Новый закон Калифорнии о конфиденциальности дает потребителям право просматривать и удалять свои данные.
Однако для доступа к ним часто приходится выдавать еще больше своих данных.
Компании просят пользователей предоставить свою личную информацию, прежде чем предоставлять им доступ к своим данным – и все это для того, чтобы предотвратить предоставление доступа к своим данным не тем людям.
Новый год принес с собой новую Закон Калифорнии о персональных данных, предоставляя местным жителям больше контроля над использованием своих цифровых данных.
При этом повезло не только жителям этого штата — многие компании распространяют защиту данных на всех пользователей в США.
Наиболее важной частью этой защиты является право пользователя видеть, какие данные о нем собираются, и удалять их.
Осенью я воспользовался право на проверку эту систему и отправил запросы на его данные компаниям, занимающимся составлением профилей потребителей и их оценкой.
Одна компания, Sift, которая оценивает кредитоспособность потребителей, прислала мне мой 400-страничный файл, содержащий сообщения Airbnb, заказы Yelp и активность Coinbase за эти годы.
Вскоре после публикации моей статьи Sift завалили запросами — за короткое время компания получила более 16 000 подобных запросов и была вынуждена нанять подрядчика для их обработки.
Этот подрядчик Бербикс , помог проверить личности людей, запрашивающих их данные, потребовав от них загрузить фотографию своего паспорта и сделать селфи.
Затем компания потребовала от них сделать второе селфи со следующим условием: «Убедитесь, что вы выглядите счастливым или радостным на фотографии, и повторите попытку».
Многим людям, читавшим о моем опыте работы с системой, не нравились требования Berbix, в том числе необходимость улыбаться для доступа к файлу.
«Это то кошмарное будущее, когда я не могу запросить свои данные в каком-то жутком сомнительном кредитном бюро, не улыбнувшись сначала — и это чистое безумие», — написал мне Джек Фелпс, программист из Нью-Йорка.
«Что-то не так с тем, что нам приходится делиться еще большим количеством личной информации», — написала другая читательница, Барбара Клэнси, профессор нейробиологии на пенсии из Арканзаса.
Вот печальная реальность: чтобы вернуть свои личные данные, вам придется отказаться от еще большего количества личных данных.
Сначала это кажется ужасным.
Алистер Барр из Bloomberg назвал это «новым кругом ада конфиденциальности».
Однако для этого есть серьезные причины.
Компании не хотят передавать личные данные не тому человеку, и такое уже случалось в прошлом.
В 2018 году Амазонка отправил постороннему лицу 1700 аудиофайлов записей разговоров с помощником Alexa одного из своих клиентов.
Право на доступ к личным данным установлено новым законом Калифорнии о конфиденциальности потребителей.
Закон частично повторяет европейское регулирование, известное как Общий регламент по защите данных (GDPR).
Вскоре после вступления постановления в силу, в мае 2018 года, хакер получил доступ к аккаунту Spotify директора технологической компании Цзинь Ян и успешно выполнил запрос на получение персональных данных, узнав ее домашний адрес, данные банковской карты и музыку.
история прослушивания.
С тех пор уже два группы Исследователи показали, что можно обмануть системы, разработанные в соответствии с требованиями GDPR, чтобы получить личную информацию неавторизованного лица.Сегодня я обнаружил печальное последствие GDPR: как только кто-то взломает вашу учетную запись, он может запросить — и потенциально получить доступ — все ваши данные.
Тот, кто взломал мой @spotify Учетная запись получила всю мою историю потокового вещания, песен и т. д., просто запросив ее.
— Жан Ян (@jeanqasaur) 11 сентября 2018 г.
Один из исследователей, Джеймс Павюр, 24-летний аспирант Оксфордского университета, разослал запросы данных от имени своего партнера по исследованию и жены Кейси Кнерр 150 компаниям, используя ее данные, которые можно было легко найти.
в сети Интернет — почтовый адрес, адрес электронной почты и номер телефона.
Для отправки запросов он специально установил электронный почтовый ящик, похожий на одно из написаний ее имени.
И четверть этих компаний отправила ему ее личную информацию.
«Я получил ее номер социального страхования, ее школьные оценки, большую часть информации о ее банковской карте», — сказал Павиур.
«Компания, занимающаяся угрозой кибербезопасности, прислала мне все свои утекшие пароли».
Мариано Ди Мартино и Питер Робинс, исследователи компьютерных наук из Университета Хасселта в Бельгии, добились примерно такого же процента успеха, обратившись к 55 финансовым, развлекательным и новостным компаниям.
Они запросили данные друг у друга, правда, используя более продвинутые технологии, чем у Павура, — в частности, подменили на фотографии в графическом редакторе чужие паспорта.
В одном случае Ди Мартино удалось получить данные о совершенно незнакомом человеке, имя которого было похоже на Робинс.
Исследователи из обеих групп решили, что новый закон о правах на данные – это хорошо.
Однако они отмечают, что компаниям необходимо повысить безопасность своей деятельности, чтобы избежать дальнейшего нарушения конфиденциальности пользователей.
«Компании спешат принимать решения, которые приводят их к небезопасным практикам», — сказал Робинс.
Разные компании используют разные технологии проверки личности.
Многие люди просто просят фотографию своих водительских прав.
Retail Equation, которое решает, может ли потребитель вернуть товар розничным продавцам, таким как Best Buy и Victoria's Secret, запрашивает только имя человека и номер водительского удостоверения.
Широкий спектр компаний, от Baskin Robbins до The New York Times, которые теперь обязаны гарантировать возврат данных пользователю, имеют самые разные уровни знаний и опыта в области безопасности данных.
Такие компании, как Apple, Amazon и Twitter, могут попросить пользователя подтвердить свою личность, войдя в свою учетную запись.
Все они также уведомляют пользователя о получении запроса на данные, что может предупредить людей, если их учетная запись была взломана.
Представитель Apple заявил, что после такого запроса компания использует дополнительные методы для проверки личности пользователя, хотя он отметил, что не может раскрыть подробности этих методов по соображениям безопасности.
Если пользователи не могут подтвердить свою личность, войдя в учетную запись, Ди Мартино и Робинс рекомендуют компаниям отправлять электронные письма, звонить или запрашивать информацию, которую может знать только пользователь, например номер недавнего чека.
«Регулирующие органы должны более глубоко задуматься о непредвиденных последствиях доступа пользователей к чтению и удалению своих данных», — сказал Стив Киркхэм, который пять лет работал в команде безопасности Airbnb, прежде чем основать Berbix в 2018 году.
«Мы хотим предотвратить мошеннические запросы и удовлетворить законных».
И регуляторы об этом думают. Закон Калифорнии требует от предприятий «подтверждать личность потребителя, делающего запрос, с разумной степенью уверенности» и обеспечивать более строгую проверку для получения «конфиденциальной или ценной информации».
Киркхэм сказал, что Berbix запрашивает первое селфи пользователя, чтобы увидеть, соответствует ли лицо фотографии на удостоверении личности, а второе — для выражения радости или других эмоций, чтобы убедиться, что злоумышленник не держит фотографию перед камерой.
Киркхэм сказал, что Berbix удаляет собранные данные в течение семи дней или года, в зависимости от запроса работодателя (Sift удаляет все данные через две недели).
«Это новый вектор угроз, о котором компаниям необходимо задуматься», — сказал Блейк Брэннон, вице-президент OneTrust, еще одной компании, помогающей предприятиям соблюдать новые законы о конфиденциальности.
OneTrust предлагает своим 4500 клиентам возможность создавать несколько уровней проверки личности, например, отправку кодового сообщения на телефон или подтверждение владения адресом электронной почты.
«Если я запрошу что-то простое, проверка будет минимальной, в отличие от запроса на удаление данных», — сказал Бреннон.
«В последнем случае потребуется больше уровней проверки».
Киркхэм из Berbix сказал, что процесс проверки личности заставляет некоторых людей вообще отказываться от выполнения запроса.
«Многие люди не хотят раскрывать дополнительную информацию», — сказал Крикам.
«Они предполагают, что мы сделаем с ней что-то злое».
И добавил: «Однако в этом есть ирония.
Нам требуется дополнительная информация от людей, чтобы защитить их.
Мы хотим убедиться, что вы являетесь тем, кем вы себя называете».
Теги: #информационная безопасность #Социальные сети и сообщества #персональные данные #персональные данные #частная жизнь
-
Вам Нужны Услуги Веб-Сайта Uebersetzen?
19 Oct, 24
