Punti chiave
Un ricercatore britannico ha scoperto una “falla” nella sicurezza del Regolamento generale sulla protezione dei dati (GDPR) dell’UE – il diritto di richieste di accesso.
Il diritto di accesso ai propri dati, è la parte del regolamento GDPR che consente alle persone di chiedere alle aziende o enti una copia di tutti i dati in loro possesso.
Ciò ha senso perché, come con qualsiasi sistema di privacy degli utenti, deve esistere un meccanismo legalmente applicabile che consenta alle persone di verificare l’accuratezza e la quantità dei dati personali in mano a terzi.
Sfortunatamente, in quello che può essere descritto come un enorme problema di logica del GDPR, James Pavur dell’Università di Oxford ha scoperto che troppe aziende stanno distribuendo dati personali quando viene chiesto, senza controllare chi lo sta chiedendo.
Nella sua sessione intitolata GDPArrrr: Usare le leggi sulla privacy per rubare identità allo show di Black Hat, Pavur documenta come ha deciso di vedere quanto sarebbe facile usare le richieste di accesso per “rubare” i dati personali della sua fidanzata (con l’autorizzazione di lei ovviamente).
Dopo aver contattato 150 aziende britanniche e statunitensi la risposta e la ricezione di dati personali della ragazza è stata davvero facilissima.
Secondo i resoconti dei giornalisti che hanno partecipato alla ricerca, per i primi 75 contattati per lettera, l’ha impersonata fornendo solo informazioni che è stato in grado di trovare online – nome completo, indirizzo e-mail, numeri di telefono – a cui alcune aziende hanno risposto fornendole anche l’indirizzo di casa.
Armato di queste informazioni extra, ha quindi contattato altri 75 via e-mail, è riuscito a soddisfare alcune richieste di identità e ne ha ricevuto indietro altri dati personali come il numero di previdenza sociale della sua fidanzata, i precedenti indirizzi di casa, i nomi degli hotel in cui è stata, i voti scolastici, se avesse usato appuntamenti online e persino i suoi numeri di carta di credito.
Pavur non aveva nemmeno bisogno di falsificare documenti di identità o creare firme per eseguire il backup delle sue richieste e non ha falsificato i suoi veri indirizzi e-mail per rendere le sue richieste più autentiche.
Pensiero laterale
Pavur non ha rivelato quali compagnie non sono riuscite ad autenticare il suo falso diritto di richieste di accesso, ma ne ha nominate tre – Tesco, Bed Bath and Beyond e American Airlines – queste hanno risposto bene alle sue richieste perché hanno contestato le sue domande dopo aver individuato i dati di autenticazione mancanti.
Tuttavia, un quarto ha consegnato i dati della sua fidanzata senza verifica dell’identità, il 16% ha chiesto un tipo di identità facilmente falsificabile, che ha deciso di non fornire, mentre il 39% ha chiesto una certezza di identità.
Curiosamente, il 13% ha ignorato del tutto le sue richieste, il che significava almeno che non stavano consegnando dati volenti o nolenti.
Il potenziale per il furto di identità non ha bisogno di essere spiegato qui, osserva il blurb della sessione di Pavur:
Anche se troppo spesso non è richiesta alcuna prova di identità, anche nel migliore dei casi il GDPR consente a qualcuno in grado di rubare o falsificare una patente di guida quasi completo accesso alla tua vita digitale.
ll pericolo è che i criminali possano già averlo sfruttato senza che ce ne siamo accorti.
Come sottolinea Pavur, l’automazione di richieste di accesso ai dati standardizzate non sarebbe difficile da superare su larga scala utilizzando il tipo di dati di base come il nome e indirizzo e-mail che molte persone rendono pubbliche sui social media.
Di chi è la colpa?
Se la ricerca di Pavur mostra un fallimento, vuol dire che troppe organizzazioni non comprendono ancora la GDPR.
Non è sufficiente proteggere i dati in senso tecnico se non si protegge anche l’accesso ad essi. Se qualcuno telefona per richiedere di sapere quali dati sono conservati su di loro, non autenticare questa richiesta diventa un bypass che finisce per mettere in pericolo la privacy piuttosto che proteggerla.
Sebbene sia vero che ciò poteva accadere anche prima che venisse promulgata la GDPR, dare ai cittadini il diritto legale di richiedere dati ha fornito alle persone con cattive intenzioni un meccanismo standardizzato per provare e manipolarle.
Ma ci sono anche problemi più profondi: se le organizzazioni cercano di verificare l’identità di qualcuno, cosa dovrebbero chiedere? GDPR o no, non esiste ancora un sistema di verifica dell’identità universale e affidabile per verificare che qualcuno sia quello che dice di essere.