Home Sociedad La política de Derecho de Acceso de GDPR, puede ser abusada para...

La política de Derecho de Acceso de GDPR, puede ser abusada para robar la información personal de otros

Un académico de la Universidad de Oxford, asegura que fue capaz de engañar a docenas de empresas europeas para que le enviaran datos confidenciales sobre su prometida, simplemente haciéndose pasar por ella mientras invocaba la política de “Derecho de acceso” de GDPR.

El estudiante de doctorado en filosofía, James Pavur, que presentó sus hallazgos de investigación, el jueves último, en la conferencia Black Hat en Las Vegas, explotó la política el pasado mes de febrero creando una dirección de correo electrónico falsa desde la que envió correos electrónicos a 150 compañías bajo la supuesta identidad de su futura esposa. En el correo electrónico se pedía a las empresas que revelaran cualquier dato personal que hubieran recopilado sobre ella. Las empresas estaban obligadas a responder bajo los términos del marco regulatorio de GDPR.

De las 150 empresas, 84 afirmaron que estaban almacenando información sobre ella. De ese subconjunto más pequeño, sólo el 39 por ciento de las empresas insistió en que Pavur primero verificara su identidad presentando una fuerte forma de identificación que le resultaría difícil de falsificar, como un pasaporte.

Por otro lado, el 24 por ciento proporcionó voluntariamente la información de la novia sin más preguntas, mientras que otro 16 por ciento estaba dispuesto a aceptar una forma débil de identificación (como una dirección de correo electrónico o un número de teléfono, que es fácil de conseguir).

El trece por ciento ignoró la solicitud, a riesgo de violar la política de “Derecho de Acceso” de GDPR, mientras que el cinco por ciento sostuvo que no estaban sujetos a la ley porque tenían su sede en Estados Unidos – una postura que tal vez los tribunales decidan algún día. Otro cinco por ciento afirmó que no tenía datos sobre ella.

Curiosamente, el tres por ciento final eliminó inmediatamente la cuenta de la novia simplemente para evitar el problema de compartir. “La negación del servicio a través de GDPR fue una consecuencia muy poco intencionada. Por suerte para mí. Todavía estoy comprometida. Ninguna de las cuentas era importante para ella”, dijo Pavur. “Pero pueden imaginar una versión peor de este ataque, donde en lugar de pedir esta información, les dije a las compañías que borraran su cuenta, y qué impacto podría haber tenido en su vida digital.”

La información que Pavur obtuvo sobre su prometida, varió de baja a muy alta sensibilidad. Uno de los ejemplos más atroces fue el de una empresa de servicios educativos que le dio a Pavur su número de Seguro Social, el apellido de soltera de su madre y las notas de la escuela secundaria a su prometida. “…El sitio web de esta compañía sugiere que tienen al menos 10 millones de registros como este que son”, dijo Pavur.

Irónicamente, otro negocio que reveló datos altamente sensibles fue una compañía de inteligencia de amenazas que analiza los volcados de datos para determinar si las organizaciones han sido violadas y comprometidas. Esta compañía le envió a Pavur una lista de las viejas contraseñas de su prometida, las cuales se determinó que estaban comprometidas en violaciones pasadas. Los clientes de los servicios en línea suelen reutilizar las mismas contraseñas una y otra vez, lo que significa que los atacantes podrían abusar de las solicitudes de derecho de acceso para determinar las credenciales pasadas y presentes de sus objetivos.

Pavur también engañó a una cadena de hoteles para que revelara una lista de lugares donde se alojaba su prometida, y engañó a una compañía de ferrocarriles para que revelara sus viajes anteriores. Incluso recopiló información financiera limitada sobre ella, incluyendo 10 dígitos de su tarjeta de crédito y la fecha de vencimiento.

Toda la experiencia de Pavur fue un feliz accidente que resultó de una apuesta que hizo con su prometida mientras estaba en un aeropuerto de Polonia. La pareja estaba molesta por su tratamiento por parte de una aerolínea europea, y la prometida de Pavur sugirió que obtuvieran una “pequeña venganza” al desperdiciar el tiempo de la aerolínea con una solicitud frívola de Derecho de Acceso.

“Me pareció muy inteligente, pero di un paso más allá y dije:’¿Sabes qué? Esta aerolínea es tan incompetente, apuesto a que ni siquiera comprobarán que los pedidos vinieron de nosotros.

“Apuesto a que podría robar tu identidad usando GDPR.” Ella dijo, “Estás en el aire. Dos meses y 150 solicitudes de GDPR más tarde, reuní un tesoro de información sensible sobre ella”.

Pavur dijo que su ataque es eficaz, porque las empresas europeas se enfrentan a una gran presión para responder a las solicitudes de derecho de acceso de manera oportuna, a fin de no tener que hacer frente a posibles multas.

Para mitigar esta vulnerabilidad de GDPR, Pavur sugiere que las compañías que reciben solicitudes de Derecho de Acceso deben requerir inicios de sesión de cuentas (si están disponibles), subcontratar el proceso si está más allá de sus capacidades, y rechazar la solicitud si suena sospechoso. También recomienda que los legisladores europeos tomen medidas para asegurar a las empresas que pueden rechazar las solicitudes de buena fe, así como para aclarar las formas apropiadas de verificación de identidad y proporcionar servicios de verificación de identidad, mediados por el gobierno.

Con información de: SC Magazine.