GDPR je lahko z malo domišljije v rokah nepridipravov pravo atomsko orožje. Z uporabo družbenega inženiringa (social engineering) – pod pretvezo, da so oni lastniki osebnih podatkov se lahko prav hitro dokopljejo do občutljivih osebnih podatkov, ki jih nato uporabijo za nadaljnji napad.

V poletnih časih, ko se misli upočasnijo in dovolijo več odmika od rednih stalnic se mi je zastavilo vprašanje o varovalkah pri GDPRju. Namreč kaj če se nekdo drug izdaja za nas in od določene storitve/podjetja zahteva podatke, ki niso njihovi. Namreč GDPR je v tem delu bolj ohlapen in lahko se zgodi, da se podjetja izognejo visokim kaznim hitro vdajo in posredujejo podatke. Omejuje jih namreč kratek časovni rok, težavnost zbiranja vseh podatkov, …

V praksi bi bil postopek nekako sledeč: kreiram lažni račun npr. pri Gmailu, ki ima ime in priimek ciljane osebe. Potem na vse možne storitve, kot so Facebook, Twitter, Amazoon, … pošljem zahtevo za svoje podatke.

V primeru, da želijo osebni dokument, lahko slednjega hitro ustvarimo s pomočjo Photoshopa ali podobnih orodij, za gesla rečemo, da smo jih pozabili, ker jih imamo veliko, … da sedaj uporabljamo drug e-mail, kot tistega, ki smo ga imeli pri registraciji, … skratka možnosti je veliko. Če se tega lotimo res načrtno se lahko počasi dokopljemo do zelo velike količine podatkov.

Med brskanjem po spletu za opisan problem sem hitro našel zanimivo predavanje in “White paper”, ki se loteva točno zgoraj opisane tematika. Avtor James Pavur se je lotil zlorabe GDPRja v raziskovalne namene, njegova tarča pa je bila njegova zaročenka (z privoljenjem). Predavanje z naslovom “GDPArrrrr: Using Privacy Laws to Steal Identities” je bilo organizirano na dogodku Blackhat USA 2019, priporočam pa še ogled preostalih materialov.

Namen članka ni širjenje zlonamernih dejanj, ampak dvigovanje zavesti pri uporabnikih in pooblaščencih za osebne podatke, da se zavedajo moči podatkov, ki jih pustijo na spletu in da je potrebno uvesti ustrezne mehanizme za dostop do njih.