Forskare utnyttjar GDPR-rädslor för att få privat information

0 3 minutes read
Forskare utnyttjar GDPR-rädslor för att få privat information

LAS VEGAS — EU: s allmänna dataskyddsförordning har nu varit landets lag i mer än ett år nu och det ger dig rätten att få tillgång till alla personuppgifter som ett företag eller annan enhet har om dig bland annat.

Black Hat Bug Art

Men hur kontrollerar företag att dessa dataförfrågningar är legitima? Vissa är inte, som forskaren James Pavur, en Rhodos-forskare vid Oxford University, visade här på Black Hat.

“Jag är bara här på grund av en satsning”, sa Pavur den här veckan. “Min förlovade och jag satt på en flygplatsgolv och klagade över bristen på platser och flygförseningar. Hon är en testare och hon tänkte hämnas på flygbolaget genom att slösa bort sin tid med en GDPR-begäran om integritet, precis som flygbolaget slösade bort vår tid. Jag sa, “Hej, jag slår vad om att de inte kommer att kontrollera vem begäran kom ifrån. Jag slår vad om att jag kunde stjäla din identitet.” Två månader senare hade jag en skattkista. “

Hacka lagen

“Jag närmade mig problemet genom att tänka på lagen som programvara”, sa Pavur. “Leta efter sårbarheter, hitta en dödskedja, beväpna en exploatering och exfiltrera data.”

Pavur påpekade fyra faktorer som gör GDPR sårbar: rädsla, tryck, tvetydighet och mänsklighet. Företag fruktar lagen eftersom överträdelser medför stora böter. De är under press eftersom lagen kräver svar på en begäran om åtkomst inom kort tid. Lagen är nödvändigtvis tvetydig eftersom den är ambitiös och försöker täcka ett brett utbud av företag. Och dessa faktorer påverkar de involverade människorna – människor med förmågan att skruva upp.

“Det är ett perfekt mål för socialteknik”, avslutade Pavur.

Pavur skapade ett något vagt brev, uppenbarligen från sin fästmö. För bevis på identitet använde han allmän information inklusive hennes fullständiga namn, ett falskt e-postmeddelande som såg ut som om det kunde vara hennes och hennes telefonnummer. Han skickade den till 150 stora organisationer som kanske hade hennes information och lutade sig tillbaka för att vänta.

Att sätta på trycket

De flesta av de organisationer som svarade bad om mer bevis på identitet, men han utnyttjade det faktum att de bara får be om “rimligt” bevis. En annonsspårningswebbplats som har information om dig kan inte rimligt begära att få se ditt pass.

Under hela processen använde han bara information som en främling kunde få. “Cirka 16 procent av de tillfrågade frågade om ID som jag trodde att jag kunde skapa,” sa Pavur, “men det gjorde jag inte. Tre eller fyra företag såg GDPR i brevet och raderade omedelbart hennes konto.”

Genom att stränga företagen, eller tillhandahålla identitetsdata svagare än begärt, ökade Pavur tidspresset. I många fall gynnade företagen och fortsatte inte ytterligare verifiering.

Från ett företag fick Pavur sin fästmö socialförsäkringsnummer, födelsedatum, mors flicknamn och gymnasieskolor. “Allt företaget bad om var hennes namn och e-post,” sa Pavur, “och webbplatsen föreslår att de har 10 miljoner konton.”

Från ett finansiellt företag fick han tio siffror på hennes kreditkort. Från ett hotspårningsföretag fick han användarnamn och lösenord till konton som hade brutits. Ett järnvägsföretag betjänade sin historia av tågresor, och en hotellkedja gav honom information om alla hennes besök.

Vad kan göras?

”Det här är helt klart oacceptabelt,” sa Pavur. “Vi måste göra sekretesslagar som uppnår deras direktiv. Det finns ett lagförslag i USA som i princip kopierar / klistrar in GDPR i amerikansk lag. Vi vill inte att GDPR ska bli en modell.”

Pavur föreslår att företag kräver att de som begär deras data loggar in. Om de inte kan be om ett körkort och outsourca verifiering av licensen om det behövs. Säg bara nej till skissiga GDPR-förfrågningar. Lagmän bör försäkra företag som avvisar legitima men skissiga förfrågningar inte biter dem.

En annan möjlighet är en tredjepartsverifieringstjänst. “Jag skickar inte mitt pass till skobutiken”, sa han. “Jag skickar den till en tjänst som verifierar mig till skobutiken.”

Individer måste vara proaktiva när det gäller datahygien. Han påpekade att du aldrig borde lita på kunskapsbaserad autentisering från oönskade telefonsamtal. “Även om någon ringer och vet om din hotellvistelse eller din tågresa, betyder det inte att de är legitima”, påpekade Pavur. “Kärnpunkten är att sekretesslagar bör förbättra integriteten och inte äventyra den.”

Tags
0 3 minutes read

Relaterade Artiklar

Kickstarter: The Travel Line: Mångsidig reserygsäck + förpackningsverktyg från Peak Design

Kickstarter: The Travel Line: Mångsidig reserygsäck + förpackningsverktyg från Peak Design

Regeringen utfärdar varning om spridning av 'Locky Ransomware'

Indien är en favorit för cyberattacker, säger israeliskt cybersäkerhetsföretag

Reliance Jio, Reliance Jio 4G Speeds, Reliance Jio TRAI 4G Speed, Reliance Jio vs Airtel 4G Speed, Top 4G operator, TRAI MySpeed, Airtel 4G Speed

Reliance Jio toppar diagrammet i 4G-nedladdningshastighet i mars, visar TRAI-rapporten

Honor tar V30, 9X Pro-smarttelefoner och MagicBook-bärbara datorer globalt

Honor tar V30, 9X Pro-smarttelefoner och MagicBook-bärbara datorer globalt

© Copyright 2023, All Rights Reserved  |  Hur man, Tekniska Nyheter, Handledningar, Android, Bloggrecensioner
Back to top button

Sekretessinställningar

 
Bestäm vilka kakor du vill tillata. Du kan ändra dessa inställningar när som helst. Detta kan dock leda till att vissa funktioner inte längre är tillgängliga. För information om hur du tar bort cookies, vänligen kontakta din webbläsares hjälpfunktion. Läs mer om de cookies vi använder.
 

Med reglaget kan du aktivera eller inaktivera olika typer av cookies:

Denna webbplats kommer att

  • Nödvändiga: Komma ihåg dina cookie-inställningar
  • Nödvändiga: Tillåta tillfälliga cookies
  • Nödvändiga: Samla in information som du lämnar i kontaktformulär, nyhetsbrev och andra formulär på alla sidor
  • Nödvändiga: Komma ihåg vad du lägger i en inköpskorg
  • Nödvändiga: Verifiera att du är inloggad i ditt användarkonto
  • Nödvändiga: Komma ihåg vilken språkversion du valt

Denna webbplats kommer inte att

  • Komma ihåg dina inloggningsuppgifter
  • Funktioner: Komma ihåg dina inställningar för sociala media
  • Funktioner: Komma ihåg vilken region och land du valt
  • Statistik: Komma ihåg vilka sidor du besökt och dina aktiviteter på dessa
  • Statistik: Komma ihåg din plats och region baserat på ditt IP-nummer
  • Statistik: Komma ihåg tiden du besökt varje sida
  • Statistik: Förbättra kvaliteten hos de statistiska funktionerna
  • Annonsering: Anpassa information och annonser baserat på exempelvis vilka sidor du tidigare besökt (för närvarande använder vi inte den typeder vi inte inriktning eller inriktning pa cookies)
  • Annonsering: Samla in personlig information såsom namn och plats

Denna webbplats kommer att

  • Nödvändiga: Komma ihåg dina cookie-inställningar
  • Nödvändiga: Tillåta tillfälliga cookies
  • Nödvändiga: Samla in information som du lämnar i kontaktformulär, nyhetsbrev och andra formulär på alla sidor
  • Nödvändiga: Komma ihåg vad du lägger i en inköpskorg
  • Nödvändiga: Verifiera att du är inloggad i ditt användarkonto
  • Nödvändiga: Komma ihåg vilken språkversion du valt
  • Funktioner: Komma ihåg dina inställningar för sociala media
  • Funktioner: Komma ihåg vilken region och land du valt

Denna webbplats kommer inte att

  • Statistik: Komma ihåg vilka sidor du besökt och dina aktiviteter på dessa
  • Statistik: Komma ihåg din plats och region baserat på ditt IP-nummer
  • Statistik: Komma ihåg tiden du besökt varje sida
  • Statistik: Förbättra kvaliteten hos de statistiska funktionerna
  • Annonsering: Anpassa information och annonser baserat på exempelvis vilka sidor du tidigare besökt (för närvarande använder vi inte den typen av cookies)
  • Annonsering: Samla in personlig information såsom namn och plats

Denna webbplats kommer att

  • Nödvändiga: Komma ihåg dina cookie-inställningar
  • Essential: Tillåta tillfälliga cookies
  • Nödvändiga: Samla in information som du lämnar i kontaktformulär, nyhetsbrev och andra formulär på alla sidor
  • Nödvändiga: Komma ihåg vad du lägger i en inköpskorg
  • Nödvändiga: Verifiera att du är inloggad i ditt användarkonto
  • Nödvändiga: Komma ihåg vilken språkversion du valt
  • Funktioner: Komma ihåg dina inställningar för sociala media
  • Funktioner: Komma ihåg vilken region och land du valt
  • Statistik: Komma ihåg vilka sidor du besökt och dina aktiviteter på dessa
  • Statistik: Komma ihåg din plats och region baserat på ditt IP-nummer
  • Statistik: Komma ihåg tiden du besökt varje sida
  • Statistik: Förbättra kvaliteten hos de statistiska funktionerna

Denna webbplats kommer inte att

  • Annonsering: Anpassa information och annonser baserat på exempelvis vilka sidor du tidigare besökt (för närvarande använder vi inte den typen av cookies)
  • Annonsering: Samla in personlig information såsom namn och plats

Denna webbplats kommer att

  • Funktioner: Komma ihåg dina inställningar för sociala media
  • Funktioner: Komma ihåg vilken region och land du valt
  • Statistik: Komma ihåg vilka sidor du besökt och dina aktiviteter på dessa
  • Statistik: Komma ihåg din plats och region baserat på ditt IP-nummer
  • Statistik: Komma ihåg tiden du besökt varje sida
  • Statistik: Förbättra kvaliteten hos de statistiska funktionerna
  • Annonsering: Anpassa information och annonser baserat på exempelvis vilka sidor du tidigare besökt (för närvarande använder vi inte den typeder vi inte inriktning eller inriktning pa cookies)
  • Annonsering: Samla in personlig information såsom namn och plats

Denna webbplats kommer inte att

  • Komma ihåg dina inloggningsuppgifter
Spara och stäng