image

Onderzoeker steelt gevoelige data via AVG-inzageverzoeken

vrijdag 9 augustus 2019, 16:28 door Redactie, 9 reacties

De Algemene verordening gegevensbescherming (AVG) geeft Europese burgers het recht op inzage, maar via deze inzageverzoeken is het ook mogelijk om gevoelige gegevens van anderen te stelen, zo heeft onderzoeker James Pavur van de Universiteit van Oxford tijdens de Black Hat-conferentie in Las Vegas laten zien.

Via het recht op inzage kunnen burgers vragen welke gegevens een organisatie over hen heeft verzameld. "Mijn onderzoek richtte zich op een praktische casestudy waarin ik via recht op inzageverzoeken zoveel mogelijk informatie als mogelijk over mijn verloofde probeerde te stelen (met haar toestemming)", aldus Pavur. Voor het onderzoek schreef hij meer dan 150 organisaties aan, zonder een identiteitsbewijs van zijn verloofde te overleggen. Om met de organisaties te communiceren maakte hij een e-mailadres aan dat de naam van zijn vriendin bevatte.

Bijna een kwart (24 procent) van de aangeschreven organisaties verstrekte uiteindelijk persoonsinformatie aan de onderzoeker. Over het gehele onderzoek genomen wist hij allerlei onbekende persoonsinformatie te verzamelen, zoals telefoonnummers, ip-adressen, reisgegevens en aankoopgeschiedenis. In vijftien procent van de gevallen ging het om gevoelige data zoals een social security nummer, creditcardgegevens en wachtwoorden uit datadumps.

Grote bedrijven doen het goed, aldus de onderzoeker. 39 procent van de aangeschreven organisaties vroeg voor het verstrekken van de gevraagde gegevens om een "sterk" identiteitsbewijs. Kleine bedrijven bleken het verzoek om inzage juist te negeren (13 procent). Het zijn voornamelijk middelgrote bedrijven die met de AVG bekend zijn, maar geen proces hebben om inzageverzoeken te behandelen, die de fout ingaan.

Pavur adviseert bedrijven om inzageverzoeken via een ingelogd account te laten verlopen wanneer dit mogelijk is. Verder wordt aangeraden om elektronische identiteitsverificatie via een externe partij te laten lopen als de organisatie dit zelf niet kan en als laatste om verdachte inzageverzoeken te weigeren.

Image

Reacties (9)
09-08-2019, 23:26 door Anoniem
Bedrijven hebben helemaal geen "sterk" identiteitsbewijs nodig omdat ze die al niet hadden. Een postadres is al voldoende. Ze moeten niet vragen om een id als ze die niet al bezitten (met een valide reden). Helaas is dat wel de praktijk bij sommige bedrijven. Dat betekent dat ze om gegevens (zoals een paspoort) vragen die je privacy schaden en dat is niet de bedoeling van de GDPR.

En val s.v.p. al die bedrijven niet lastig met nutteloze verzoeken (150!). Deze wet is niet bedoeld voor om je ego te strelen, meneer de onderzoeker. Ga iets nuttigs doen.
10-08-2019, 08:18 door Anoniem
Door Anoniem: Bedrijven hebben helemaal geen "sterk" identiteitsbewijs nodig omdat ze die al niet hadden.
Als ze (nog kloppende) contactgegevens van je hebben zouden ze die gewoon moeten gebruiken. Als ze die niet hebben (omdat ze zijn veranderd of omdat ze gegevens over je verzameld hebben zonder dat jij bewust een relatie met ze bent aangegaan) dan zal er op de een of andere manier aannemelijk moeten maken dat jij echt degene bent waarover die gegevens gaan. Waarbij ik een scan van een identiteitsbewijs niet erg overtuigend vind, al zullen juristen dat vermoedelijk anders zien (er zijn notarissen die online diensten aanbieden die daar genoegen mee nemen).
En val s.v.p. al die bedrijven niet lastig met nutteloze verzoeken (150!). Deze wet is niet bedoeld voor om je ego te strelen, meneer de onderzoeker. Ga iets nuttigs doen.
Dit is nuttig, en dat staat los van de vraag of hij zijn ego hiermee streelt of niet. Het laat zien dat veel organisaties slordig zijn en zo gegevens lekken. Als niemand het zou onderzoeken had je hooguit kunnen vermoeden wat nu expliciet gemaakt is.
10-08-2019, 09:38 door karma4
Door Anoniem: ...
En val s.v.p. al die bedrijven niet lastig met nutteloze verzoeken (150!). Deze wet is niet bedoeld voor om je ego te strelen, meneer de onderzoeker. Ga iets nuttigs doen.

Het lastigvallen is met de GDPR door privacy voorvechters een standaard aanpak.
De GDPR is daar niet voor bedoeld daar zijn we het over eens.

Dat de hack door het gebruik van die wet allerlei zaken van anderen kan openbaren door een gebrek aan bewijs van juiste identiteit is wel zeker een goede vraag. Wat dat betreft is het onderzoek nuttig en goed uitgevoerd.
Het is een misvatting dat de beveiliging enkel maar een technisch ICY vraagstuk is. De GDPR is er juist voor om die misvatting aan te kunnen pakken. De verwerkingsverantwoordelijke is het bestuur (C-level) en niet een medewerker of extern bedrijf.
10-08-2019, 10:17 door Ron625
Door Redactie:Bijna een kwart (24 procent) van de aangeschreven organisaties verstrekte uiteindelijk persoonsinformatie aan de onderzoeker. Over het gehele onderzoek genomen wist hij allerlei onbekende persoonsinformatie te verzamelen, zoals telefoonnummers, ip-adressen, reisgegevens en aankoopgeschiedenis. In vijftien procent van de gevallen ging het om gevoelige data zoals een social security nummer, creditcardgegevens en wachtwoorden uit datadumps.
Veel van deze data mag niet via e-mail verzonden worden, omdat er geen briefgeheim op e-mail is.
Dus hoop ik voor deze organisaties, dat e.e.a. alleen op papier is beantwoord.
10-08-2019, 12:34 door Anoniem
weer mensen hiebroven die het niet snappen: als een onderzoeker met vooralsnog goedwillende bedoelingen dit kan (en dus nu openbaar maakt), kan een kwaadwillend persoon dat ook doen en onder de rader blijven (zeker als deze onderzoeker dit niet had gepubliceerd). het is dus nuttig onderzoek en jullie moeten dus niet steeds de boodschapper (de onderzzoekr) schieten maar die bedrijfjes en instellingen die steeds het kantje van de boord aan het lopen zijn. ook de wethouder die wel wetten maakt maar niet handhaafd omdat bezuinigingen om maar meer economie en consumptie te stimuleren om enkele rijker te laten worden belangrijker wordt geacht en daarbij vaak de naief kaart speelt achteraf.

proffiteurs zullen profiteren en cry wulf doen als ze worden ontmakstert => mensen die nu al cry wulf doen hierboven en onderzoeker framen, zijn dat dan proffiteurs? dat zou een leuke onderzoeks hypothese zijn weer. nu falsifiseren jonges. deze mensen hierboven zouden immers ook last kunnen hebben van Dunning-Kruger (de minder competente variatie hiervan natuurlijk, aar dat mocht uit de context wel duidelijk zijn eigenlijk maarja Dunnig-Kruger dus zetten we het er maar weer bij :) al is het maar voor de std monty python ironie factor).
10-08-2019, 13:12 door Anoniem
Er staat in mijn pas dat ik die enkel aan bevoegde instanties moet tonen. En ook zeker dat ik niet jan en alleman zomaar een kopie mag sturen.

Al die internet bedrijven zijn niet bevoegd om mijn pas te eisen en middels email en zo al helemaal niet in staat om te controleren of ik het wel echt ben. Of de foto lijkt, bijvoorbeeld.

Omdat ik wel mijn rechten heb middels de AVG, lijkt het mij evident dat om me correct te te identificeren, ik niet helemaal naar al die belastingvrije hoofdkwartieren in Ierland hoef te reizen. Maar dat ze netjes naar mij komen. Aan de deur. Op een tijdstip dat mij uitkomt.

Of ze dan met een drone komen of lopend maakt mij niet uit.
10-08-2019, 16:34 door karma4
Door Anoniem: Er staat in mijn pas dat ik die enkel aan bevoegde instanties moet tonen. En ook zeker dat ik niet jan en alleman zomaar een kopie mag sturen.....

Waar staat in dat paspoort dat niet iedereen een kopie zou mogen hebben?

Het is een hulpmiddel bij het bewijzen dat je de betreffende persoon echt bent. Alleen het origineel kan daarbij ingezet worden.
Een kopie zegt niets, enkel dat de ontvangende instantie een kopietje bemachtigd heeft.

Tja de faal van BZK RVIG en het AP is hardnekkig. Het enige wat er op zit is vasthouden aan de echte wettelijke verplichting (artikel 12 bij gebruik BSN)
11-08-2019, 10:46 door Briolet
Door karma4:Waar staat in dat paspoort dat niet iedereen een kopie zou mogen hebben?

Het is een hulpmiddel bij het bewijzen dat je de betreffende persoon echt bent. Alleen het origineel kan daarbij ingezet worden.
Een kopie zegt niets…

Een kopie kun je door de gemeente laten waarmerken. Je gaat dus met het originele paspoort naar de gemeente en zij controleren het echte document. Volgens mij bieden alle gemeenten deze service. Daarom snap ik nog steeds niet dat er bedrijven zijn die een kaal kopietje gebruiken om een identiteit vast te stellen.

Anderzijds is zo'n waarmerk vaak niet meer dan een stempel, die een beetje vervalser wel kan namaken. (Waar je in Amsterdam zo'n € 19.- voor betaalt)
11-08-2019, 13:28 door karma4
Door Briolet:
Een kopie kun je door de gemeente laten waarmerken. Je gaat dus met het originele paspoort naar de gemeente en zij controleren het echte document. Volgens mij bieden alle gemeenten deze service. Daarom snap ik nog steeds niet dat er bedrijven zijn die een kaal kopietje gebruiken om een identiteit vast te stellen. ..
Het is het BZK RVIG wat hier faalt. De Belgen hebben naast die pas en met die pas met aparte sleutel keys op dezelfde manier als bij banken het leveren van dat bewijs dat je het bent verder ingevuld. Nog steeds niet een absoluut iets.

Het is wel veel beter dan het niets van BZK RVIG hier. en geldig paspoort wat je bezit en de werkende sleutels etc.
De bedrijven hier worden met het onmogelijke opgezadeld om te bewijzen dat ze hun best hebben gedaan om de identiteit vast te stellen. Dan komt het "bewaar maar een scan van de pas" als oplossing.

Wel jammer:
Het AP weet niets, kan niets over dat invullen van het noodzakelijke bewijs.
Ze ondergraven wel de doelstelling en werken daarmee privacy schendingen en fraude in de hand.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.