Hackers hebben $ 13.103,91 van mij gestolen. Leer van mijn fouten.

Hier zijn drie eenvoudige manieren om jezelf te beschermen tegen veelvoorkomende hacks.

Een laptopcomputer geopend op een tafel met de hand van een persoon op de toetsen. De andere hand houdt een koffiekopje vast.

Online accounts zijn kwetsbaar voor hackers als er geen verschillende wachtwoorden worden gebruikt voor verschillende websites.

Jaap Arriens / NurPhoto via Getty Images

Dit verhaal maakt deel uit van een groep verhalen genaamd hercoderen

Ontdekken en uitleggen hoe onze digitale wereld verandert - en ons verandert.



Open source-logo

Het begon met knoedels.

wat is de complottheorie van de illuminatie

Toen ik afgelopen maart om middernacht een e-mail kreeg van Grubhub waarin stond dat mijn bestelling van Dumpling Depot onderweg was naar een adres op 3000 mijl afstand van mijn locatie in New York City, dacht ik dat er een fout moest zijn gemaakt. En daar was: de mijne.

Omdat ik niet een paar elementaire voorzorgsmaatregelen voor internetbeveiliging nam, beroofden hackers me in de komende zes maanden van $ 13.103,91 aan contant geld en prijzen van drie van mijn accounts. En hoewel dit mij, uw Recode-gegevensprivacy-reporter, er niet erg slim uitziet, deel ik mijn verhaal met u in de hoop dat het u zal helpen een soortgelijk lot te vermijden.

De persoon die afgelopen maart mijn Grubhub-account hackte, bestelde een zwarte schimmelsalade met selderij, een vijfkruidengemarineerd rundvleesgerecht en 12 varkensvleesknoedels (met bieslook) voor een totaal van $ 26,84. In het begin was het vervelend, maar het leek niet zo'n groot probleem: ik bracht Grubhub op de hoogte van de frauduleuze aanklacht en kreeg mijn geld terug. Toen veranderde ik mijn wachtwoord, stuurde een boze sms naar het telefoonnummer op de voedselbestelling en ging verder met mijn leven, dwaas denkend dat dit een geïsoleerd incident was. Het was niet.

Vijf maanden later logde ik in op mijn bankrekening om een ​​aanzienlijk kleiner bedrag op mijn spaarrekening te vinden dan ik had verwacht. En ja hoor, $ 9.000 was twee dagen eerder weggeschreven. Tijdens het daaropvolgende, hectische telefoontje naar mijn bank, keek ik naar mijn betaalrekening en zag dat ook daar $ 4.000 was overgeschreven - een ontdekking die ik met een verscheidenheid aan vloekwoorden verklaarde. De vrouw aan de andere kant van de lijn had een aangenaam zuidelijk accent, waardoor haar beloften dat ik het geld terug zou krijgen extra geruststellend leken.

Ze had gelijk, hoewel mijn toegang tot al mijn geld enkele dagen werd afgesloten toen de bank mijn oude bevroor, rekeningen schond en nieuwe aanmaakte. Het duurde ongeveer twee weken voordat alles weer volledig operationeel was en mijn $ 13.000 werd hersteld. Ik weet niet of mijn bank de $ 13.000 terug heeft gekregen of me het geld heeft gegeven en het een verlies heeft genoemd. Toen ik ze belde voor een update en om gerechtigheid te eisen, vertelden ze me dat ze me geen details over de zaak konden vertellen omdat ik niet het slachtoffer was, maar de bank. Het had natuurlijk veel erger kunnen aflopen: ik kreeg het geld wel terug.

Word lid van het Open Sourced Reporting Network

Christina Animashaun / Vox

Open Sourced is het jaarlange rapportageproject van Recode by Vox om de wereld van data, persoonlijke privacy, algoritmen en kunstmatige intelligentie te ontrafelen. En we hebben uw hulp nodig. Vul dit formulier in om bij te dragen aan onze rapportage.

Maar het was niet voorbij. Een maand later, in september, ontving ik een e-mail van mijn creditcardmaatschappij met de mededeling dat zij een afschrijving van $ 323,01 had afgewezen die Caviar probeerde op een verlopen kaart te zetten. Omdat ik een redelijk goed idee had van waar dit heen ging, controleerde ik mijn creditcard en ontdekte dat hoewel de afschrijving van $ 323,01 was afgewezen, er twee aanklachten van $ 1,64 en $ 75,43 van Caviar waren doorgegaan. Om de een of andere reden heeft mijn kaart sommige (maar niet alle) aankopen die zijn gedaan op de verlopen kaart die aan mijn account was gekoppeld, overgezet naar mijn huidige. En iemand kwam weg met $ 77,07 aan rustiek straatvoedsel van een van Eater San Francisco's beste Vietnamese restaurantkeuzes in Oakland . Gelukkig voor mij werd het geld teruggestort op mijn creditcard.

Maar alleen omdat ik het geluk had om mijn geld volledig terug te krijgen, betekent dit niet dat u dat ook zult doen als hackers u ooit targeten. En zelfs dat geld tijdelijk verliezen was nog steeds een groot, eng ongemak: ik moest rekeningen betalen en kon ze niet betalen. Ik was bang dat ik mijn zorgverzekering zou verliezen. Ik had ook een paar betaaldiensten gekoppeld aan een gesloten account die ik niet op tijd had overgezet, en nu sta ik op een soort schurkenlijst bij E-ZPass.

Ik weet niet of mijn bank, Grubhub of Caviar het gestolen geld heeft kunnen terugkrijgen. Zo niet, dan moeten zij (en alle andere bedrijven die de uitgaven voor gehackte accounts dekken) het op de een of andere manier terugverdienen - en meestal moeten klanten die kosten op de een of andere manier dekken. Dat betekent dat die duizenden dollars in een of andere vorm uit mijn zak zullen komen. Het zal ook uit de jouwe komen. Sorry daarvoor.

Ik ben er vrij zeker van dat ik weet hoe dit is gebeurd, dus ik ben blij (en schaam me) om het met je te delen, zodat je een betere internetbeveiligingshygiëne hebt dan ik. Dit zijn de drie dingen die ik heb verprutst, zodat jij dat niet hoeft te doen:

1) Gebruik uw wachtwoorden niet opnieuw. En doe het zeker niet op tientallen verschillende accounts.

Ja, ik gebruikte hetzelfde wachtwoord (of een variant daarvan) voor de meeste van mijn accounts, en ik heb het bijna tien jaar gebruikt. Ik dacht dat ik hackers had gedwarsboomd door bepaalde letters en cijfers te vervangen door op elkaar lijkende speciale tekens, maar ze hebben deze slimme list duidelijk doorzien.

wie heeft het debat gisteravond gewonnen

Dit was waarschijnlijk mijn erfzonde. Ergens, ergens, is een van mijn online accounts gehackt, en mijn gebruikersnaam, e-mailadres, wachtwoord en wie weet wat nog meer op internet is gezet zodat iedereen het kan zien en exploiteren. En toen een hacker mijn wachtwoord eenmaal had, hoefde hij het (en zijn varianten) alleen maar op zoveel mogelijk sites in te pluggen totdat er iets klikte. De mini-criminaliteit op meerdere sites in een tijdsbestek van zes maanden geeft aan dat dat precies is wat ze deden.

Misschien hergebruikt u, net als ik, wachtwoorden - eigenlijk doet de helft van u die dit leest, volgens dit recente onderzoek . Zo ja, dan moet u het volgende doen: Kijk op een site met de naam Ben ik gepest? om te zien of uw informatie is gecompromitteerd. Toen ik dat deed, zag ik dat mijn e-mailadres in niet minder dan 15 verschillende site-inbreuken wordt vermeld. Ik was ervan uitgegaan dat elke site waar ik een account had aangemaakt adequate maatregelen had genomen om mijn informatie veilig en privé te houden, maar mijn vertrouwen was zwaar misplaatst.

Een hacker kreeg op 29 juli 2019 toegang tot meer dan 100 miljoen creditcardapplicaties met financieel zwaargewicht Capital One.

Johannes Eisele/AFP via Getty Images

Wat ik had moeten doen - en wat ik nu doe, en wat je zou moeten doen als je dat nog niet doet - is voor alles verschillende wachtwoorden gebruiken. Dit is niet zo ingewikkeld als je zou denken. ik heb een wachtwoordbeheerder app die al mijn gebruikersnamen en wachtwoorden op één plek bewaart (ik gebruik LastPass, maar er zijn verschillende van dergelijke services - sommige gratis, andere niet - die er zijn). Nu, als mijn wachtwoord voor één site naar buiten komt, is de schade beperkt tot die site alleen. Ze zijn vrij eenvoudig te gebruiken en veel van hen hebben wachtwoordgenerators om u te helpen met het bedenken van unieke, moeilijk te kraken wachtwoorden voor elk account.

Ja, er is altijd een mogelijkheid - zij het op afstand - dat de wachtwoordbeheerder zelf kan worden gehackt. Beveiligingsadviesbureau Onafhankelijke beveiligingsbeoordelaars gevonden kwetsbaarheden in verschillende wachtwoordmanager-apps, maar zei toch dat wachtwoordmanagers een goede zaak waren. LastPass-claims dat het slechts één beveiligingsincident heeft gehad in zijn 10-jarige geschiedenis en dat de wachtwoorden van zijn gebruikers niet werden onthuld. 1Wachtwoord zegt het is nooit gehackt.

Als het gaat om wachtwoordmanagers, weet ik tenminste dat ik mijn informatie heb toevertrouwd aan een plaats die belooft dat alle beschikbare veiligheidsmaatregelen zijn genomen. Ik denk niet dat ik hetzelfde kan zeggen over Disqus, LinkedIn, MyHeritage of Tumblr, die allemaal werden vermeld op Have I Been Pwned? als het hebben van datalekken die mijn wachtwoord hadden kunnen blootleggen.

hoe te stoppen met zo veel plassen bij het drinken van water?

Als het downloaden en instellen van een hele app om je wachtwoord te beheren een beetje buiten je mogelijkheden lijkt (of de hoeveelheid werk die je erin wilt steken), zullen veel browsers en apparaten dit nu voor je doen, zelfs als deze opties minder veilig zijn. Mac-apparaten hebben een sleutelhanger-app ; Google heeft zijn eigen wachtwoordbeheerder u kunt gebruiken met de Chrome-browser; en Firefox heeft ook een wachtwoordbeheerder. Weet u wanneer u voor het eerst een account op een website instelt en er een prompt verschijnt in uw browser of het apparaat zelf met de vraag of u uw wachtwoord voor de site wilt opslaan? Dat is het.

Als zelfs dat te moeilijk of technisch voor je lijkt, kun je altijd analoog gaan en je wachtwoorden opschrijven in een notitieboekje. Er zijn verschillende stromingen hierover: sommigen zeggen dat het de... beste verdediging tegen hackers u kunt krijgen en anderen zeggen dat u uw wachtwoord nooit, maar dan ook nooit moet opschrijven. overwegende dat de meeste Amerikanen hun wachtwoorden bijhoudt door ze te onthouden (wat aangeeft dat ze slechts één of enkele wachtwoorden voor meerdere sites gebruiken, gezien de beperkingen van het menselijke geheugen) of ze op te schrijven, denk ik dat je beter gediend bent met unieke wachtwoorden voor elke site die in een boek is geschreven (vermoedelijk een die u hebt opgeslagen op een veilige locatie waartoe de externe toegang beperkt is), dan gebruikt u overal op internet hetzelfde wachtwoord. Houd alleen rekening met de desastreuze gevolgen als dat boek ooit in verkeerde handen zou vallen.

Nog een voordeel van je wachtwoorden op een centrale plek te hebben staan? Het helpt je bij het bijhouden van alle accounts die je hebt. Na de bankhack veranderde ik mijn wachtwoord voor elke rekening die ik kon bedenken. Maar ik vergat Caviar, die ik in 2018 een keer gebruikte omdat het de enige bezorgservice was voor de goede cheeseburger-tent bij mij in de buurt. Het lag dus nog voor het oprapen toen mijn hacker trek kreeg in groene papajasalade en gestoofd buikspek.

Verander ten slotte af en toe uw wachtwoorden. Aanbevelingen voor hoe vaak je het moet doen, variëren, maar als je op mij lijkt, is het tijd om je te realiseren dat het veranderen van wachtwoorden eens per decennium niet vaak genoeg is. Wat dacht je van een keer per jaar? 1 februari is de (onofficiële) Wijzig uw wachtwoord dag . Dat komt er binnenkort aan.

2) Zet ​​twee-factor-authenticatie op alles

Twee-factor-authenticatie , of 2FA (ook bekend als tweestapsverificatie), betekent dat je twee manieren nodig hebt om je identiteit te verifiëren voordat je kunt inloggen op een account, wat je helpt beschermen tegen hacks. Een factor is uw wachtwoord. De andere kan afkomstig zijn van een authenticatiedienst of via een sms. Op deze manier weet een hacker misschien je wachtwoord, maar als ze geen toegang hebben tot je telefoon of de authenticator-app, kunnen ze niet in je account komen.

Mijn bank bood 2FA niet per sms aan - de methode waarmee ik het meest vertrouwd was - maar alleen via een authenticator genaamd Symantec VIP. Dat omvatte het downloaden en instellen van een app op mijn telefoon, waar ik één keer naar keek, achterdochtig werd dat iemand me iets probeerde te verkopen en me weer een andere ongewenste app op mijn telefoon liet zetten, en besloot me er niet mee bezig te houden. Achteraf had ik me echt druk moeten maken! Dat zou jij ook moeten doen. Authenticatiediensten zijn een steeds vaker voorkomende optie omdat ze de veiligste 2FA-methode zijn, zelfs als ze een paar extra stappen nemen om in te stellen (in de eerste plaats downloaden en installeren van de app). Ik gebruik Google Authenticator, maar er zijn er nog meer.

Een andere methode is via sms, waarbij je de website gewoon je telefoonnummer vertelt en hij je een sms met een pincode stuurt wanneer je inlogt. Dit is gemakkelijker, maar het is ook minder veilig: een echt vastberaden hacker kan toegang krijgen tot je tekst berichten door je simkaart hacken . Om jezelf daartegen extra te beveiligen, kun je bij je mobiele provider een aangepaste pincode op je simkaart zetten.

Mijn bank biedt nu 2FA per sms aan en ik heb het ingesteld. Maar veel mensen gebruiken 2FA helemaal niet. EEN enquête 2017 toonde aan dat slechts 28 procent van de Amerikanen het gebruikt, terwijl meer dan de helft er nog nooit van had gehoord. En een Google-technicus zei in 2018 dat meer dan 90 procent van de actieve Google-accounts geen 2FA gebruikt. Ondertussen, Google's onderzoek heeft uitgewezen dat 2FA de overgrote meerderheid van hackpogingen blokkeert. Onthoud dat dit niet alleen gaat over het vergrendelen van uw bankrekening: u kunt de toegang tot uw Facebook-profiel verliezen of uw Twitter-account overgenomen door pornobots . Als 2FA beschikbaar is op een site die u gebruikt, profiteer er dan van.

kamala harris over misdaad en veiligheid

Als de reden waarom je 2FA nog niet hebt ingesteld, is dat je het te ingewikkeld vindt, raad ik je ten zeerste aan om het op zijn minst eens te proberen. De meeste sites hebben gedetailleerde, gemakkelijk te volgen instructies voor het instellen (meestal te vinden in het gedeelte Beveiliging van instellingen — hier is Facebook , bijvoorbeeld), het zijn maar een paar stappen, en dan is het gewoon een kwestie van een sms ontvangen of een authenticatie-app op je telefoon openen om toegang te krijgen tot je account. En als u uw login voor toekomstig gebruik opslaat, hoeft u dit maar één keer te doen.

3) Sla uw creditcardgegevens niet op in uw account

De reden waarom de hackers eten op mijn creditcard konden kopen, was omdat ik mijn creditcardgegevens op die rekeningen voor voedselbezorging had opgeslagen. Veel leveranciers waarbij u een account hebt, geven u de optie deze kaart op te slaan voor later, en ik raad u aan dit niet te doen.

Dit is niet altijd mogelijk — Uber vereist bijvoorbeeld dat je altijd een creditcard aan je account hebt gekoppeld. Maar waar u kunt voorkomen dat u uw kaart op uw account bewaart, zou u dat absoluut moeten doen. Ja, je moet elke keer dat je een bestelling plaatst of een aankoop doet je creditcardgegevens invoeren, maar dat is minder vervelend dan een reeks in paniek rakende e-mails sturen naar verschillende bezorgdiensten en je creditcardmaatschappij bellen in het midden van de nacht.

Uiteindelijk is geen van deze methoden onfeilbaar en deze lijst is niet uitputtend, maar ze zijn een geweldige plek om te beginnen. En geloof me, het is beter dan het alternatief. Doe wat ik zeg, niet zoals ik deed, en de volgende keer dat een hacker hunkert naar varkensvleesknoedels (met bieslook), zul jij niet degene zijn die de rekening betaalt.

Open source wordt mogelijk gemaakt door Omidyar Network. Alle open source content is redactioneel onafhankelijk en geproduceerd door onze journalisten.