Get best of the week

Untuk mendapatkan data pribadi Anda, Anda perlu memberikan lebih banyak data pribadi

Undang-Undang Privasi Data Pribadi California yang baru memberi konsumen hak untuk melihat dan menghapus data mereka. Namun, untuk mengaksesnya, mereka seringkali harus memberikan lebih banyak data.



Perusahaan meminta pengguna untuk memberikan data pribadi mereka sebelum memberi mereka akses ke data mereka - dan semua ini diperlukan untuk mencegah akses ke data untuk orang yang salah.

Tahun Baru membawa undang-undang California baru tentang data pribadi, yang memberi penduduk lokal lebih banyak kontrol lebih menggunakan data digital mereka. Pada saat yang sama, tidak hanya penduduk negara bagian ini yang beruntung - banyak perusahaan memperluas perlindungan data untuk semua pengguna di Amerika Serikat. Bagian terpenting dari perlindungan ini adalah hak pengguna untuk melihat data apa yang dikumpulkan tentang dirinya dan menghapusnya.

Pada musim gugur, saya menggunakan hak saya untuk memeriksasistem ini, dan mengirim permintaan untuk datanya ke perusahaan yang terlibat dalam membangun profil konsumen dan penilaian mereka. Salah satu perusahaan, Sift, yang menilai kelayakan kredit konsumen, mengirimi saya file 400 halaman, yang berisi pesan dari Airbnb, pesanan dari Yelp dan aktivitas dengan Coinbase selama bertahun-tahun. Segera setelah penerbitan artikel saya, Sift dipenuhi dengan persyaratan - perusahaan dalam waktu singkat menerima lebih dari 16.000 permintaan seperti itu, dan dia harus menyewa seorang kontraktor untuk menanganinya.

Kontraktor ini, Berbix , membantu menetapkan identitas orang yang meminta data mereka dengan meminta mereka mengunggah foto paspor mereka dan berfoto selfie. Kemudian perusahaan menuntut agar mereka mengambil selfie kedua dengan kondisi berikut: "Pastikan Anda terlihat bahagia atau gembira di foto, dan coba lagi."

Banyak orang yang membaca tentang pengalaman saya dengan sistem ini tidak menyukai apa yang diperlukan Berbix, termasuk kebutuhan untuk tersenyum untuk mendapatkan akses ke file.

"Ini adalah masa depan yang mengerikan di mana saya tidak bisa meminta data saya dari beberapa biro kredit bayangan bodoh tanpa terlebih dahulu tersenyum padanya - dan ini adalah kegilaan belaka," tulis Jack Phelps, seorang programmer dari New York.



โ€œAda sesuatu yang salah dengan membagikan informasi pribadi yang lebih banyak lagi,โ€ tulis pembaca lain, Barbara Clancy, seorang pensiunan profesor ilmu saraf dari Arkansas.

Ini adalah kenyataan yang tidak menyenangkan: untuk mendapatkan data pribadi Anda, Anda harus berpisah dengan lebih banyak data pribadi. Pada awalnya itu tampak mengerikan. Alistair Barr dari Bloomberg menyebutnya "lingkaran neraka baru untuk privasi."

Namun, ada alasan serius untuk ini. Perusahaan tidak ingin memberikan data pribadi kepada orang yang salah, tetapi ini sudah terjadi di masa lalu. Pada tahun 2018, Amazon mengirimkan 1.700 file audio dari catatan percakapan dengan asisten Alexa ke salah satu pelanggannya.

Hak untuk mengakses data pribadi ditetapkan oleh California Consumer Confidentiality Act yang baru. Undang-undang ini mengulangi sebagian peraturan Eropa, yang dikenal sebagai Peraturan Perlindungan Data Umum (GDPR). Tak lama setelah peraturan itu mulai berlaku, pada Mei 2018, seorang hacker mendapatkan akses ke akun direktur perusahaan teknologi Jin Yang di layanan Spotify, dan berhasil memeriksa permintaan data pribadi, setelah mengetahui alamat rumahnya, informasi pada kartu bank dan sejarah musik yang didengarkannya.



Sejak itu, dua kelompok peneliti telah menunjukkan bahwa adalah mungkin untuk menipu sistem yang dibuat untuk memenuhi persyaratan GDPR, untuk mendapatkan informasi pribadi dari orang luar.

Satu peneliti, James Pavur, seorang mahasiswa pascasarjana 24 tahun di Universitas Oxford, mengirim permintaan data atas nama mitra penelitian dan istrinya, Casey Knerr, ke 150 perusahaan, menggunakan datanya yang dapat dengan mudah ditemukan di Internet - alamat surat , alamat email dan nomor telepon. Untuk mengirim permintaan, ia secara khusus membuka kotak surat elektronik, mirip dengan salah satu ejaan namanya. Dan seperempat dari perusahaan ini mengirimkan kepadanya data pribadinya.

"Aku mendapatkan nomor jaminan sosialnya, daftar nilai sekolah, sepotong besar informasi kartu bank," kata Pavur. "Perusahaan ancaman keamanan informasi telah mengirimi saya semua kata sandi yang bocor ke jaringan."

Mariano Di Martino dan Peter Robins, peneliti ilmu komputer di University of Hasselt di Belgia, mencapai kira-kira persentase keberhasilan yang sama dengan mencapai 55 perusahaan keuangan, hiburan, dan berita. Mereka saling meminta data satu sama lain, meskipun menggunakan teknologi yang lebih maju daripada Pavyur, khususnya, mereka mengganti paspor orang lain dalam editor foto. Dalam satu kasus, Di Martino berhasil mendapatkan data orang asing, yang namanya mirip dengan nama Robins.

Para peneliti dari kedua kelompok telah memutuskan bahwa undang-undang hak data baru bermanfaat. Namun, mereka mencatat bahwa perusahaan perlu meningkatkan keamanan pekerjaan mereka untuk menghindari lebih lanjut kompromi privasi pengguna.

"Perusahaan sedang terburu-buru untuk membuat keputusan yang mengarah pada praktik yang tidak aman," kata Robins.

Perusahaan yang berbeda memiliki teknologi berbeda untuk mengkonfirmasi identitas mereka. Banyak yang hanya meminta foto SIM. Persamaan Eceran perusahaan, yang memutuskan apakah konsumen dapat mengembalikan barang ke toko ritel seperti Best Buy dan Victoria's Secret, hanya meminta nama dan nomor SIM.

Berbagai perusahaan, yang sekarang diharuskan untuk menyediakan data pengembalian kepada pengguna, dari Baskin Robbins hingga The New York Times, memiliki tingkat pengetahuan dan pengalaman yang sangat berbeda di bidang keamanan data.

Perusahaan seperti Apple, Amazon, dan Twitter dapat meminta pengguna untuk memverifikasi identitas mereka dengan masuk ke akun mereka. Juga, semuanya memberi tahu pengguna tentang penerimaan permintaan data, yang dapat memperingatkan orang-orang seandainya akun mereka diretas. Seorang juru bicara Apple mengatakan bahwa setelah mengajukan permintaan seperti itu, perusahaan menggunakan metode tambahan untuk memverifikasi identitas pengguna, meskipun mencatat bahwa mereka tidak dapat mengungkapkan secara spesifik mengenai metode ini untuk alasan keamanan.

Jika pengguna tidak dapat mengkonfirmasi identitas mereka dengan memasukkan akun, Di Martino dan Robins merekomendasikan perusahaan mengirimi mereka email, panggilan atau permintaan informasi yang hanya diketahui pengguna - seperti jumlah cek terbaru.

"Regulator perlu berpikir lebih dalam tentang konsekuensi yang tidak diinginkan dari akses pengguna untuk membaca dan menghapus data mereka," kata Steve Kirkam, yang bekerja di tim keamanan Airbnb selama lima tahun, sebelum mendirikan Berbix pada 2018. "Kami ingin mencegah permintaan penipuan dan memenuhi permintaan yang sah."

Dan regulator memikirkannya. Hukum California mewajibkan perusahaan untuk "memverifikasi identitas konsumen yang mengajukan permintaan dengan tingkat kepastian yang wajar," dan memberikan pemeriksaan yang lebih ketat untuk mendapatkan "informasi sensitif atau berharga."

Kirkam mengatakan Berbix meminta selfie pengguna pertama untuk mengetahui apakah wajah cocok dengan foto pada dokumen, dan yang kedua, dengan ekspresi kegembiraan atau emosi lainnya, untuk memastikan bahwa penyerang tidak memegang foto di depan kamera. Kirkam mengatakan Berbix menghapus data yang dikumpulkan dari tujuh hari hingga satu tahun, tergantung pada apa yang diminta majikan (Sift menghapus semua data setelah dua minggu).

"Ini adalah area baru ancaman yang perlu dipikirkan perusahaan," kata Blake Brennon, wakil presiden OneTrust, perusahaan lain yang membantu bisnis mematuhi undang-undang data pribadi baru. OneTrust menawarkan kepada 4.500 pelanggannya kemampuan untuk membuat beberapa tingkat verifikasi identitas, misalnya, mengirim pesan kode ke telepon atau memeriksa kepemilikan alamat email.

"Jika saya meminta sesuatu yang sederhana, verifikasi akan minimal, berbeda dengan permintaan untuk menghapus data," kata Brennon. "Dalam kasus terakhir, level verifikasi lebih banyak diperlukan."

Berkix's Kirkam mengatakan proses verifikasi identitas membuat beberapa orang menolak untuk menyelesaikan permintaan sama sekali. "Banyak orang tidak mau memberikan lebih banyak informasi," kata Crickham. "Mereka menyarankan agar kita melakukan sesuatu yang jahat padanya." Dan dia menambahkan: โ€œNamun, ini adalah ironi. Kami memerlukan informasi tambahan dari orang-orang untuk melindungi mereka. Kami ingin memastikan bahwa Anda adalah orang yang Anda katakan. "

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles