Peneliti Mengeksploitasi Ketakutan GDPR untuk Mendapatkan Data Pribadi

2 3 minutes read

LAS VEGAS — Regulasi Perlindungan Data Umum UE kini telah menjadi hukum negara itu selama lebih dari satu tahun sekarang, dan memberikan Anda hak untuk mengakses data pribadi apa pun yang dimiliki perusahaan atau entitas lain tentang Anda, di antaranya.

Black Hat Bug Art "border =" 0 "class =" left "src =" https://assets.pcmag.com/media/images/436316-black-hat-bug-art.jpg?thumb=y&width=980&height= 85Tetapi bagaimana perusahaan memverifikasi bahwa permintaan data itu sah? Beberapa tidak, sebagaimana peneliti James Pavur, seorang Rhodes Scholar di Universitas Oxford, menunjukkan di sini di Black Hat.

"Aku hanya di sini karena taruhan," kata Pavur minggu ini. "Tunangan saya dan saya duduk di lantai bandara, menggerutu tentang kurangnya kursi dan keterlambatan pesawat. Dia seorang pen-tester, dan dia berpikir untuk membalas dendam kecil pada maskapai dengan membuang-buang waktu dengan permintaan privasi GDPR, seperti halnya maskapai membuang-buang waktu kami. Saya berkata, "Hei, saya yakin mereka tidak akan memeriksa dari siapa permintaan itu berasal. Saya yakin saya bisa mencuri identitas Anda." Dua bulan kemudian, saya memiliki harta karun. "

Meretas Hukum

"Saya mendekati masalah dengan memikirkan hukum sebagai perangkat lunak," kata Pavur. "Cari kerentanan, temukan rantai pembantaian, persenjataan eksploit, dan peras data."

Pavur menunjukkan empat faktor yang membuat GDPR rentan: ketakutan, tekanan, ambiguitas, dan kemanusiaan. Perusahaan takut akan hukum karena pelanggaran datang dengan denda besar. Mereka berada di bawah tekanan karena undang-undang mengharuskan respons terhadap permintaan akses dalam waktu singkat. Undang-undang itu tentu ambigu karena ambisius, berusaha mencakup beragam bisnis. Dan faktor-faktor ini mempengaruhi manusia yang terlibat — manusia dengan kapasitas untuk gagal.

"Ini target sempurna untuk rekayasa sosial," simpul Pavur.

Pavur membuat surat yang agak kabur dari tunangannya. Untuk bukti identitas, dia menggunakan informasi publik termasuk nama lengkapnya, email palsu yang kelihatannya miliknya, dan nomor teleponnya. Dia mengirimnya ke 150 organisasi besar yang mungkin memiliki informasi, dan duduk kembali untuk menunggu.

Menempatkan Tekanan

Sebagian besar organisasi yang merespons meminta lebih banyak bukti identitas, tetapi ia mengambil keuntungan dari fakta bahwa mereka hanya diizinkan untuk meminta bukti "masuk akal". Situs pelacakan iklan yang memiliki data tentang Anda tidak dapat secara wajar meminta untuk melihat paspor Anda.

Sepanjang proses ini, ia hanya menggunakan informasi yang bisa didapatkan oleh orang asing. "Sekitar 16 persen responden meminta kartu identitas yang saya pikir bisa saya tempa," kata Pavur, "tetapi saya tidak melakukannya. Tiga atau empat perusahaan melihat GDPR dalam surat itu dan segera menghapus akunnya."

Dengan merangkai perusahaan, atau memasok data identitas yang lebih lemah dari yang diminta, Pavur menambah tekanan waktu. Dalam banyak kasus, perusahaan menyerah dan tidak melakukan verifikasi lebih lanjut.

Dari satu perusahaan, Pavur memperoleh nomor Jaminan Sosial tunangannya, tanggal lahir, nama gadis ibu, dan nilai sekolah menengah. "Semua yang diminta perusahaan adalah nama dan emailnya," kata Pavur, "dan situs web itu menyatakan mereka memiliki 10 juta akun."

Dari sebuah perusahaan keuangan dia mendapat 10 digit kartu kreditnya. Dari perusahaan pelacak ancaman, dia memasukkan nama pengguna dan kata sandi ke akun yang telah dilanggar. Sebuah perusahaan kereta api menyajikan sejarah perjalanannya dengan kereta api, dan jaringan hotel memberinya informasi tentang semua kunjungannya.

Apa yang bisa dilakukan?

"Jelas ini tidak bisa diterima," kata Pavur. "Kita perlu membuat undang-undang privasi yang mencapai arahan mereka. Ada undang-undang di AS yang pada dasarnya menyalin / menempel GDPR ke dalam undang-undang AS. Kami tidak ingin GDPR menjadi model."

Pavur menyarankan agar perusahaan meminta mereka yang meminta data mereka untuk masuk. Jika tidak bisa, mintalah SIM, dan lakukan outsourcing verifikasi lisensi jika perlu. Juga, katakan saja tidak untuk membuat sketsa permintaan GDPR. Pengacara harus meyakinkan perusahaan bahwa menolak permintaan yang sah tetapi tidak akan menggigit mereka.

Kemungkinan lain adalah layanan verifikasi pihak ketiga. "Aku tidak mengirim pasporku ke toko sepatu," katanya. "Saya mengirimkannya ke layanan yang memverifikasi saya ke toko sepatu."

Individu harus proaktif tentang kebersihan data. Dia menunjukkan bahwa Anda tidak boleh mempercayai otentikasi berbasis pengetahuan dari panggilan telepon yang tidak diminta. "Bahkan jika seseorang menelepon dan tahu tentang menginap di hotel atau perjalanan kereta Anda, itu tidak berarti mereka sah," Pavur menunjukkan. "Intinya adalah bahwa undang-undang privasi harus meningkatkan privasi, bukan membahayakannya."


Tags
2 3 minutes read

Pos terkait

Google telah mengubah Pencarian Gambar menjadi pasar online

Google telah mengubah Pencarian Gambar menjadi pasar online

Chandrayaan-2, Vikram Lander, ISRO chief K Sivan, gaganyaan mission, lander communication, India Moon mission, Indian express

Chandrayaan-2: Belum ada komunikasi dengan pendarat, prioritas berikutnya adalah Gaganyaan, kata kepala ISRO

Isyarat tersembunyi yang tidak Anda ketahui tentang menjadikan peralihan akun Google menjadi jauh lebih mudah

Google Maps baru saja mendapatkan fitur baru yang jauh melampaui navigasi

Huawei Mate 30 Pro will launch on September 19, Google-branded apps still unknown

Huawei Mate 30 Pro akan diluncurkan pada 19 September, aplikasi bermerek Google masih belum diketahui

© Copyright 2022, All Rights Reserved  |  Tin tức và Phân tích Của tất cả các Thiết bị di động
Back to top button