欢迎来到永胜在线
国内最专业的科技资讯提供商

超越娱乐地址:@ BHUSA: GDPR如何帮助攻击者窃取身份

gpr(通用数据保护条例)本应帮助个人保护他们的信息隐私,但事实证明,它也可能帮助攻击者。

在一个会话在拉斯维加斯的美国黑帽大会上,题为"GDPArrrrr:使用隐私法偷Identities",詹姆斯•Pavur DPhil牛津大学学生和领罗氏奖学金的研究生,概述了他如何能够滥用的一个关键组件GDPR得到他的未婚妻的个人身份信息。

Pavur说,GDPR有许多可利用的特性,社会工程攻击者可以利用这些特性。首先是对违规的恐惧,因为如果违规,gpr会开出巨额罚款。

GDPR在信息披露和合规方面也有严格的时间表,这给企业带来了压力。该规定的实际语言也有一定的模糊性。最后,由于流程的复杂性,对GDPR请求的大部分响应都涉及到人员。

Pavur针对的GDPR的弱点是提供访问权,这使得欧洲公民有权向持有他们信息的给定提供者请求他们的所有数据。

通过一封包含姓名、电子邮件和电话号码等基本信息的简单电子邮件,Pavur向150多个组织发送了请求,看看他能得到什么样的响应,结果得到了一些令人惊讶的结果。

虽然39 percent 请求被拒绝,供应商要求更强形式的身份不仅仅是一个电子邮件和电话号码,,24 percent 供应商给Pavur他要求的信息,而一个额外的16 percent 接受请求,但要求一个额外的弱形式的认证能够提供。

只有13%的组织直接忽略了这个请求,而令人震惊的是,只有3%的组织最终删除了这个有问题的帐户,而根本没有处理这个请求。帕维尔说,删除账户并不是他所预料的事情,可能会被用作一种身份否认服务攻击的形式。

GDPR语言的模糊性在于,规则规定请求者必须提供"rational " ID验证。不同的组织要求不同的验证,从简单的签名信,甚至只是能够回答关于用户的知识问题。然而,从根本上说,Pavur说,大多数组织只是没有能力在任何情况下验证他们要求的文档。

Pavur能够从他的数据请求中获得的信息也各不相同,例如,一家大型连锁酒店提供了关于目标用户在该酒店停留时间的所有数据。另一家提供商向他发送了更敏感的信息,包括目标的社会安全号码。

虽然GDPR的访问权存在挑战,但Pavur也为组织提供了一些建议,帮助它们保护自己和用户信息免受欺诈性数据请求的影响。

Pavur提出的第一个也是最基本的建议是,让企业对可疑的GDPR数据请求说不。他说,如果这个请求是真实的,它可能会让提供商进入法庭,但这比向攻击者提供客户信息要好。他补充说,如果供应商也能证明他们的行为是出于善意,风险也会降低。

帕夫尔还建议,对立法者来说,明确什么是合适的身份形式很重要,而且提供政府斡旋的身份验证服务也很关键。

他说,核心问题是隐私法应该加强隐私保护,而不是危害它。

历史上的今天
八月
9
    哇哦~~~,历史上的今天没发表过文章哦
赞(0)
未经允许不得转载:永胜在线 » 超越娱乐地址:@ BHUSA: GDPR如何帮助攻击者窃取身份
分享到: 更多 (0)
标签:

相关推荐

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  • Q Q(选填)

永胜在线科技网 更权威 更方便

永胜在线联系我们