Az Oxford Egyetem egy PhD-s kutatója úgy találta, hogy túl sok cég ad ki úgy személyes adatot ügyfeleiről a GDPR által meghatározott „Hozzáférési jog” alapján benyújtott adatkérésekre válaszul, hogy az adatkérelmező személyét egyáltalán nem, vagy nem megfelelően ellenőrzi. James Pavur a menyasszonyát megszemélyesítve küldött adatkéréseket összesen 150 egyesült királyságbeli és amerikai vállalatnak. Az első 75 esetben csupán olyan adatokkal igazolta a személyazonosságot, amelyek online publikusan elérhetőek voltak, például a hölgy neve, e-mail címe, telefonszámai ─ amelyre válaszul egyes cégek kiadták a teljes lakcímét. A kutató ezt felhasználva kereste fel a maradék 75 céget, amelyek közül egyesek már a menyasszonya személyi számát, korábbi otthoni címeit, iskolai eredményeit is közölték, sőt, a hitelkártya számát is képes volt ily módon megszerezni. Pavur nem hozta nyilvánosságra, hogy mely cégek dőltek be a csaló adatkéréseknek, ám megnevezett néhányat ─ Tesco, Bed Bath and Beyond, American Airlines ─, akik helyesen megtagadták az adatközlést. Mindazonáltal a megkérdezett cégek negyede egyből, 16%-a pedig egy könnyen kitalálható személyes adat megadása után ─ ezt a kutató szándékosan nem pontosította ─ adta ki az információt. Csupán 39% kért erős azonosítást, míg 13% gyakorlatilag teljesen figyelmen kívül hagyta az adatkérést. A kutató felhívja a figyelmet a veszélyre, hogy az általa demonstrált csalási mód könnyen automatizálható, ezáltal tömeges adatgyűjtésre is módot adhat, mivel az olyan személyes információkat, mint a családi név és az e-mail cím rengetegen teszik nyilvánosan elérhetővé. A Black Hat 2019 konferencián tartott előadásának prezentációja, valamint az esetről készített tanulmány itt érhető el.
Úgy tűnik a GDPR-t is fel lehet használni adatlopáshoz
2019. augusztus 12. 15:15
