Get best of the week

Para obtener sus datos personales, debe proporcionar aún más datos personales.

La nueva Ley de privacidad de datos personales de California otorga a los consumidores el derecho de ver y eliminar sus datos. Sin embargo, para acceder a ellos a menudo tienen que dar aún más datos.



Las empresas solicitan a los usuarios que proporcionen sus datos personales antes de darles acceso a sus datos, y todo esto es necesario para evitar el acceso a los datos de las personas equivocadas. El

Año Nuevo trajo consigo una nueva ley de California sobre datos personales, que brinda a los residentes locales más control sobre el uso de sus datos digitales. Al mismo tiempo, no solo los residentes de este estado tuvieron suerte: muchas empresas están expandiendo la protección de datos para todos los usuarios en los Estados Unidos. La parte más importante de esta protección es el derecho del usuario a ver qué datos se recopilan sobre él y eliminarlos.

En otoño ejercí mi derecho a verificarde este sistema, y ​​envió solicitudes de sus datos a empresas involucradas en la creación de perfiles de consumidores y su evaluación. Una de las compañías, Sift, que evalúa la solvencia de los consumidores, me envió mi archivo de 400 páginas, que contenía mensajes de Airbnb, pedidos de Yelp y actividad con Coinbase durante muchos años. Poco después de la publicación de mi artículo, Sift se vio abrumada por los requisitos: la empresa recibió en poco tiempo más de 16,000 solicitudes de este tipo y tuvo que contratar a un contratista para que las manejara.

Este contratista, Berbix , ayudó a establecer la identidad de las personas que solicitan sus datos al exigirles que carguen una foto de su pasaporte y se tomen selfies. Luego, la compañía exigió que se tomaran una segunda selfie con la siguiente condición: "Asegúrate de verte feliz o alegre en la foto e inténtalo de nuevo".

A muchas personas que leyeron sobre mi experiencia con este sistema no les gustó lo que Berbix requería, incluida la necesidad de sonreír para acceder al archivo.

"Este es un futuro de pesadilla en el que no puedo pedir mis datos de un buró de crédito tonto sin antes sonreírle, y esto es pura locura", escribió Jack Phelps, un programador de Nueva York.



"Hay algo malo en compartir aún más información personal", escribió otra lectora, Barbara Clancy, profesora retirada de neurociencia de Arkansas.

Esta es una realidad desagradable: para obtener sus datos personales, debe separarse de datos aún más personales. Al principio parece horrible. Alistair Barr de Bloomberg lo llamó "un nuevo círculo del infierno para la privacidad".

Sin embargo, hay serias razones para esto. Las empresas no quieren dar datos personales a la persona equivocada, pero esto ya sucedió en el pasado. En 2018, Amazon envió un extraño 1.700 archivos de audio de registros de conversación con el asistente de Alexa a uno de sus clientes.

El derecho de acceso a datos personales está establecido por la nueva Ley de Confidencialidad del Consumidor de California. La ley repite parcialmente la regulación europea, conocida como el Reglamento General de Protección de Datos (GDPR). Poco después de la entrada en vigor de la regulación, en mayo de 2018, un pirata informático tuvo acceso a la cuenta del director de la compañía de tecnología Jin Yang en el servicio de Spotify y verificó con éxito la solicitud de datos personales, después de conocer la dirección de su casa, la información en una tarjeta bancaria y el historial de la música que escuchó.



Desde entonces, dos grupos de investigadores han demostrado que es posible engañar a los sistemas creados para cumplir con los requisitos del GDPR, a fin de obtener información personal de un extraño.

Un investigador, James Pavur, un estudiante de posgrado de 24 años de la Universidad de Oxford, envió solicitudes de datos en nombre de su socio investigador y esposa, Casey Knerr, a 150 empresas, utilizando sus datos que se podían encontrar fácilmente en Internet - dirección postal , dirección de correo electrónico y número de teléfono. Para enviar solicitudes, abrió especialmente un buzón de correo electrónico, similar a uno de los deletreos de su nombre. Y una cuarta parte de estas empresas le enviaron sus datos personales.

"Obtuve su número de seguro social, una lista de calificaciones de la escuela, una gran porción de información de la tarjeta bancaria", dijo Pavur. "La compañía de amenazas de seguridad de la información me ha enviado todas sus contraseñas que se han filtrado a la red".

Mariano Di Martino y Peter Robins, investigadores en ciencias de la computación de la Universidad de Hasselt en Bélgica, lograron aproximadamente el mismo porcentaje de éxito al llegar a 55 compañías financieras, de entretenimiento y de noticias. Se solicitaron los datos de los demás, aunque utilizando tecnologías más avanzadas que las de Pavyur, en particular, sustituyeron los pasaportes de otras personas en un editor de fotos. En un caso, Di Martino logró obtener los datos de un completo desconocido, cuyo nombre era similar al de Robins.

Los investigadores de ambos grupos han decidido que la nueva ley de derecho de datos es útil. Sin embargo, señalan que las empresas necesitan mejorar la seguridad de su trabajo para evitar comprometer aún más la privacidad del usuario.

"Las empresas tienen prisa por tomar decisiones que las lleven a prácticas inseguras", dijo Robins.

Diferentes empresas tienen diferentes tecnologías para confirmar su identidad. Muchos solo piden una foto de la licencia de conducir. La empresa Retail Equation, que decide si el consumidor puede devolver los productos a tiendas minoristas como Best Buy y Victoria's Secret, solo solicita el nombre y el número de la licencia de conducir.

Una amplia gama de empresas, que ahora deben proporcionar datos de devolución al usuario, desde Baskin Robbins hasta The New York Times, tienen niveles muy diferentes de conocimiento y experiencia en el campo de la seguridad de datos.

Las empresas como Apple, Amazon y Twitter pueden solicitar al usuario que verifique su identidad iniciando sesión en su cuenta. Además, todos ellos informan al usuario sobre la recepción de una solicitud de datos, que puede advertir a las personas en caso de que su cuenta sea pirateada. Un portavoz de Apple dijo que después de enviar dicha solicitud, la compañía utiliza métodos adicionales para confirmar la identidad del usuario, aunque señaló que no puede revelar los detalles sobre estos métodos por razones de seguridad.

Si los usuarios no pueden confirmar su identidad ingresando a la cuenta, Di Martino y Robins recomiendan que las compañías les envíen un correo electrónico, llamen o soliciten información que solo el usuario pueda conocer, como el número de un cheque reciente.

"Los reguladores deben pensar más profundamente sobre las consecuencias no deseadas del acceso de los usuarios a leer y eliminar sus datos", dijo Steve Kirkam, quien trabajó en el equipo de seguridad de Airbnb durante cinco años, antes de fundar Berbix en 2018. "Queremos evitar solicitudes fraudulentas y satisfacer las legítimas".

Y los reguladores lo piensan. La ley de California exige que las empresas "verifiquen la identidad del consumidor que envió la solicitud con un grado razonable de certeza" y proporcionen un control más riguroso para obtener "información confidencial o valiosa".

Kirkam dijo que Berbix pidió la primera selfie del usuario para averiguar si la cara coincide con la foto en los documentos, y la segunda, con una expresión de alegría u otra emoción, para asegurarse de que el atacante no sostenga la foto frente a la cámara. Kirkam dijo que Berbix elimina los datos recopilados de siete días a un año, dependiendo de lo que requiera el empleador (Sift elimina todos los datos después de dos semanas).

"Esta es una nueva área de amenazas en la que las empresas deben pensar", dijo Blake Brennon, vicepresidente de OneTrust, otra empresa que ayuda a las empresas a cumplir con las nuevas leyes de datos personales. OneTrust ofrece a sus 4.500 clientes la capacidad de crear varios niveles de verificación de identidad, por ejemplo, enviando un mensaje de código a un teléfono o verificando la propiedad de una dirección de correo electrónico.

"Si solicito algo simple, la verificación será mínima, en contraste con una solicitud para eliminar datos", dijo Brennon. "En el último caso, se requieren más niveles de verificación".

Kirkam de Berkix dijo que el proceso de verificación de identidad hace que algunas personas se nieguen a completar la solicitud por completo. "Muchas personas no quieren dar aún más información", dijo Crickham. "Sugieren que haremos algo malicioso con ella". Y agregó: “Sin embargo, esta es la ironía. Requerimos información adicional de las personas para protegerlos. Queremos asegurarnos de que eres quien dices que eres ".

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles