Get best of the week

Pour obtenir vos données personnelles, vous devez fournir encore plus de données personnelles

La nouvelle loi sur la confidentialité des données personnelles de la Californie donne aux consommateurs le droit de voir et de supprimer leurs données. Cependant, pour y accéder, il faut souvent divulguer encore plus de leurs données.



Les entreprises demandent aux utilisateurs de fournir leurs données personnelles avant de leur donner accès à leurs données - et tout cela est nécessaire pour empêcher l'accès aux données aux mauvaises personnes. La

nouvelle année a amené avec elle une nouvelle loi californienne sur les données personnelles, qui donne aux résidents locaux plus de contrôle sur l'utilisation de leurs données numériques. Dans le même temps, non seulement les résidents de cet État ont eu de la chance, mais de nombreuses entreprises étendent la protection des données pour tous les utilisateurs aux États-Unis. La partie la plus importante de cette protection est le droit de l'utilisateur de voir quelles données sont collectées à son sujet et de les supprimer.

À l'automne, j'ai exercé mon droit de vérifierde ce système, et a envoyé des demandes de données aux entreprises impliquées dans la création de profils de consommateurs et leur évaluation. L'une des sociétés, Sift, qui mesure la solvabilité des consommateurs, m'a envoyé mon fichier de 400 pages, qui contenait des messages d'Airbnb, des commandes de Yelp et des activités avec Coinbase depuis de nombreuses années. Peu de temps après la publication de mon article, Sift a été submergée d'exigences - l'entreprise a reçu en peu de temps plus de 16 000 demandes de ce type, et elle a dû embaucher un entrepreneur pour les traiter.

Cet entrepreneur, Berbix , a aidé à établir l'identité des personnes demandant leurs données en leur demandant de télécharger une photo de leur passeport et de prendre des selfies. Ensuite, l'entreprise a exigé qu'ils prennent un deuxième selfie avec la condition suivante: "Assurez-vous que vous avez l'air heureux ou joyeux sur la photo, et réessayez."

Beaucoup de gens qui ont lu mon expérience avec ce système n'aimaient pas ce dont Berbix avait besoin, y compris la nécessité de sourire pour avoir accès au fichier.

"C'est un avenir cauchemardesque où je ne peux pas demander mes données à un bureau de crédit fictif sans lui avoir d'abord souri - et c'est de la pure folie", a écrit Jack Phelps, un programmeur de New York.



«Il y a quelque chose qui ne va pas dans le partage d'informations plus personnelles», a écrit une autre lectrice, Barbara Clancy, retraitée, professeur de neurosciences en Arkansas.

C'est une réalité désagréable: pour obtenir vos données personnelles, vous devez vous séparer de données encore plus personnelles. Au début, cela semble horrible. Alistair Barr de Bloomberg l'a appelé "un nouveau cercle d'enfer pour la vie privée".

Cependant, il y a de sérieuses raisons à cela. Les entreprises ne veulent pas donner de données personnelles à la mauvaise personne, mais cela s'est déjà produit par le passé. En 2018, Amazon a envoyé un inconnu 1700 fichiers audio d'enregistrements de conversation avec l'assistant d'Alexa à l'un de ses clients.

Le droit d'accéder aux données personnelles est établi par la nouvelle loi californienne sur la confidentialité des consommateurs. La loi reprend partiellement la réglementation européenne, connue sous le nom de règlement général sur la protection des données (RGPD). Peu de temps après l'entrée en vigueur du règlement, en mai 2018, un pirate informatique a eu accès au compte du service Spotify du directeur de la société de technologie Jin Yang, et a vérifié avec succès la demande de données personnelles, ayant appris son adresse personnelle, des informations sur une carte bancaire et l'histoire de la musique qu'elle écoutait.



Depuis lors, deux groupes de chercheurs ont montré qu'il était possible de tromper les systèmes créés pour répondre aux exigences du RGPD, afin d'obtenir des informations personnelles sur un étranger.

Un chercheur, James Pavur, un étudiant diplômé de 24 ans de l'Université d'Oxford, a envoyé des demandes de données au nom de son partenaire de recherche et épouse, Casey Knerr, à 150 entreprises, en utilisant ses données qui pouvaient être facilement trouvées sur Internet - adresse postale , adresse e-mail et numéro de téléphone. Pour envoyer des demandes, il a spécialement ouvert une boîte aux lettres électronique, semblable à l'une des orthographes de son nom. Et un quart de ces entreprises lui ont envoyé ses données personnelles.

"J'ai obtenu son numéro de sécurité sociale, une liste des notes scolaires, une grande tranche d'informations sur les cartes bancaires", a déclaré Pavur. «La société de la menace à la sécurité de l'information m'a envoyé tous ses mots de passe qui ont fuité sur le réseau.»

Mariano Di Martino et Peter Robins, chercheurs en informatique à l'Université de Hasselt en Belgique, ont obtenu à peu près le même pourcentage de succès en atteignant 55 sociétés financières, de divertissement et de presse. Ils ont cependant demandé les données de chacun, en utilisant des technologies plus avancées que Pavyur - en particulier, ils ont substitué les passeports des autres dans un éditeur de photos dans un éditeur de photos. Dans un cas, Di Martino a réussi à obtenir les données d'un parfait inconnu, dont le nom était similaire au nom de Robins.

Les chercheurs des deux groupes ont décidé que la nouvelle loi sur le droit des données est utile. Cependant, ils notent que les entreprises doivent améliorer la sécurité de leur travail afin d'éviter de compromettre davantage la confidentialité des utilisateurs.

«Les entreprises sont pressées de prendre des décisions les menant à des pratiques dangereuses», a déclaré Robins.

Différentes entreprises ont différentes technologies pour confirmer leur identité. Beaucoup demandent simplement une photo du permis de conduire. La société Retail Equation, qui décide si le consommateur peut retourner les marchandises dans des magasins tels que Best Buy et Victoria's Secret, ne demande que le nom et le numéro du permis de conduire.

Un large éventail d'entreprises, qui sont désormais tenues de fournir des données de retour à l'utilisateur, de Baskin Robbins au New York Times, ont des niveaux de connaissances et d'expérience très différents dans le domaine de la sécurité des données.

Des entreprises comme Apple, Amazon et Twitter peuvent demander à l'utilisateur de vérifier son identité en se connectant à son compte. En outre, ils informent tous l'utilisateur d'une demande de données, ce qui peut avertir les gens en cas de piratage de leur compte. Un porte-parole d'Apple a déclaré qu'après avoir soumis une telle demande, la société utilise des méthodes supplémentaires pour confirmer l'identité de l'utilisateur, bien qu'il ait noté qu'elle ne pouvait pas divulguer les détails concernant ces méthodes pour des raisons de sécurité.

Dans le cas où les utilisateurs ne peuvent pas vérifier leur identité en se connectant, Di Martino et Robins recommandent aux entreprises de leur envoyer un e-mail, d'appeler ou de demander des informations que seul l'utilisateur peut connaître - comme le numéro d'une vérification récente.

«Les régulateurs doivent réfléchir plus profondément aux conséquences involontaires de l'accès des utilisateurs à la lecture et à la suppression de leurs données», a déclaré Steve Kirkam, qui a travaillé au sein de l'équipe de sécurité d'Airbnb pendant cinq ans, avant de fonder Berbix en 2018. «Nous voulons empêcher les demandes frauduleuses et satisfaire les demandes légitimes.»

Et les régulateurs y réfléchissent. La loi californienne oblige les entreprises à "vérifier l'identité du consommateur qui a soumis la demande avec un degré de certitude raisonnable" et à fournir un contrôle plus rigoureux pour obtenir "des informations sensibles ou précieuses".

Kirkam a déclaré que Berbix a demandé au premier utilisateur selfie de savoir si le visage correspond à la photo sur les documents, et le second, avec une expression de joie ou autre émotion, pour s'assurer que l'attaquant ne tient pas la photo devant la caméra. Kirkam a déclaré que Berbix supprime les données collectées de sept jours à un an, selon les besoins de l'employeur (Sift supprime toutes les données après deux semaines).

«Il s'agit d'un nouveau domaine de menaces auquel les entreprises doivent penser», a déclaré Blake Brennon, vice-président de OneTrust, une autre entreprise qui aide les entreprises à se conformer aux nouvelles lois sur les données personnelles. OneTrust offre à ses 4500 clients la possibilité de créer plusieurs niveaux de vérification d'identité, par exemple, l'envoi d'un message de code à un téléphone ou la vérification de la propriété d'une adresse e-mail.

"Si je demande quelque chose de simple, la vérification sera minime, contrairement à une demande de suppression de données", a déclaré Brennon. «Dans ce dernier cas, davantage de niveaux de vérification sont requis.»

Kirkam de Berkix a déclaré que le processus de vérification d'identité oblige certaines personnes à refuser complètement la demande. "Beaucoup de gens ne veulent pas donner encore plus d'informations", a déclaré Crickham. «Ils suggèrent que nous ferons quelque chose de malveillant avec elle.» Et il a ajouté: «Cependant, c'est l'ironie. Nous avons besoin d'informations supplémentaires de la part des personnes afin de les protéger. Nous voulons nous assurer que vous êtes bien ce que vous dites être. »

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles