Истражувачите го искористуваат стравот од ГДП од добивање лични податоци

ЛАС ВЕГАС – Општата регулатива за заштита на податоците на ЕУ сега е закон на земјата повеќе од една година и ви дава право да пристапите до личните податоци што секоја компанија или друг субјект ги има за вас, вклучително и.

Уметничка бубачка во црна капа Но, како компанијата потврдува дека барањето за податоци е легитимно? Некои не го сметаат овде истражувачот Jamesејмс Паврур, Родус стипендист од Универзитетот Оксфорд, во Блек Хет.

„Јас сум тука само заради обложување“, рече Павру оваа недела. “Мојот вереник и јас седнавме на подот на аеродромот, се скаравме за недостаток на места и одложувања на авионите. Тој беше тестер и тој мислеше да одмазди на авиокомпанијата трошејќи време со барања за приватност на GDPR, исто како што и авиокомпанијата губеше време реков, „Еј, сигурен сум дека нема да проверат од каде потекнува барањето. Сигурен сум дека можам да го украдам вашиот идентитет. „Два месеци подоцна, имам богатство“.

Хакирајте го законот

„Му приоѓам на проблемот размислувајќи за законот како софтвер“, рече Павур. „Барајте слабости, најдете синџири за колење, искористете го оружјето и исцедете ги податоците“.

Павур посочува четири фактори што го прават БДПР ранлив: страв, притисок, двосмисленост и хуманост. Компаниите се плашат од законот затоа што прекршувањата доаѓаат со големи казни. Тие се под притисок бидејќи законот бара одговор за барањата за пристап за кратко време. Законот е секако двосмислен бидејќи е амбициозен, обидувајќи се да опфати разновидни бизниси. И овие фактори влијаат врз вклучените луѓе – луѓето со капацитет да пропаднат.

„Ова е совршена цел за социјалниот инженеринг“, заклучи Павур.

Павур упати прилично нејасно писмо од својот вереник. За доказ за идентитет, тој користи јавни информации, вклучувајќи го и неговото полно име, лажна е-пошта што се чини дека е негова, и неговиот телефонски број. Тој го испрати до 150 големи организации што може да имаат информации и седна да чека.

Поставување притисок

Повеќето организации што реагираат бараат повеќе доказ за идентитетот, но тие го искористуваат фактот дека им е дозволено само да побараат докази што „имаат смисла“. Сајтовите за следење на реклами кои имаат податоци за вас не можат разумно да побараат да го видат пасошот.

Во текот на овој процес, тој користи само информации што можат да ги добијат странците. „Околу 16 проценти од испитаниците побараа лична карта за која мислев дека можам да ја градам“, рече Павур, „но не го сторив тоа. Три или четири компании го видоа БДПР во писмото и веднаш ја избришаа својата сметка“.

Со собирање компании, или доставување податоци за идентитет што се послаби од бараните, Павур додава временски притисок. Во многу случаи, компаниите се откажаа и не направија дополнителна проверка.

Од една компанија, Павур го добил бројот на социјалното осигурување на својата вереница, датумот на раѓање, името на мајка девојка и одделенијата за средно училиште. „Целата компанија бара е нивното име и е-пошта“, рече Павур, „а на веб-страницата се наведува дека имаат 10 милиони сметки“.

Од финансиска компанија тој доби 10-цифрени кредитни картички. Од компанијата за следење закани, тој внесува кориснички имиња и лозинки на сметки што биле повредени. Companyелезничката компанија ја претставува историјата на своето патување со воз, а хотелскиот ланец му дал информации за сите негови посети.

Што може да се направи?

„Очигледно тоа не е прифатливо“, рече Павр. „Треба да донесеме закони за приватност што ќе достигнат нивна насока. Постојат закони во САД кои во основа копираат / залепат БДПР во американскиот закон. Не сакаме БДПР да стане модел.“

Павур предложи компанијата да побара од оние што побарале да ги внесат своите податоци. Ако не можете, побарајте СИМ-картичка и доколку е потребно, снабдете ја верификацијата за лиценцата. Исто така, само кажете не за да ги скицирате барањата на GDPR. Адвокатите мора да ги убедат компаниите кои одбиваат легитимни барања, но нема да ги каснат.

Друга можност е услуга за верификација на трети лица. „Не го испратив пасошот во продавницата за чевли“, рече тој. „Јас го испратив на услуга што ме верификуваше во продавница за чевли“.

Поединците мора да бидат проактивни за чистотата на податоците. Тој посочува дека не треба да верувате во автентикација базирана на знаење од несакани телефонски повици. „Дури и ако некој се јави и знае да остане во вашиот хотел или патување со воз, тоа не значи дека тие се легитимни“, истакна Павур. „Поентата е дека законите за приватност мора да ја зголемат приватноста, а не да ја загрозуваат“.