A GDPR felhasználása adatlopáshoz?
Szerző: TCI Olvasási idő: 1 perc
Az Oxford Egyetem egy PhD-s kutatója úgy találta, hogy túl sok cég ad ki úgy személyes adatot ügyfeleiről a GDPR által meghatározott "Hozzáférési jog" alapján benyújtott adatkérésekre válaszul, hogy az adatkérelmező személyét egyáltalán nem, vagy nem megfelelően ellenőrzi.
James
Pavur a menyasszonyát megszemélyesítve küldött adatkéréseket összesen 150
egyesült királyságbeli és amerikai vállalatnak.
Az első 75 esetben csupán olyan
adatokkal igazolta a személyazonosságot, amelyek online publikusan elérhetőek
voltak, például a hölgy neve, e-mail címe, telefonszámai ─ amelyre válaszul
egyes cégek kiadták a teljes lakcímét. A kutató ezt felhasználva kereste fel a
maradék 75 céget, amelyek közül egyesek már a menyasszonya személyi számát,
korábbi otthoni címeit, iskolai eredményeit is közölték, sőt, a hitelkártya
számát is képes volt ily módon megszerezni.
Pavur nem hozta nyilvánosságra,
hogy mely cégek dőltek be a csaló adatkéréseknek, ám megnevezett néhányat ─
Tesco, Bed Bath and Beyond, American Airlines ─, akik helyesen megtagadták az
adatközlést. Mindazonáltal a megkérdezett cégek negyede egyből, 16%-a pedig egy
könnyen kitalálható személyes adat megadása után ─ ezt a kutató szándékosan nem
pontosította ─ adta ki az információt. Csupán 39% kért erős azonosítást, míg
13% gyakorlatilag teljesen figyelmen kívül hagyta az adatkérést.
A kutató felhívja a figyelmet a veszélyre, hogy az általa demonstrált csalási mód könnyen automatizálható, ezáltal tömeges adatgyűjtésre is módot adhat, mivel az olyan személyes információkat, mint a családi név és az e-mail cím rengetegen teszik nyilvánosan elérhetővé.
A Black Hat 2019 konferencián tartott előadásának prezentációja, valamint az esetről készített tanulmány itt érhető el.
Adatszolgáltatás előtt minden esetben meg kell győződni az adatkérő jogosultságáról és személyazonosságáról.