Европейские законы о защите данных могут успешно использовать мошенники

10.08.2019 13:40 131

С помощью закона можно узнать очень многое о другом человеке.

В европейских странах действует закон GDPR. Как он работает?

Этот закон призван вернуть пользователям контроль над их персональными данными. Европейцы могут потребовать от любого интернет-сервиса все свои данные, которые он хранит. Но часто компании не уделяют достаточно внимания проверке идентичности заявителя.

Исследователь кибербезопасности из Великобритании Джеймс Павур провел эксперимент и отправил в 75 компаний запросы от имени своей девушки, используя публично доступные данные — её имя, номер телефона и адрес электронной почты. Об этом сообщает Vice.

Те компании, которым хватило этих данных, удовлетворили по сути мошеннический запрос, раскрыв, к примеру, домашний адрес заявителя. С новыми данными, Джеймс отправил заявки от имени своей девушки ещё в 75 компаний. И в этот раз сумел получить её номер страховки (SSN), девичью фамилию матери, пароли, предыдущие адреса, историю путешествий и бронирований гостиниц, университетские оценки и номера кредитных карт. Также он узнал, была ли она пользователем тех или иных сайтов знакомств.

Все же радует, что некоторые компании для удовлетворения запроса таки требовали отправить письмо с оригинального e-mail пользователя.

Эксперимент показал, что если компании, которые хранят данные пользователей, не обеспечат механизмы проверки личности, GDPR может быть использован для социального хакинга и разного рода цифрового мошенничества.

Читайте также: