Uspešne prevare: GDPR, uredbo o varovanju zasebnosti zlahka izkoriščajo tudi za - razkritje osebnih podatkov

Evropsko splošno uredbo o varovanju podatkov - GDPR, ki naj bi ščitila osebne podatke je vendarle mogoče uporabiti tudi za - nezakonit dostop do osebnih podatkov.

To je razkril poseben eksperiment, ki je z uporabo tega zakona dokazal, da je mogoče s to uredbo doseči tudi popolnoma nasprotni učinek.

Približno eno od štirih podjetij je razkrilo osebne podatke o ženski zaročenca, ki je s citiranjem evropske uredbe o zasebnosti in varstvu podatkov lažno povpraševal po informacijah, ki mu sicer ne bi smele biti predane.

Some companies collect more detailed personal data than what you actively share publicly.

Make sure you control the data you share on online platforms.

Learn more about your rights → https://t.co/TT47sGJJV0 #GDPR #DataProtection pic.twitter.com/t1rAiXvJaZ

— European Commission (@EU_Commission) 19 August 2019

Gre za enega prvih tovrstnih testov za izkoriščanje splošne uredbe EU o varstvu podatkov (GDPR), ki je začela veljati maja 2018.

Uredba je skrajšala čas, v katerem se morajo organizacije, ki zbirajo osebne podatke odzvati na zahteve po podatkih, dodala nove vrste informacij, ki jih morajo izdati in povečala morebitno kazen zaradi neupoštevanja predpisov.

Raziskovalec z univerze v Oxfordu James Pavur je svoje ugotovitve predstavil na konferenci Black Hat (Črni klobuk) v Las Vegasu. Obiskujejo jo tudi številni programerji in hekerji.

Varnostni strokovnjak je v okviru eksperimenta stopil v stik z desetimi podjetji iz Združenega kraljestva in ZDA, da bi preizkusil, kako bodo ravnali s prošnjo za pravico do dostopa, ki je bila vložena v imenu nekoga drugega.

V vsakem primeru je zahteval vse podatke, ki jih hranijo o njegovi zaročenki.

V enem primeru so bili v odziv vključeni celo rezultati preverjanja kriminalne dejavnosti. Drugi odgovori so vsebovali podatke o kreditni kartici, podatke o potovanjih, prijave in gesla za internetne račune ter celotno številko socialnega zavarovanja v ZDA.

"Na splošno, če je šlo za izjemno veliko podjetje – predvsem tehnološko – so se ponavadi dobro odrezali," je povedal Pavur za BBC.

"Majhna podjetja so me običajno ignorirala. Toda srednje velikim podjetjem, ki so vedela za GDPR, a morda niso imela specializiranega procesa za obravnavo zahtev, je spodletelo," je dodal.

James Pavur ni želel razkriti imena organizacij, ki so prošnje napačno obravnavale, vendar je dejal, da so med njimi bili hotelska veriga v Veliki Britaniji, ki je delila popoln zapis o prenočitvah njegove zaročenke, dve britanski železniški družbi, ki sta zagotovili zapise o vseh potovanjih, ki jih je zaročenka opravila v zadnjih nekaj letih, ter izobraževalno podjetje s sedežem v ZDA, ki je izročilo srednješolske ocene, dekliški priimek matere in rezultate kriminalistične raziskave.

Tech firms must give up their awkward secret: Humans https://t.co/ftrhPvJ2Pr #GDPR

— CorrickWales (@corrickwales) 24 August 2019

James Pavur je kljub temu imenoval nekaj podjetij, za katera je dejal, da so bila uspešna.

Med njimi so bili britanski supermarket Tesco, ki je zahteval osebni dokument, trgovska veriga Bed Bath and Beyond, ki je vztrajala pri telefonskem razgovoru, in American Airlines, kjer so opazili, da je na polje potnega lista na spletnem obrazcu naložil prazno sliko.

En neodvisni strokovnjak je dejal, da so ugotovitve "resnično zaskrbljujoče".

"Pošiljanje osebnih podatkov nekoga napačni osebi je prav tako kršitev podatkov kakor je puščanje nešifriranega USB ključa na neznanem mestu ali pozabljanje zaupnih papirjev," je dejal dr. Steven Murdoch z University College London.

Zaročenka raziskovalca mu je sicer dala dovoljenje za izvajanje testov in pripomogla k zapisu ugotovitev, sicer pa v operaciji ni sodelovala.

Za dopisovanje je zato raziskovalec svoji partnerki ustvaril ponarejen elektronski naslov. V spremnem pismu je napisal, da ima prejemnik v skladu z GDPR en mesec, da odgovori.

Napadi so bili izvedeni v dveh valovih.

Za prvo polovico organizacij, na katere se je obrnil, je uporabil le zgoraj opisane podatke. Toda za drugo serijo je uporabil osebne podatke, ki jih je razkrila prva skupina za odgovore na nadaljnja vprašanja.

Kids...#dataprivacy #GDPR

credit to:@andertoons pic.twitter.com/uJz0v2if52

— Tempest SI (@Tempest_SI) 23 August 2019

Njegova ideja je bila ponoviti vrsto napada, ki bi ga lahko izvedel kdorkoli, začenši le s podrobnostmi, ki jih najdemo na osnovni strani LinkedIn ali drugem spletnem javnem profilu.

Če je organizacija zaprosila za "močen" osebni dokument kot dokaz - na primer potni list ali skeniranje vozniških dovoljenj - je to zahtevo gospod Pavur zavrnil.

Vendar je skušal podjetja prepričati, da sprejmejo dokumente, ki bi jih bilo teoretično zlahka ponarediti, le da jih je v tem primeru dobil od svoje zaročenke.

Ko je en železniški operater zaprosil za fotokopijo potnega lista, ga je Pavur prepričal, da naj namesto tega sprejme ovojnico s poštnim žigom, ki je bila naslovljena na "žrtev".

V drugem primeru se je podjetje za kibernetsko varnost strinjalo s sprejemom fotografije bančnega izpiska, ki je bil spremenjen tako, da sta bili edini vidni informaciji na njem ime in naslov tarče.

Včasih je bila taka prevara nepotrebna. Eno podjetje za spletne igre je namreč zaprosilo za geslo računa vlagatelja. Ko jim je povedal, da je geslo pozabil, so mu kljub temu razkrili osebne podatke njegove zaročenke, ne da bi zahteval alternativno preverjanje.

James Pavur je dejal, da je bilo skupaj izpostavljenih 60 različnih osebnih podatkov o njegovem dekletu. Ti vključujejo seznam preteklih nakupov, 10 številk njene številke kreditne kartice, datum poteka in izdajatelja, ter njene pretekle in sedanje naslove.

#Privacy campaigners warn of UK #facialrecognition 'epidemic' - The @Guardian https://t.co/VUWXSpVPPF #GDPR #dataprotection@dez_blanchfield @evankirstel @cybersecboardrm @sarbjeetjohal @TopCyberNews @thomaspower @Kevin_Jackson @imoyse @DT @NeilCattermull @NigelTozer @PVynckier pic.twitter.com/ULBhozPffJ

— Bill Mew (@BillMew) 18 August 2019

Poleg tega je eno obveščevalno podjetje, ki se ukvarja s spletnimi grožnjami posredovalo evidenco o uporabniških imenih in geslih, ki jih je hranilo v imenu njegove zaročenke. Ta imena in gesla so še zmeraj delovala na vsaj 10 spletnih storitvah, saj je iste podatke uporabljala za več spletnih mest.

Na splošno je od 83 podjetij, za katere je raziskovalec vedel, da imajo podatke o njegovi partnerici, raziskava med tistimi, na katere je naslovil svoje priošnje glede dostopa do podatkov pokazala, da je:

24 % poslalo osebne podatke brez preverjanja identitete prosilca

16 % zahtevalo z lahkoto ponarejeno vrsto osebnega dokumenta, ki ga ni priložil

39 % vprašalo za "močno" vrsto osebnega dokumenta

5  % povedalo, da nimajo podatkov o osebi, čeprav je imela pri njih zaročenka račun

3  % narobe razumelo zahtevo in dejalo, da so izbrisali vse njene podatke

13 % zahteve v celoti ignoriralo.