Exploatarea legilor GDPR pentru a avea acces la datele cu caracter personal ?

Exploatarea legilor GDPR

Cercetările arată cum sistemele de protecție a datelor sunt vulnerabile la atac.  Un cercetător în domeniul securității a detaliat modul în care au reușit să exploateze legile GDPR pentru a scurge informații personale sensibile din sistemele puse în aplicare pentru a le proteja.

Vânătorul de recompense Hx01 , cu normă întreagă, a detaliat modul în care au reușit să obțină acces la informații de identificare personală (PII) stocate de diferite organizații, inclusiv companii Fortune 500.

Regulamentul general privind protecția datelor (GDPR) a fost introdus în întreaga UE în mai 2018 pentru a proteja datele cetățenilor. Conform legislației extinse, persoanele pot utiliza o cerere de acces a persoanelor vizate (DSAR) pentru a accesa informațiile pe care o organizație le prelucrează despre acestea.

Cu toate acestea, după cum a constatat Hx01, multe dintre aceste organizații sunt expuse vulnerabilităților DSAR și exploatează „variind de la lipsa confirmărilor prin e-mail la un SSTI care afectează mai multe organizații”, ceea ce înseamnă că un atacator neautorizat ar putea avea acces la date private.

O vulnerabilitate găsită de Hx01 a fost formularele DSAR neautentificate. Portalurile DSAR permit utilizatorilor să facă modificări la datele pe care le deține o organizație, care pot fi făcute pe un formular online. În unele cazuri, utilizatorii neautentificați ar putea trimite un formular care solicită eliminarea sau modificarea datelor fără a fi nevoie să se verifice prin e-mail. Aceasta înseamnă că datele unei persoane fizice pot fi modificate de către un imitator, care poate merge până la ștergerea informațiilor sau a contului.

Cercetătorul în materie de securitate a detaliat, de asemenea, modul în care o platformă DSAR disponibilă de 6.000 de organizații , inclusiv companii Fortune 500, a fost vulnerabilă la atacurile de tip server-side injection (SSTI), care ar putea fi folosite pentru a confirma solicitările ca victimă.

În plus, companiile care acceptă cereri DSAR prin canalele de e-mail ar procesa deseori cererea fără verificare, permițând unui atacator să falsifice e-mailurile în numele victimei și să trimită o cerere DSAR din cauza lipsei autentificării prin e-mail. Aceasta însemna că solicitările păreau legitime și erau procesate în consecință.

Vorbind la Daily Swig , Hx01 a spus: „Impactul descoperirilor a variat de la organizație la organizație, de exemplu, o firmă de verificare a istoricului ar trimite înapoi SSN-ul complet al unui candidat cu alte informații PII, în timp ce o organizație ar șterge toate fișierele proiectului și integrări permanent fără confirmarea cu clientul. ”

Ei au adăugat: „Dacă ar fi exploatat în general, acest lucru ar fi putut fi folosit pentru a fura / șterge / modifica PII-ul victimei. „În mod ironic, legile GDPR au fost făcute pentru a proteja datele private ale utilizatorilor, cu toate acestea ar putea fi abuzate pentru a exfiltra datele private ale utilizatorilor. „Atenuarea ar include verificarea adecvată a DSAR înainte de a continua cererea.”

O explicație mai detaliată a modului de atenuare împotriva acestor vulnerabilități poate fi găsită într-o notă tehnică (PDF) din Hx01.

Exit mobile version