🥒 🦖 ☺️ Um Ihre persönlichen Daten zu erhalten, müssen Sie noch mehr persönliche Daten preisgeben 👨‍💻 🚥 🔩

Das neue kalifornische Datenschutzgesetz gibt Verbrauchern das Recht, ihre Daten anzuzeigen und zu löschen. Um auf sie zugreifen zu können, müssen sie jedoch häufig noch mehr Daten preisgeben.

Unternehmen fordern Benutzer auf, ihre persönlichen Daten anzugeben, bevor sie Zugriff auf ihre Daten erhalten - und all dies ist erforderlich, um den Zugriff auf die Daten für die falschen Personen zu verhindern. Das

neue Jahr brachte ein neues kalifornisches Gesetz über personenbezogene Daten mit sich, das den Anwohnern mehr Kontrolle gibt über die Verwendung ihrer digitalen Daten. Gleichzeitig hatten nicht nur Einwohner dieses Bundesstaates Glück - viele Unternehmen erweitern den Datenschutz für alle Benutzer in den USA. Der wichtigste Teil dieses Schutzes ist das Recht des Benutzers, zu sehen, welche Daten über ihn gesammelt werden, und diese zu löschen.

Im Herbst habe ich von meinem Kontrollrecht Gebrauch gemachtdieses Systems und schickte Anfragen nach seinen Daten an Unternehmen, die an der Erstellung von Verbraucherprofilen und deren Bewertung beteiligt sind. Eines der Unternehmen, Sift, das die Kreditwürdigkeit von Verbrauchern misst, schickte mir meine 400-seitige Datei, die Nachrichten von Airbnb, Bestellungen von Yelp und langjährige Aktivitäten bei Coinbase enthielt. Kurz nach der Veröffentlichung meines Artikels war Sift mit den Anforderungen überfordert - das Unternehmen erhielt in kurzer Zeit mehr als 16.000 solcher Anfragen, und sie musste einen Auftragnehmer beauftragen, um diese zu bearbeiten.

Dieser Auftragnehmer, Berbix , half bei der Ermittlung der Identität von Personen, die ihre Daten anfordern, indem er sie aufforderte, ein Foto ihres Reisepasses hochzuladen und Selfies aufzunehmen. Dann forderte die Firma, dass sie ein zweites Selfie mit der folgenden Bedingung machen: " Stellen Sie sicher, dass Sie auf dem Foto glücklich oder fröhlich aussehen, und versuchen Sie es erneut."

Viele Leute, die über meine Erfahrungen mit diesem System gelesen haben, mochten nicht, was Berbix benötigte, einschließlich der Notwendigkeit zu lächeln, um Zugriff auf die Datei zu erhalten.

"Dies ist eine albtraumhafte Zukunft, in der ich meine Daten nicht von einem dummen Schattenkreditbüro anfordern kann, ohne ihn zuerst anzulächeln - und das ist purer Wahnsinn", schrieb Jack Phelps, ein Programmierer aus New York.

"Es ist etwas falsch daran, mehr persönliche Informationen weiterzugeben", schrieb eine andere Leserin, die pensionierte Barbara Clancy, Professorin für Neurowissenschaften in Arkansas.

Dies ist eine unangenehme Realität: Um Ihre persönlichen Daten zu erhalten, müssen Sie sich von noch mehr persönlichen Daten trennen. Auf den ersten Blick scheint es schrecklich. Alistair Barr von Bloomberg nannte es "einen neuen Kreis der Hölle für die Privatsphäre".

Dafür gibt es jedoch schwerwiegende Gründe. Unternehmen möchten personenbezogene Daten nicht an die falsche Person weitergeben, dies ist jedoch bereits in der Vergangenheit geschehen. Im Jahr 2018 schickte Amazon mit einem Assistenten von Alexa 1.700 Audiodateien mit Gesprächsaufzeichnungen an einen seiner Kunden.

Das Recht auf Zugang zu personenbezogenen Daten wird durch den neuen California Consumer Confidentiality Act festgelegt. Das Gesetz wiederholt teilweise die europäische Verordnung, die als Allgemeine Datenschutzverordnung (DSGVO) bekannt ist. Kurz nach Inkrafttreten der Verordnung, im Mai 2018, erhielt ein Hacker Zugang zum Konto des Direktors des Technologieunternehmens Jin Yang im Spotify-Dienst und überprüfte erfolgreich die Anfrage nach persönlichen Daten, nachdem er ihre Privatadresse, Informationen auf einer Bankkarte und die Geschichte der Musik, die sie hörte, erfahren hatte.

Seitdem zwei Gruppen von Forschern haben gezeigt , dass es möglich ist , Systeme zu täuschen geschaffen , um die Anforderungen der BIPR gerecht zu werden, um Daten von einem Außenstehenden zu erhalten.

Ein Forscher, James Pavur, ein 24-jähriger Doktorand an der Universität Oxford, sandte im Namen seines Forschungspartners und seiner Frau Casey Knerr Datenanfragen an 150 Unternehmen, wobei er ihre Daten verwendete, die im Internet leicht zu finden waren - Postanschrift , E-Mail-Adresse und Telefonnummer. Um Anfragen zu senden, öffnete er speziell einen elektronischen Briefkasten, ähnlich einer der Schreibweisen ihres Namens. Und ein Viertel dieser Unternehmen schickte ihm ihre persönlichen Daten.

"Ich habe ihre Sozialversicherungsnummer, eine Liste der Schulnoten und ein großes Stück Bankkarteninformationen", sagte Pavur. "Das Unternehmen für Informationssicherheitsbedrohung hat mir alle Passwörter gesendet, die an das Netzwerk gesendet wurden."

Mariano Di Martino und Peter Robins, Informatikforscher an der Universität Hasselt in Belgien, erzielten mit 55 Finanz-, Unterhaltungs- und Nachrichtenunternehmen ungefähr den gleichen prozentualen Erfolg. Sie forderten sich gegenseitig Daten an, verwendeten jedoch fortschrittlichere Technologien als die von Pavyur und ersetzten die Pässe anderer Personen in einem Bildbearbeitungsprogramm. In einem Fall gelang es Di Martino, die Daten eines völlig Fremden zu erhalten, dessen Name dem Namen Robins ähnelte.

Forscher beider Gruppen haben entschieden, dass das neue Datenrechtsgesetz nützlich ist. Sie stellen jedoch fest, dass Unternehmen die Sicherheit ihrer Arbeit verbessern müssen, um eine weitere Beeinträchtigung der Privatsphäre der Benutzer zu vermeiden.

"Unternehmen haben es eilig, Entscheidungen zu treffen, die sie zu unsicheren Praktiken führen", sagte Robins.

Verschiedene Unternehmen haben unterschiedliche Technologien, um ihre Identität zu bestätigen. Viele fragen nur nach einem Foto eines Führerscheins. Die Firma Retail Equation, die entscheidet, ob der Verbraucher die Waren an Einzelhandelsgeschäfte wie Best Buy und Victoria's Secret zurückgeben kann, fragt nur nach dem Namen und der Nummer des Führerscheins.

Von Baskin Robbins bis zur New York Times verfügen eine Vielzahl von Unternehmen, die dem Benutzer nun Rückgabedaten zur Verfügung stellen müssen, über sehr unterschiedliche Kenntnisse und Erfahrungen auf dem Gebiet der Datensicherheit.

Unternehmen wie Apple, Amazon und Twitter können den Benutzer auffordern, seine Identität zu überprüfen, indem sie sich bei ihrem Konto anmelden. Außerdem informieren sie alle den Benutzer über den Empfang einer Datenanforderung, die Personen warnen kann, falls ihr Konto gehackt wird. Ein Apple-Sprecher sagte, dass das Unternehmen nach dem Absenden einer solchen Anfrage zusätzliche Methoden verwendet, um die Identität des Benutzers zu überprüfen, obwohl es feststellte, dass es die Einzelheiten dieser Methoden aus Sicherheitsgründen nicht offenlegen kann.

Für den Fall, dass Benutzer ihre Identität nicht durch Anmelden überprüfen können, empfehlen Di Martino und Robins Unternehmen, ihnen eine E-Mail zu senden, Informationen anzurufen oder anzufordern, die nur der Benutzer kennen kann, z. B. die Nummer einer kürzlich durchgeführten Überprüfung.

"Die Aufsichtsbehörden müssen sich eingehender mit den unbeabsichtigten Folgen des Benutzerzugriffs auf das Lesen und Löschen ihrer Daten befassen", sagte Steve Kirkam, der fünf Jahre im Airbnb-Sicherheitsteam gearbeitet hatte, bevor er 2018 Berbix gründete. "Wir wollen betrügerische Anfragen verhindern und legitime Anfragen befriedigen."

Und die Aufsichtsbehörden denken darüber nach. Nach kalifornischem Recht müssen Unternehmen „die Identität des Verbrauchers, der die Anfrage eingereicht hat, mit hinreichender Sicherheit überprüfen“ und eine strengere Prüfung durchführen, um „sensible oder wertvolle Informationen“ zu erhalten.

Kirkam sagte, Berbix habe das erste Benutzer-Selfie gebeten, herauszufinden, ob das Gesicht mit dem Foto auf den Dokumenten übereinstimmt, und das zweite mit einem Ausdruck der Freude oder anderer Emotionen, um sicherzustellen, dass der Angreifer das Foto nicht vor die Kamera hält. Kirkam sagte, Berbix lösche gesammelte Daten von sieben Tagen bis zu einem Jahr, je nachdem, was der Arbeitgeber verlangt (Sift löscht alle Daten nach zwei Wochen).

"Dies ist ein neuer Bereich von Bedrohungen, über den Unternehmen nachdenken müssen", sagte Blake Brennon, Vice President von OneTrust, einem anderen Unternehmen, das Unternehmen bei der Einhaltung neuer Gesetze zu personenbezogenen Daten unterstützt. OneTrust bietet seinen 4.500 Kunden die Möglichkeit, verschiedene Ebenen der Identitätsprüfung zu erstellen, z. B. das Senden einer Codenachricht an ein Telefon oder das Überprüfen des Besitzes einer E-Mail-Adresse.

"Wenn ich nach etwas Einfachem frage, ist die Überprüfung im Gegensatz zu einer Aufforderung zum Löschen von Daten minimal", sagte Brennon. "Im letzteren Fall sind mehr Verifizierungsstufen erforderlich."

Kirkam von Berkix sagte, dass der Identitätsprüfungsprozess einige Leute dazu bringt, sich zu weigern, die Anfrage insgesamt abzuschließen. "Viele Menschen wollen nicht noch mehr Informationen herausgeben", sagte Crickham. "Sie schlagen vor, dass wir etwas Böses mit ihr machen werden." Und er fügte hinzu: „Dies ist jedoch die Ironie. Wir benötigen zusätzliche Informationen von Personen, um sie zu schützen. Wir möchten sicherstellen, dass Sie der sind, von dem Sie sagen, dass Sie es sind. “

Um Ihre persönlichen Daten zu erhalten, müssen Sie noch mehr persönliche Daten preisgeben

Das neue kalifornische Datenschutzgesetz gibt Verbrauchern das Recht, ihre Daten anzuzeigen und zu löschen. Um auf sie zugreifen zu können, müssen sie jedoch häufig noch mehr Daten preisgeben.

More articles: