A GDPR felhasználása adatlopáshoz?
James Pavur a menyasszonyát megszemélyesítve küldött adatkéréseket összesen 150 egyesült királyságbeli és amerikai vállalatnak.
Az első 75 esetben csupán olyan adatokkal igazolta a személyazonosságot, amelyek online publikusan elérhetőek voltak, például a hölgy neve, e-mail címe, telefonszámai
─ amelyre válaszul egyes cégek kiadták a teljes lakcímét.
A kutató ezt felhasználva kereste fel a maradék 75 céget, amelyek közül egyesek már a menyasszonya személyi számát, korábbi otthoni címeit, iskolai eredményeit is közölték, sőt, a hitelkártya számát is képes volt ily módon megszerezni.
Pavur nem hozta nyilvánosságra, hogy mely cégek dőltek be a csaló adatkéréseknek, ám megnevezett néhányat ─ Tesco, Bed Bath and Beyond, American Airlines ─, akik helyesen megtagadták az adatközlést. Mindazonáltal a megkérdezett cégek negyede egyből, 16%-a pedig egy könnyen kitalálható személyes adat megadása után ─ ezt a kutató szándékosan nem pontosította ─ adta ki az információt. Csupán 39% kért erős azonosítást, míg 13% gyakorlatilag teljesen figyelmen kívül hagyta az adatkérést.
A kutató felhívja a figyelmet a veszélyre, hogy az általa demonstrált csalási mód könnyen automatizálható, ezáltal tömeges adatgyűjtésre is módot adhat, mivel az olyan személyes információkat, mint a családi név és az e-mail cím rengetegen teszik nyilvánosan elérhetővé.
Adatszolgáltatás előtt minden esetben meg kell győződni az adatkérő jogosultságáról és személyazonosságáról.