行业新闻与博客

GDPR（通用数据保护条例）旨在帮助个人保密信息，但事实证明，它也可能有助于帮助攻击者。

在拉斯维加斯举行的黑帽美国会议上，名为“GDPArrrrr：使用隐私法来窃取身份”的会议上，牛津大学的学生和罗德学者 James Pavur 概述了他是如何滥用其中的一个关键组成部分的。 GDPR 可以获取未婚夫的个人身份信息。

Pavur 说，GDPR 有多个可利用的属性，社交工程攻击者可以寻求利用。首先是害怕不遵守规定，因为如果存在违规行为，GDPR 将处以巨额罚款。

GDPR 还有严格的披露和合规时间表，这给组织带来了压力。监管的实际语言也存在一定程度的含糊之处。最后，由于流程的复杂性，对 GDPR 请求的大部分响应涉及人类。

Pavur 所针对的 GDPR 的弱点是接入权条款，该条款允许欧洲公民有权从提供有关信息的特定提供商处请求他们的所有数据。

使用包含姓名，电子邮件和电话号码等基本信息的简单电子邮件，Pavur 向 150 多个组织发送了请求，以查看他可以获得哪种响应，最终获得了一些令人惊讶的结果。

虽然 39％ 的请求被拒绝，但提供商需要更强的身份识别形式，而不仅仅是电子邮件和电话号码，24％ 的提供商向 Pavur 提供了他所要求的信息，而另外 16％ 的提供者接受了请求，但要求提供额外的更弱的形式他能够提供的身份验证。

只有 13％ 的组织完全忽略了请求，而令人震惊的是，有 3％ 的组织最终删除了相关帐户，而不是完全处理请求。Pavur 说，删除帐户不是他预期的，可能会被用作身份拒绝服务攻击的一种形式。

GDPR 语言的含糊之处在于法规规定请求者必须提供“合理的”ID 验证。不同的组织要求进行不同的验证，包括简单的签名信件，甚至只能回答有关用户的知识问题。从根本上说，Pavur 说大多数组织根本无法验证他们在任何情况下要求的文档。

Pavur 从他的数据请求中获得的信息也各不相同，例如一家大型连锁酒店提供有关所有目标用户在酒店住宿的数据。另一家提供商向他发送了更多敏感信息，包括目标公司的社会安全号码。

虽然 GDPR 的访问权存在挑战，但 Pavur 还为组织可以做些什么来帮助保护自己及其用户信息免受欺诈性数据请求提供了一些建议。

Pavur 提供的第一个也是最基本的建议是公司只对可疑的 GDPR 数据请求说不。他说，如果请求是真实的，可能会将提供商放在法庭上，但这比向攻击者提供客户信息要好。他补充说，如果提供者也能够证明他们的行为是善意的，那么风险也会降低。

Pavur 还建议，对于立法者来说，重要的是澄清什么是适当的身份形式，并且提供政府介导的身份验证服务也很重要。

“核心观点是，隐私法应该增强隐私，不会危及隐私，”他说。

非常感谢您对亚洲注册的支持与信任！

禁止转载