A GDPR - az Európai Unió Általános Adatvédelmi Rendelete - céljai között szerepel, hogy a személyek, a személyes adatok tulajdonosai ellenőrzést szerezzenek az adataik gyűjtése, feldolgozása, felhasználása felett. Ezért a GDPR különféle jogokkal ruházza fel a személyeket. Az egyik ilyen a jog a tájékoztatáshoz a kezelt adatokról és a kezelés módjáról. A BBC News írta meg, hogy James Pavur ezt felhasználva tesztelte nagy-britanniai és amerikai székhellyel rendelkező cégek felkészültségét.

A fentiekben említett jog azt jelenti, hogy a személyes adatok tulajdonosa jogosult megismerni a szervezet, vagy magánszemély által kezelt személyes adatokat, valamint azt, hogy ezeket az adatokat milyen módon kezelik, dolgozzák fel. Fontos, hogy ezt a tájékoztatást csak a valóban jogosult személy számára adhatja meg az adatkezelő! Amit James Pavur az Oxfordi Egyetem kiberbiztonsággal foglakozó kutatója a Las Vegas-i Black Hat konferencián megosztott hallgatóságával a kísérlet eredményéről, az több mint aggasztó!

A kutató nem a saját adatairól érdeklődött, bár minden bizonnyal az is érdekes lett volna. Menyasszonya beleegyezésével, az ő nevében küldött adatkérési igényeket a kiválasztott cégeknek. Az akcióhoz létrehozott egy "keresztnév-középsőnév-családnéEz az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát." formátumú e-mail címet, ami nyilvánvalóan nem volt azonos azzal, amivel az adatok tulajdonosa eredetileg regisztrált. Nem teljesítette a fényképes igazolványok küldésére irányuló kéréseket. Nem írta alá azokat az e-maileket, amikben azt állította, hogy ő az érintett. Nem küldött hamisított fejléccel e-mailt, amikor azt kérték, hogy a regisztrált címről írjon. Igyekezett rávenni a célpontokat, hogy fogadják el az általa küldött és elméletileg csak a menyasszonya által ismerhetett dokumentumokat.

MINDEN NEGYEDIK esetben célhoz ért! A nagyobb cégek, különösen a technológiai vállalkozások általában sikerrel vették az akadályt. A kisebbek jellemzően nem reagáltak. A közepesek viszont több esetben elbuktak. A kutató (szerintem helyesen!) nem nevezte meg a leszerepelt adatkezelőket, nevesített viszont néhány olyan vállalkozást, amelyek jól teljesítettek.

Forrás: BBC News

A teszten elbukó vállalkozások aggasztóan érzékeny adatokat küldtek el valakinek, akinek nem győződtek meg kellő alapossággal a személyazonosságáról és így az adatokhoz való jogosultságáról. A kapott adatok társadalombiztosítási azonosítószámot, bejelentkezési adatokat, olykor jelszót is (amit az adatkezelő megfelelő titkosítás használata esetén nem is ismerhetne!), egy szállodalánc esetében teljes tartózkodási nyilvántartást, két brit vasúttársaságnál több évnyi utazási adatokat tartalmazó adatcsomagot, egy amerikai oktatási cégnél pedig középiskolai osztályadatokat, anyja nevét és bűnügyi háttér ellenőrzés eredményét is tartalmaztak.

Jól vette az akadályokat a Tesco szupermarket, amely fényképes igazolványt kért, a brit kiskereskedelmi lánc a Bed Bath and Beyond, amely telefonos interjúhoz ragaszkodott, és az American Airlines, amely észrevette, hogy üres képet töltött fel az online nyomtatvány útlevél mezőjébe.

A sikeres adatkérések során Pavur menyasszonya összesen 60 különféle személyes adatához jutott hozzá. Ezek között korábbi vásárlások listája, a hitelkártya számának 10 számjegye, lejárati dátuma és kibocsátója, valamint korábbi és jelenlegi lakcíme voltak megtalálhatóak. Egy biztonsági cég elküldte menyasszonya kiszivárgott felhasználóneveinek és jelszavainak listáját. Ezek továbbra is legalább 10 szolgáltatáson aktívak voltak, mivel ugyanazokat a bejelentkezési adatokat használta (ugye tudod, hogy ilyet nem kellene?) több webhelyen. Az egyik esetben a kérvényt az interneten tette közzé a megkeresett reklámcég, ami önmagában is adatvédelmi incidensnek minősül. A kérvény tartalmazta a menyasszony nevét, címét, e-mail címét és telefonszámát.

83 adatkezelőt vont be a kísérletbe James Pavur akikről tudta, hogy biztosan rendelkeznek adatokkal a menyasszonyáról.

Az adatkezelők

• 24%-a közölt személyes adatokat anélkül, hogy megfelelően ellenőrizte volna a kérelmező személyazonosságát
• 16%-a könnyen hamisítható személyazonosítót kért, ezeket Pavur nem adta át
• 39%-a "erős" személyazonosítót kért be
• 5%-a szerint nincs küldhető adat annak ellenére, hogy van létező felhasználói fiók
• 3%a- tévesen értelmezte a kérést és azt állította, hogy minden személyes adatot törölt
• 13%-a figyelmen kívül hagyta az adatkérést

Dr. Steven Murdoch (London University College) szerint "a személyes adatok nem megfelelő személynek történő elküldése ugyanolyan mértékű adatsértés, mint egy titkosítás nélküli pendrive elvesztése, vagy bizalmas iratok megsemmisítésének elmulasztása".

Ez az eset is mutatja, hogy az érzékeny és fontos személyes adatokat komoly veszély fenyegetheti, amennyiben az adatkezelők nem megfelelő felkészültséggel és körültekintéssel teljesítik a GDPR szerinti adatmegismerési kötelezettséget. Az így megszerzett adatok nem megfelelő kezekbe kerülve személyiséglopásra, illetve különféle lejárató manőverekre, vagy akár adathalász támadás előkészítésére is felhasználhatók.

Nagy az adatkezelők felelőssége! Rengeteg személyes adatot őriznek rólunk. Ezeket az adatokat védeniük kell a jogosulatlan hozzáférésektől, a nem szabályos módosításoktól, sérüléstől, elveszéstől, kiszivárgástól. Ehhez társul továbbá az a kötelezettség, amely a kezelt adatok átadását írja elő az adatok tulajdonosa számára. Itt azonban mindennél fontosabb, hogy csak a valóban jogosult személy kaphassa meg azokat. Ebben sajnos - ha csak nem vagy adatkezelő - Neked nincs feladatod, csak reménykedhetsz abban, hogy azok akikre az adataidat rábíztad, felelősségteljesen végzik a munkájukat.

Forrás: BBC News

Ha tetszett az írás, oszd meg barátaiddal, kövesd a Gyerek.Net.Info Facebook oldalát! Csatlakozz az Internetes biztonság - gyerekeknek, felnőtteknek csoporthoz! Véleményedet, kérdéseidet megírhatod a Facebookon, vagy regisztrációt és bejelentkezést követően itt a weboldalon.