Forskare utnyttjar GDPR-rÀdslor för att fÄ privat information

Forskare utnyttjar GDPR-rÀdslor för att fÄ privat information

LAS VEGAS — EU: s allmĂ€nna dataskyddsförordning har nu varit landets lag i mer Ă€n ett Ă„r nu och det ger dig rĂ€tten att fĂ„ tillgĂ„ng till alla personuppgifter som ett företag eller annan enhet har om dig bland annat.

Black Hat Bug Art

Men hur kontrollerar företag att dessa dataförfrÄgningar Àr legitima? Vissa Àr inte, som forskaren James Pavur, en Rhodos-forskare vid Oxford University, visade hÀr pÄ Black Hat.

“Jag Ă€r bara hĂ€r pĂ„ grund av en satsning”, sa Pavur den hĂ€r veckan. “Min förlovade och jag satt pĂ„ en flygplatsgolv och klagade över bristen pĂ„ platser och flygförseningar. Hon Ă€r en testare och hon tĂ€nkte hĂ€mnas pĂ„ flygbolaget genom att slösa bort sin tid med en GDPR-begĂ€ran om integritet, precis som flygbolaget slösade bort vĂ„r tid. Jag sa, “Hej, jag slĂ„r vad om att de inte kommer att kontrollera vem begĂ€ran kom ifrĂ„n. Jag slĂ„r vad om att jag kunde stjĂ€la din identitet.” TvĂ„ mĂ„nader senare hade jag en skattkista. “

Hacka lagen

“Jag nĂ€rmade mig problemet genom att tĂ€nka pĂ„ lagen som programvara”, sa Pavur. “Leta efter sĂ„rbarheter, hitta en dödskedja, bevĂ€pna en exploatering och exfiltrera data.”

Pavur pĂ„pekade fyra faktorer som gör GDPR sĂ„rbar: rĂ€dsla, tryck, tvetydighet och mĂ€nsklighet. Företag fruktar lagen eftersom övertrĂ€delser medför stora böter. De Ă€r under press eftersom lagen krĂ€ver svar pĂ„ en begĂ€ran om Ă„tkomst inom kort tid. Lagen Ă€r nödvĂ€ndigtvis tvetydig eftersom den Ă€r ambitiös och försöker tĂ€cka ett brett utbud av företag. Och dessa faktorer pĂ„verkar de involverade mĂ€nniskorna – mĂ€nniskor med förmĂ„gan att skruva upp.

“Det Ă€r ett perfekt mĂ„l för socialteknik”, avslutade Pavur.

Pavur skapade ett nÄgot vagt brev, uppenbarligen frÄn sin fÀstmö. För bevis pÄ identitet anvÀnde han allmÀn information inklusive hennes fullstÀndiga namn, ett falskt e-postmeddelande som sÄg ut som om det kunde vara hennes och hennes telefonnummer. Han skickade den till 150 stora organisationer som kanske hade hennes information och lutade sig tillbaka för att vÀnta.

Att sÀtta pÄ trycket

De flesta av de organisationer som svarade bad om mer bevis pĂ„ identitet, men han utnyttjade det faktum att de bara fĂ„r be om “rimligt” bevis. En annonsspĂ„rningswebbplats som har information om dig kan inte rimligt begĂ€ra att fĂ„ se ditt pass.

Under hela processen anvĂ€nde han bara information som en frĂ€mling kunde fĂ„. “Cirka 16 procent av de tillfrĂ„gade frĂ„gade om ID som jag trodde att jag kunde skapa,” sa Pavur, “men det gjorde jag inte. Tre eller fyra företag sĂ„g GDPR i brevet och raderade omedelbart hennes konto.”

Genom att strÀnga företagen, eller tillhandahÄlla identitetsdata svagare Àn begÀrt, ökade Pavur tidspresset. I mÄnga fall gynnade företagen och fortsatte inte ytterligare verifiering.

FrĂ„n ett företag fick Pavur sin fĂ€stmö socialförsĂ€kringsnummer, födelsedatum, mors flicknamn och gymnasieskolor. “Allt företaget bad om var hennes namn och e-post,” sa Pavur, “och webbplatsen föreslĂ„r att de har 10 miljoner konton.”

FrÄn ett finansiellt företag fick han tio siffror pÄ hennes kreditkort. FrÄn ett hotspÄrningsföretag fick han anvÀndarnamn och lösenord till konton som hade brutits. Ett jÀrnvÀgsföretag betjÀnade sin historia av tÄgresor, och en hotellkedja gav honom information om alla hennes besök.

Vad kan göras?

”Det hĂ€r Ă€r helt klart oacceptabelt,” sa Pavur. “Vi mĂ„ste göra sekretesslagar som uppnĂ„r deras direktiv. Det finns ett lagförslag i USA som i princip kopierar / klistrar in GDPR i amerikansk lag. Vi vill inte att GDPR ska bli en modell.”

Pavur föreslÄr att företag krÀver att de som begÀr deras data loggar in. Om de inte kan be om ett körkort och outsourca verifiering av licensen om det behövs. SÀg bara nej till skissiga GDPR-förfrÄgningar. LagmÀn bör försÀkra företag som avvisar legitima men skissiga förfrÄgningar inte biter dem.

En annan möjlighet Ă€r en tredjepartsverifieringstjĂ€nst. “Jag skickar inte mitt pass till skobutiken”, sa han. “Jag skickar den till en tjĂ€nst som verifierar mig till skobutiken.”

Individer mĂ„ste vara proaktiva nĂ€r det gĂ€ller datahygien. Han pĂ„pekade att du aldrig borde lita pĂ„ kunskapsbaserad autentisering frĂ„n oönskade telefonsamtal. “Även om nĂ„gon ringer och vet om din hotellvistelse eller din tĂ„gresa, betyder det inte att de Ă€r legitima”, pĂ„pekade Pavur. “KĂ€rnpunkten Ă€r att sekretesslagar bör förbĂ€ttra integriteten och inte Ă€ventyra den.”