 pelanggaran unik dan 66 tipe data berbeda yang terpapar. Dari 431 alamat email peserta yang ditanyakan, 73% peserta terpapar dalam satu atau lebih pelanggaran, dengan jumlah tertinggi 20.

Dari semua informasi yang dibobol, alamat email yang paling banyak dibobol, diikuti oleh kata sandi, nama pengguna, alamat IP, dan tanggal lahir.

Sebagian besar peserta menyatakan keprihatinan sedang dan paling khawatir tentang kebocoran alamat fisik, kata sandi, dan nomor telepon. Menanggapi akun mereka yang disusupi, mereka melaporkan mengambil tindakan atau niat untuk mengubah kata sandi untuk 50% pelanggaran.

“Bisa jadi beberapa layanan yang dibobol dianggap 'tidak penting' karena akun yang dibobol tidak memuat informasi sensitif. Namun, kekhawatiran yang rendah tentang pelanggaran juga dapat dijelaskan oleh orang yang tidak sepenuhnya mempertimbangkan atau menyadari bagaimana informasi pribadi yang bocor berpotensi disalahgunakan dan membahayakan mereka, ”kata Peter Mayer, peneliti postdoctoral di Karlsruhe Institute of Technology.

Risiko berkisar dari isian kredensial—atau menggunakan alamat email dan kata sandi yang bocor untuk mendapatkan akses ke akun lain korban—hingga pencurian identitas dan penipuan.

Sebagian besar pelanggaran tidak pernah menjadi berita, dan seringkali mereka melibatkan sedikit atau tanpa pemberitahuan kepada individu yang terkena dampak.

“Persyaratan pemberitahuan pelanggaran data hari ini tidak mencukupi,” kata Zou. “Entah orang tidak diberi tahu oleh perusahaan yang dilanggar, atau pemberitahuan dibuat dengan sangat buruk sehingga orang mungkin mendapatkan pemberitahuan email atau surat tetapi mengabaikannya. Dalam pekerjaan sebelumnya, kami menganalisis surat pemberitahuan pelanggaran data yang dikirim ke konsumen dan menemukan bahwa mereka sering kali membutuhkan keterampilan membaca tingkat lanjut dan risiko yang tidak jelas.”

Di akhir penelitian, peneliti menunjukkan kepada peserta daftar lengkap pelanggaran yang memengaruhi mereka dan memberikan informasi untuk mengambil langkah-langkah perlindungan terhadap potensi risiko dari pelanggaran data.

Bagaimana menghindari pelanggaran data

Ketika data Anda telah dicuri: 

  • Periksa apakah akun merupakan bagian dari pelanggaran menggunakan layanan gratis seperti https://haveibeenpwned.com/ or https://monitor.firefox.com/.
  • Baca pemberitahuan pelanggaran dengan cermat.
  • Situs web seperti FTC https://identitytheft.gov/ dapat membantu membuat rencana pemulihan setelah pencurian identitas.
  • Pastikan untuk mengubah kata sandi akun yang dilanggar dan akun lain yang menggunakan kata sandi yang sama. Melakukan ini sekali sudah cukup kecuali ada pelanggaran baru.
  • Mendaftar untuk layanan pemantauan identitas yang Anda tawarkan. Meskipun tidak sempurna, mereka lebih baik daripada tidak sama sekali.
  • Jika Anda benar-benar mengalami kerugian akibat pelanggaran, Anda mungkin juga berhak atas dukungan lebih lanjut.

Untuk mencegah pelanggaran data di masa mendatang: 

  • Gunakan kata sandi unik untuk setiap akun online. Tidak ada yang dapat mengingat lusinan ini, jadi sebaiknya gunakan pengelola kata sandi untuk menyimpan dan membuat kata sandi yang kuat.
  • Gunakan otentikasi dua faktor, jika memungkinkan, yang memerlukan kode melalui telepon selain nama pengguna dan kata sandi untuk mengakses akun.
  • Membekukan laporan kredit di tiga biro utama (Equifax, Experian, dan TransUnion) untuk mempersulit pencuri identitas menyebabkan kerugian finansial. Lihat di sini.
  • Pertimbangkan untuk menggunakan layanan seperti Masuk dengan Apple  untuk menjaga kerahasiaan alamat email saat membuat akun baru (penyedia layanan hanya melihat alamat email yang dibuat secara unik untuk akun tersebut).

“Temuan dari penelitian ini lebih jauh menggarisbawahi kegagalan dan kekurangan data saat ini dan undang-undang pemberitahuan pelanggaran keamanan,” kata Florian Schaub, asisten profesor informasi di University of Michigan.

“Apa yang kami temukan lagi dan lagi dalam pekerjaan kami adalah bahwa undang-undang dan peraturan penting, yang dimaksudkan untuk melindungi konsumen, menjadi tidak efektif dalam praktiknya oleh upaya komunikasi yang buruk oleh perusahaan yang terkena dampak yang perlu lebih bertanggung jawab untuk mengamankan data pelanggan.”

Para peneliti menunjuk ke Peraturan Perlindungan Data Umum Eropa yang mengatur denda besar dan kuat bagi perusahaan yang tidak melindungi konsumen sebagai sarana untuk memecahkan masalah. Undang-undang tersebut mengarahkan perusahaan di seluruh dunia untuk memperlengkapi kembali program dan perlindungan privasi mereka.

Sumber: University of Michigan

 

Tentang Penulis

Laurel Thomas-Michigan

Artikel ini awalnya muncul di Futurity