الأخبار التكنولوجية والاستعراضات والنصائح!

الباحث يستغل مخاوف الناتج المحلي الإجمالي للحصول على بيانات خاصة

LAS VEGAS – أصبحت اللائحة العامة لحماية البيانات في الاتحاد الأوروبي هي قانون الأرض منذ أكثر من عام الآن ، وتمنحك الحق في الوصول إلى أي بيانات شخصية تمتلكها شركة أو كيان آخر عنك ، من بين أشياء أخرى.

Black Hat Bug Art "border =" 0 "class =" left "src =" https://assets.pcmag.com/media/images/436316-black-hat-bug-art.jpg؟thumb=y&width=980&height= 85ولكن كيف تتحقق الشركات من أن طلبات البيانات هذه مشروعة؟ البعض ليس كذلك ، كما أظهر الباحث جيمس بافور ، باحث رودس في جامعة أكسفورد ، في بلاك هات.

قال بافور هذا الأسبوع: "أنا هنا فقط بسبب رهان". "كنت أنا وخطيبتي جالسين على أرض المطار ، متذمرين من قلة المقاعد وتأخر الطائرة. إنها اختبار القلم ، وفكرت في الانتقام من شركة الطيران عن طريق إضاعة الوقت مع طلب خصوصية الناتج المحلي الإجمالي ، تمامًا مثل كانت شركة طيران تضيع وقتنا ، قلت: "مهلا ، أراهن أنهم لن يتحققوا من من جاء الطلب. أراهن أنني أستطيع سرقة هويتك". بعد شهرين ، كان لدي كنز ".

اختراق القانون

وقال بافور "لقد تعاملت مع المشكلة من خلال التفكير في القانون كبرنامج". "ابحث عن نقاط الضعف ، وابحث عن سلسلة القتل ، وأسلح استغلالاً ، واستخرج البيانات".

أشار بافور إلى أربعة عوامل تجعل الناتج المحلي الإجمالي ضعيفًا: الخوف والضغط والغموض والإنسانية. وتخشى الشركات القانون لأن الانتهاكات تأتي بغرامات ضخمة. إنهم يتعرضون للضغط لأن القانون يتطلب الرد على طلب الوصول في غضون فترة زمنية قصيرة. القانون غامض بالضرورة لأنه طموح ، يحاول تغطية مجموعة متنوعة من الشركات. وتؤثر هذه العوامل على البشر المعنيين – البشر الذين لديهم القدرة على الصمود.

وخلص بافور إلى القول "إنه هدف مثالي للهندسة الاجتماعية".

ابتكر بافور خطابًا غامضًا إلى حد ما ظاهريًا من خطيبته. لإثبات هويته ، استخدم المعلومات العامة بما في ذلك اسمها الكامل ، والبريد الإلكتروني المزيف الذي يبدو أنه يمكن أن يكون لها ، ورقم هاتفها. أرسلها إلى 150 منظمة كبيرة قد تحتوي على معلوماتها ، وجلس لانتظارها.

وضع على الضغط

طلبت معظم المنظمات التي استجابت المزيد من إثبات الهوية ، لكنه استغل حقيقة أنه لا يُسمح لها إلا بطلب إثبات "معقول". لا يمكن لموقع تتبع الإعلانات الذي يحتوي على بيانات عنك أن يطلب بشكل معقول رؤية جواز سفرك.

طوال هذه العملية ، استخدم المعلومات التي يمكن لشخص غريب الحصول عليها فقط. وقالت بافور: "حوالي 16 في المائة من المجيبين طلبوا بطاقة هوية ظننت أنني أستطيع تشكيلها ، لكنني لم أفعل ذلك. ورأت ثلاث أو أربع شركات الناتج المحلي الإجمالي في الرسالة وحذفت حسابها على الفور".

من خلال توتر الشركات على طول ، أو تزويد بيانات الهوية أضعف من المطلوب ، زاد بافور من ضغط الوقت. في كثير من الحالات ، خفت الشركات ولم تتابع المزيد من التحقق.

من إحدى الشركات ، حصل بافور على رقم خطته للتأمين الاجتماعي ، وتاريخ الميلاد ، واسم الأم قبل الزواج ، ودرجات المدرسة الثانوية. وقالت بافور "كل الشركة التي طلبتها كانت اسمها وبريدها الإلكتروني ، ويشير الموقع إلى أن لديها 10 ملايين حساب".

من شركة مالية حصل على 10 أرقام من بطاقات الائتمان الخاصة بها. من شركة تتبع تهديدات حصل على أسماء المستخدمين وكلمات المرور الخاصة بها إلى الحسابات التي تم انتهاكها. خدمت شركة السكك الحديدية تاريخها في رحلات القطارات ، وسلمته سلسلة من الفنادق بمعلومات عن جميع زياراتها.

ماذا يمكن ان يفعل؟

وقال بافور "من الواضح أن هذا غير مقبول". "نحن بحاجة إلى جعل قوانين الخصوصية تحقق توجيهاتهم. هناك مشروع قانون في الولايات المتحدة يقوم بنسخ / لصق الناتج المحلي الإجمالي بشكل أساسي في قانون الولايات المتحدة. لا نريد أن يصبح إجمالي الناتج المحلي نموذجًا".

يقترح بافور أن تطلب الشركات من أولئك الذين يطلبون بياناتهم تسجيل الدخول. إذا لم يتمكنوا من ذلك ، اطلب رخصة قيادة ، والتحقق من الرخصة الخارجية إذا لزم الأمر. أيضا ، فقط قل لا لطلبات الناتج المحلي الإجمالي. يجب أن يطمئن القانون الشركات على أن رفض الطلبات المشروعة ولكن غير المكتملة لن يعضها.

الاحتمال الآخر هو خدمة التحقق من طرف ثالث. وقال "لا أرسل جواز سفري إلى متجر الأحذية". "أرسلها إلى خدمة تتحقق مني إلى متجر الأحذية".

الأفراد بحاجة إلى أن تكون سباقة بشأن صحة البيانات. وأشار إلى أنه يجب ألا تثق في المصادقة المستندة إلى المعرفة من المكالمات الهاتفية غير المرغوب فيها. وأشار بافور إلى أنه "حتى إذا اتصل شخص ما وتعرف بشأن إقامتك في الفندق أو رحلتك بالقطار ، فهذا لا يعني أنها شرعية". "النقطة الأساسية هي أن قوانين الخصوصية يجب أن تعزز الخصوصية ، وليس تعريضها للخطر."