牛津大学学者:GDPR能够用来维护隐私,也能够用

作者:刘素楠发布时间:2019-08-14 03:57

上一年出台的欧盟《通用数据维护法令》(GDPR)被称为“史上最严”,旨在更好地维护用户的个人信息。

但一位牛津大学的学者却发现,GDPR赋予用户的“数据拜访权”很或许沦为不法分子盗取别人隐私的“利器”。

近来,牛津大学计算机科学院的博士生James Pavur在BlackHat“全球黑帽大会”上宣布讲演《运用隐私法盗取身份信息》时标明,他假借别人的名义向150个公司发送邮件,要求获取个人数据,最终收到了包含社会安全号(SSN)在内的高度隐私信息。

赌局

运用GDPR条款获取别人身份信息

这次突发奇想源于Pavur和未婚妻Casey Knerr的一场对赌。

这对情侣其时遭受了某个欧洲航空的糟糕待遇,正盘算着怎样才干进行一次“小小的报复”。Knerr主张,能够向该航空公司宣布一个无关紧要的数据拜访恳求,糟蹋他们的时刻。

“这是个好主意”,Pavur和Knerr一拍即合,但他又忧虑航空公司过于“无能”,极有或许直接忽视他们的恳求。所以Pavur爽性再往前进了一步,打赌说他能够合理运用GDPR的相关条款取得Knerr的身份信息。

依据GDPR第三章第二节,数据主体有权从控制者处要求获取其个人数据,且控制者须在一个月内作出回应,最好能供给自己所持有的该数据主体的全部个人数据副本。

为验证恳求的真实性,GDPR规则:“控制者应当运用全部合理的办法在数据主体要求拜访数据时验证数据主体身份,尤其是运用线上服务和线上辨认器”,且“控制者不该仅以回应潜在数据主体的恳求为意图保存个人数据”。

在这场试验中,Pavur假造了一个电子邮箱,以Knerr的名义向150个公司宣布了数据拜访恳求。

Pavur发送的邮件。

在他的想象中,除了大型互联网公司或许选用机器回复以外,中小型公司只能人工回复,这就给了“社会工程学”可趁之机。

在计算机科学中,社会工程学是指经过与别人的合法交流,使其心思受到影响,做出某些动作或者是泄漏一些秘要信息的方法。

因而,邮件中的遣词都是经过Pavur精心酌量的。

比方考虑到GDPR要求“一个月内回复”,公司很或许会被恳求的数据规划和杂乱性涣散注意力,然后疏忽身份验证环节,因而邮件中特意把规划扩大到“公司或相关第三方存储的恣意可辨认身份信息”,还要求供给“实体材料、备份、邮件、录音或其他媒体”里的数据。

推荐新闻: