背景:
我有一张Macys卡,有了很多年了。
事情经过:
10月19日,我收到Macys卡的提醒,有人用我的卡在Manhasset NY Macys消费几百买了被子,问是不是我。那必然不是啊。这第二笔交易被拦截了,但是第一笔几百已经approve了。我就打电话去Fraud Dept报Fraud,但是周末居然不上班
10月21日,打给Fraud Dept。信用卡Fraud当然很容易处理,立即说不需要我付,换卡,固定流程,几百也不是很多(比起TD被盗7万4),然后客服说,在卡到之前,你可以到Macys出示驾照,就可以刷这个卡消费。我立即警醒:Wait a second! 我知道为啥被盗刷了,和卡没关系,嫌犯有我的假驾照啊,就是这么刷的。客服就put了个note,我的账号,必须刷卡,不可以只用驾照。
分析:
术业有专攻,盗贼有诀窍···· 在Macys,出示驾照不需要卡,也可以刷卡,确实是第一次知道。
相关帖子:
走线的头头比我们更懂信用社会 
第一个帖子也分析了,主谋犯罪真的很可恶。
走线的人可能只是他们廉价的作案工具
谢谢楼主验证了我的一个长尾猜测…
大概就是很多人潜意识里也觉得保护好id,谷歌账号 手机号 邮箱这些MFA的key account 就差不多了
但是实际比如这里的TD不知道在哪的branch, macy卡被盗刷被fraud detection了居然还可以用id这些小的就防不胜防了
小的本身就草台+散 也导致了后续维权更困难之类的
看完了lz的4个帖子。。。真是多灾多难,chain of chaos.
想起之前出国前注销邮箱和很多网上账号,发现很多时候sign up简单,注销账号真是难上天,注销还没法verify网站/service provider确实在他们的database remove自己的info了。
it’s tough not to leave and clean fingerprints in the era of Internet. And the fingerprints are the pandora’s box that exposes vulnerability.
是的!!!!!这个也是我身边统计学user study发现的
还有个发现是其实很多人pwd manager里面往往还有身边亲朋好友的账户密码
这些本人早都忘了
就是其实有很多不知道/不可控的事情
楼主啥情况。。。好惨呀。。。
security就是这样一个eternal的catch and run的process,问题爆出来了才会想到怎么解决,我已经accept this as fact of life了
从商家角度出发,吸引new customer最重要,所以注册都设计得尽量简单,还可以绑定Google账号注册 for convenience(这其实有很严重的differential privacy的问题). 对商家而言,他们完全没有motivation提供一个简单方便,verifiable的注销方式,而常见的唯一的注销信息的动机就是data太多,maintain cost太高,所以直接删库跑路,比如网易相册。
lina khan 之前弄一个antitrust case就是为了解决cancel a subscription难的,可惜trump上台后这人要滚蛋了。。。我其实挺看好lina khan的,smart而且敢于找angle整big tech(虽然我屁股在big tech).
说的太好了!!
楼主是因为多次被重大盗号的特殊经历而被破格提拔为盾牌的么? 
或者法律法规要求。
国内没有法规要求的时候根本找不到注销账号的地方,时至今日,还有很多中小公司的产品不支持注销账号。
有了假驾照加上SSN,确实能直接盗用Macy的卡
是的,我觉得privacy尤其是注销账户信息,保护账户信息这种externality必须要gov监管才行,不过考虑到trump要是只想用doge实现小政府,就有点难。。。
不过话说回来,我觉得也不光是中小公司的问题。历史有个发展的过程,首先要come to existence, 然后才有security privacy的问题。发明网站/app的这个创新已经很不容易了,再苛责地要求他们一开始就想好security的问题确实不太合理。security本身还是个高级发展阶段才出现的问题,所以走一步看一步吧。。。。
我觉得美国有一个难得的优点:几乎任何邮件都可以unsubscribe。。所以看到junk/spam,我一般都去unsub一下,免得之后一直烦我(虽然我就因为这样,有次不小心自己把自己从学校的mail list删了一个学期,一个学期没收到学校的各种通知 
咦,(好像仿佛大概貌似没记错的话)这是MITBBS的小余大佬哎 
最近知道了CCPA这个东西,很多网站从最下面Privacy Policy点进去可以直接提交CCPA Request,或者至少可以找到一个邮箱用来发CCPA Request,很多情况下比直接找客服有用。
另外,如果是银行/Fintech一类的,Close Account和Delete Account又是两件事。如果确认不会在和这个机构打交道,且不再需要statement / tax doc,最好想办法Close Account之后Delete Account,或者Remove Online Access。
大佬算不上算不上,不过我确实是mitbbs money版小余版主
一口气看完了,多谢分享。
家里有6个人头,天天撸卡,撸checking,撸手机,真怕哪天轮到我。今年1月用3个人头搞了3张jetblue,是法拉盛地址,大约前后几天申请的,全部没收到卡,都是邮箱收到的激活邮件,过几天才发现的 。然后登入进去,都是在法拉盛华人餐馆大吃大喝的,每次3-500不等。
有unsub这个还得部分感谢gmail,他们要求加unsub链接,否则发多了直接block域名
话说回来点unsub其实不一定是好事,虽然unsub的这个网站基本不会再来烦你了,但你也告诉了对面的系统这个邮箱是live的,对面系统有一定几率把这个信息卖给其他人
吓人啊,最近清理清理不常用的账户
bless…希望不要再来更新第5篇了,我看得都奔溃了