أخبار العالم

Black Hat: قانون خصوصية الناتج المحلي الإجمالي المستغل للكشف عن البيانات الشخصية

الناتج القومي الإجمالي الرسمحقوق الطبع والنشر صورة
صور غيتي

تعليق على الصورة

من المفترض أن يحمي الناتج القومي الإجمالي البيانات الشخصية ، لكن هذه التجربة استخدمت القانون لتحقيق التأثير المعاكس

كشفت حوالي واحدة من كل أربع شركات عن معلومات شخصية لشريك امرأة ، الذي قدم طلبًا زائفًا بالبيانات من خلال ذكر قانون الخصوصية في الاتحاد الأوروبي.

اتصل خبير الأمن بالعشرات من الشركات البريطانية ومقرها الولايات المتحدة لاختبار كيفية تعاملهم مع طلب “حق الوصول” المقدم باسم شخص آخر.

في كل حالة ، طلب جميع البيانات التي احتفظوا بها على خطيبته.

في إحدى الحالات ، تضمن الرد نتائج فحص النشاط الإجرامي.

تضمنت الردود الأخرى معلومات بطاقة الائتمان وتفاصيل السفر وتسجيلات الدخول وكلمات المرور ورقم الضمان الاجتماعي الكامل للهدف في الولايات المتحدة.

قدم الباحث بجامعة أكسفورد جيمس بافور النتائج التي توصل إليها في مؤتمر القبعة السوداء في لاس فيغاس.

هذا هو الاختبار الأول من نوعه لاستغلال اللائحة العامة لحماية البيانات في الاتحاد الأوروبي ، والتي دخلت حيز التنفيذ في مايو 2018.

وقال لبي بي سي “بشكل عام إذا كانت شركة كبيرة للغاية – خاصة تلك التقنية – فإنها تميل إلى أن تحقق نتائج جيدة حقًا”.

“الشركات الصغيرة تميل إلى تجاهل لي.

“لكن هذا النوع من الشركات متوسطة الحجم التي عرفت بالناتج المحلي الإجمالي ، ولكن ربما لم يكن لديها الكثير من العمليات المتخصصة (للتعامل مع الطلبات) ، فشل”.

ورفض تحديد المنظمات التي أساءت معالجة الطلبات ، لكنه قال إنها تضمنت:

  • سلسلة فنادق في المملكة المتحدة تشاركت بسجل كامل لإقامة شريكه طوال الليل
  • شركتان للسكك الحديدية في المملكة المتحدة قدمتا سجلات لجميع الرحلات التي قامت بها معهم على مدار عدة سنوات
  • شركة تعليمية مقرها الولايات المتحدة سلمت درجاتها في المدرسة الثانوية ، واسم الأم قبل الزواج ونتائج مسح فحص خلفية جنائية

ومع ذلك ، فقد قام بافور بتسمية بعض الشركات التي قال إنها حققت أداءً جيدًا.

حقوق الطبع والنشر صورة
جيمس بافور

تعليق على الصورة

يقول بافور إنه يعتقد أنه لم يخرق القانون بنفسه أثناء إجراء المحاكمة

وقال أنها تشمل:

  • السوبر ماركت تيسكو ، الذي طلب صورة شخصية
  • سلسلة التجزئة المحلية Mattress Bathtub and Past ، التي أصرت على إجراء مقابلة عبر الهاتف
  • الخطوط الجوية الأمريكية ، التي رصدت أنه قد رفع صورة فارغة إلى حقل جواز السفر من النموذج الخاص به على الإنترنت

وقال خبير مستقل إن النتائج كانت “مصدر قلق حقيقي”.

وقال الدكتور ستيفن مردوخ ، من جامعة كوليدج لندن: “إن إرسال المعلومات الشخصية لشخص ما إلى الشخص الخطأ يعتبر خرقًا للبيانات بقدر ما يترك محرك أقراص USB غير مشفر ، أو ينسى أوراق الأوراق السرية”.

المهلة

أعطاه عروس السيد بافور الإذن بإجراء الاختبارات وساعد في كتابة النتائج ، لكن لم يشارك في العملية.

بالنسبة للمراسلات ، أنشأ الباحث عنوان بريد إلكتروني مزيف لشريكه ، بالتنسيق “الاسم الأول – الاسم الأولي – الاسم الأول – mail@gmail.com”.

وقالت رسالة مصاحبة إنه بموجب إجمالي الناتج المحلي ، كان أمام المتلقي شهر واحد للرد.

وأضاف أنه يمكنه تقديم وثائق هوية إضافية عبر “بوابة إلكترونية آمنة” إذا لزم الأمر. كان هذا خداعًا متعمدًا لأنه كان يعتقد أن العديد من الشركات تفتقر إلى مثل هذه المنشأة ولن يكون لديها وقت لإنشاء واحدة.

نفذت الهجمات في موجتين.

بالنسبة للنصف الأول من الأشخاص الذين تم الاتصال بهم ، استخدم المعلومات المفصلة أعلاه فقط. لكن بالنسبة إلى المجموعة الثانية ، فقد استند إلى التفاصيل الشخصية التي كشفت عنها المجموعة الأولى للإجابة على أسئلة المتابعة.

وقال إن الفكرة تكمن في تكرار نوع الهجوم الذي يمكن أن يقوم به شخص ما بدءًا من التفاصيل الموجودة على صفحة LinkedIn الأساسية أو ملف تعريف عام آخر عبر الإنترنت.

العلامات البريدية وهمية

إذا طلبت المنظمة نوع “قوي” من الهوية – مثل فحص جواز السفر أو رخصة القيادة – فقد رفض السيد بافور.

كما قرر عدم إنشاء تزوير من المستندات المزيفة بسهولة أكبر.

لذلك ، على سبيل المثال ، لن يوقع على مستندات تقول إنه موضوع البيانات. كما أنه لن يرسل رسائل البريد الإلكتروني ذات الرؤوس المخادعة عندما يُطلب منه الكتابة من حساب الضحية المسجل.

لكنه حاول إقناع الشركات بقبول المستندات التي من السهل نظريًا أن تسخر منها ، ولكن في هذه الحالة يمكن الحصول عليها من خطيبته.

لذلك ، عندما طلب أحد مشغلي القطار نسخة من جواز السفر ، أقنعها بدلاً من ذلك بقبول مظروف مختوم بختم البريد موجه إلى “الضحية”.

في حالة أخرى ، وافقت شركة الأمن السيبراني على قبول صورة لبيان البنك ، والتي تم تعتيمها بحيث المعلومات الوحيدة المتبقية على العرض هو اسم وعنوان الهدف.

حقوق الطبع والنشر صورة
جيمس بافور

تعليق على الصورة

يقول بافور إنه في إحدى الحالات تم قبول بيان مصرفي منقوص بشدة

في بعض الأحيان كانت هذه الحيلة غير ضرورية.

طلبت إحدى شركات الألعاب عبر الإنترنت كلمة مرور حساب مقدم الطلب. لكن بعد إبلاغه بأنه قد تم نسيانه ، قال السيد بافور إنه كشف عن بيانات خطيبته الشخصية على أي حال دون أن يطلب التحقق البديل.

كلمات السر المكشوفة

قال السيد بافور إن ما مجموعه 60 قطعة مميزة من المعلومات الشخصية عن صديقته قد تم كشفها في النهاية.

وشملت هذه قائمة المشتريات الماضية ، و 10 أرقام من رقم بطاقة الائتمان لها ، وتاريخ انتهاء الصلاحية والمصدر ، وعناوينها الماضية والحالية.

بالإضافة إلى ذلك ، قدمت شركة مخابرات تهديد واحدة سجلًا لأسماء المستخدمين وكلمات المرور التي تم خرقها على شريكه. هذه لا تزال تعمل على ما لا يقل عن 10 خدمات عبر الإنترنت لأنها استخدمت نفس عمليات تسجيل الدخول لمواقع متعددة.

في إحدى الحالات ، تم نشر خطاب طلب إجمالي الناتج المحلي على الإنترنت بعد إرساله إلى شركة إعلانية ، مما يشكل خرقًا للبيانات بحد ذاته. احتوت على اسم خطيبة وعنوانها والبريد الإلكتروني ورقم الهاتف.

“لحسن الحظ ، كان لديها بيانات بسيطة للغاية” ، قال السيد بافور.

“ولكن يمكنك أن تتخيل شخصًا يرسل خطابًا يحتوي على معلومات أكثر تفصيلًا.”

بشكل عام ، من بين 83 شركة معروفة لديها بيانات عن شريكه ، قال السيد بافور:

  • 24 ٪ قدمت معلومات شخصية دون التحقق من هوية مقدم الطلب
  • طلب 16٪ نوع هوية مزور بسهولة لم يقدمه
  • 39٪ طلب نوع معرف “قوي”
  • قال 5٪ إنهم لا يملكون بيانات للمشاركة ، على الرغم من أن خطيبة لديها حساب يسيطر عليها
  • أساء 3٪ تفسير الطلب وقالوا أنهم حذفوا جميع بياناتها
  • 13٪ تجاهلوا الطلب تمامًا

Supply hyperlink

مقالات ذات صلة

زر الذهاب إلى الأعلى
إغلاق