Генеральный регламент о защите персональных данных GDPR – европейский закон, позволяющий восстановить пользователям утерянный контроль над личными данными. Вместе с тем, некоторые исследователи компьютерной безопасности утверждают, что GDPR может быть использован для мошеннического получения доступа к персональной информации.
Регламент GDPR распространяется на всех европейских операторов, обрабатывающих пользовательские данные. Например, если юзер проживает в одной из стран Еврозоны, он имеет право запросить у любого онлайн-сервиса личные сведения. Как оказалось, подобный запрос может отправить совершенно посторонний человек. И если интернет-сервис не уделяет должного внимания проверке персоны заявителя, даже несведущий в компьютерных технологиях пользователь может получить полную информацию о третьем лице.
Британский эксперт по кибербезопасности Джеймс Павур провел эксперимент. Он составил список из 75 интернет-сервисов и в каждый из них разослал запросы на получение персональных данных от имени своей девушки. В запросе он указал простейшие исходные – имя и фамилию девушки, номер ее мобильного телефона, адрес электронного почтового ящика.
Для проверки идентичности заявителя некоторые сервисы запросили у Джеймса дополнительную информацию. Однако нескольким компаниям хватило и этих исходных данных. Удовлетворив потенциально мошенническое обращение, они выслали Джеймсу более подробные сведения – например, домашний адрес девушки и историю бронирования гостиниц во время ее отпуска.
Вооружившись полученными данными, Джеймс Павур составил второй список, включив в него новые 75 интернет-компаний. Разослав запросы, он смог получить практически полный пакет данных девушки – страховой код SSN, номера кредитных карт, пароли к ряду пользовательских ресурсов, девичью фамилию ее матери.
«Иные компании для моей идентификации попросили копию паспорта, но ведь и ее можно легко подделать. Так что, GDPR – безусловно, удобная штука, но тест на безопасность регламента провален. Этот закон запросто может быть использован мошенниками для социального хакинга», – резюмировал эксперт.