歐洲 GDPR 法規自 2018 年 5 月起生效,旨在改善個人資料領域的保護和控制,特別是透過實施新的遵守程序和規定勸阻性罰款。不幸的是,該法規也產生了相反的不良影響,甚至在某些情況下更容易竊取個人資料。
事實上,這正是安全研究員 James Pavur 剛剛在 Black Hat 2019 會議上演示的內容,GDPR 賦予每個人存取其資料的權利,持有資料的公司不能拒絕,否則將受到罰款。這是一件好事。但這種存取也安全嗎?
身份驗證失敗
為了找出答案,這位專家冒充了他的未婚妻凱西·克納爾(Casey Knerr),也就是這項研究的同謀和合著者。他給 150 家公司寫了一封信,要求他們提供一份他們持有的關於他的所有資料的副本。
在 108 家願意回應的公司中,大約四分之一立即發送了數據,而沒有進行任何驗證。 16% 的人在收到脆弱的、容易被竊取或偽造的身份證明後遵守了要求:技術識別碼、宣誓聲明、安全問題的答案、電費單等。
敏感資料外洩
只有 39% 的企業要求提供適當程度的身份證明,例如透過線上表單登入或從提供者的電子郵件地址發送訊息。有些人甚至做得太過分,要求寄護照或身分證影本。事實上,就 GDPR 而言,必須提供比人們希望存取的資料更敏感的個人資料是不合邏輯的。
最終,透過這次社會工程行動,詹姆斯·帕沃爾在兩個月的時間裡成功恢復了他未婚妻的 60 種個人資料。其中一些資訊相當敏感,例如地址、電話號碼、社會保險號碼或銀行卡號。一家公司甚至發送了用戶的帳戶登入名稱和密碼。
GDPR 的空白
這個糟糕的結果並不令人意外,因為 GDPR 沒有規定提供者必須如何驗證使用者的身分。該法規的序言僅解釋說“數據控制者應採取一切合理措施”要實現這一目標,無需進一步精確(原因 64)。
因此,公司正在竭盡全力。經驗表明,大公司能夠很好地處理訪問請求。另一方面,中小企業和協會很容易成為此類攻擊的目標。
作為用戶,幾乎不可能保護自己免受此類資料盜竊。唯一的選擇是向供應商詢問過去可能提出的任何存取請求。並鼓勵公司加強其程序。
來源:黑帽 2019
