Cum te lasă vulnerabil legea care ar trebui să-ți protejeze datele personale

Dacă ai simțit că datele tale personale sunt mai în siguranță după promulgarea legii GDPR, există posibilitatea să te fi înșelat.

Legea a fost promulgată în 2018 și a fost gândită pentru a asigura protecția datelor personale ale cetățenilor europeni. Totuși, probabil nimeni nu a crezut că aceasta ar putea fi folosită ca instrument de identificare.

James Pavur cercetător în domeniul securității a reușit să facă exact acest lucru, exploatând legea GDPR care ar fi trebuit să îi protejeze pe europeni. Astfel, acesta a reușit să convingă anumite companii să îi dea CNP-uri, parole și alte date prin folosirea dreptului de acces la informații. Acesta este un mecanism pe care cetățenii din Europa îl au la dispoziție pentru a solicita companiilor datele pe care le au despre ei.

Cum a exploatat cercetătorul legea GDPR

Totul a pornit de la un pariu pe care James Pavur l-a făcut cu logodnica sa: i-a garantat acesteia că îi va putea fura identitatea folosindu-se de cereri în baza legii GDPR. Astfel, acesta a încercat să testeze cum anumite companii vor administra aceste cereri făcute în numele altcuiva.

A trimis solicitări către 75 de companii și a reușit să afle în acest fel următoarele date cu caracter personal despre logodnica sa: codul numeric personal, data de naștere, numele de dinaintea căsătoriei al mamei sale, parole, adrese la care locuise în trecut, date despre cazări la hoteluri și informații de călătorie, note din timpul liceului, numere parțiale ale cardurilor. De asemenea, acesta a reușit să afle și dacă aceasta a folosit vreodată serviciile unor aplicații de dating.

Scopul acestuia a fost să arate că deși GDPR ajută consumatorii să aibă mai mult control asupra datelor personale, poate deschide calea către anumite scenarii în care aceasta poate fi exploatată, iar anumite informații cu caracter personal pot fi obținute de cei rău-intenționați.