A GDPR felhasználása adatlopáshoz?

             Szerző: TCI                                             Olvasási idő: 1 perc

Az Oxford Egyetem egy PhD-s kutatója úgy találta, hogy túl sok cég ad ki úgy személyes adatot ügyfeleiről a GDPR által meghatározott "Hozzáférési jog" alapján benyújtott adatkérésekre válaszul, hogy az adatkérelmező személyét egyáltalán nem, vagy nem megfelelően ellenőrzi.

James Pavur a menyasszonyát megszemélyesítve küldött adatkéréseket összesen 150 egyesült királyságbeli és amerikai vállalatnak.

Az első 75 esetben csupán olyan adatokkal igazolta a személyazonosságot, amelyek online publikusan elérhetőek voltak, például a hölgy neve, e-mail címe, telefonszámai ─ amelyre válaszul egyes cégek kiadták a teljes lakcímét. A kutató ezt felhasználva kereste fel a maradék 75 céget, amelyek közül egyesek már a menyasszonya személyi számát, korábbi otthoni címeit, iskolai eredményeit is közölték, sőt, a hitelkártya számát is képes volt ily módon megszerezni.

Pavur nem hozta nyilvánosságra, hogy mely cégek dőltek be a csaló adatkéréseknek, ám megnevezett néhányat ─ Tesco, Bed Bath and Beyond, American Airlines ─, akik helyesen megtagadták az adatközlést. Mindazonáltal a megkérdezett cégek negyede egyből, 16%-a pedig egy könnyen kitalálható személyes adat megadása után ─ ezt a kutató szándékosan nem pontosította ─ adta ki az információt. Csupán 39% kért erős azonosítást, míg 13% gyakorlatilag teljesen figyelmen kívül hagyta az adatkérést.

A kutató felhívja a figyelmet a veszélyre, hogy az általa demonstrált csalási mód könnyen automatizálható, ezáltal tömeges adatgyűjtésre is módot adhat, mivel az olyan személyes információkat, mint a családi név és az e-mail cím rengetegen teszik nyilvánosan elérhetővé.

A Black Hat 2019 konferencián tartott előadásának prezentációja, valamint az esetről készített tanulmány itt érhető el.


Adatszolgáltatás előtt minden esetben meg kell győződni az adatkérő jogosultságáról és személyazonosságáról.

Hasznosnak találta? Olvassa rendszeresen további cikkeinket a Watchdog Blogon, vagy ajánlja ismerősének!


Segítségre van szüksége cége adatvédelmi megfelelőségét illetően?

Az alábbi gombra kattintva kapcsolatba léphet velünk!