Get best of the week

Para obter seus dados pessoais, você precisa fornecer ainda mais dados pessoais

A nova Lei de Privacidade de Dados Pessoais da Califórnia concede aos consumidores o direito de ver e excluir seus dados. No entanto, para acessá-los, geralmente é necessário fornecer ainda mais dados.



As empresas estão pedindo aos usuários que forneçam seus dados pessoais antes de conceder acesso a eles - e tudo isso é necessário para impedir o acesso aos dados pelas pessoas

erradas.O ano novo trouxe uma nova lei da Califórnia sobre dados pessoais, que dá aos moradores locais mais controle usando seus dados digitais. Ao mesmo tempo, não apenas os residentes deste estado tiveram sorte - muitas empresas estão expandindo a proteção de dados para todos os usuários nos Estados Unidos. A parte mais importante dessa proteção é o direito do usuário de ver quais dados são coletados sobre ele e excluí-los.

No outono, exerci meu direito de verificardesse sistema e enviou solicitações de dados para empresas envolvidas na construção de perfis de consumidores e sua avaliação. Uma das empresas, a Sift, que mede a credibilidade dos consumidores, me enviou meu arquivo de 400 páginas, que continha mensagens do Airbnb, pedidos do Yelp e atividade com a Coinbase por muitos anos. Logo após a publicação do meu artigo, Sift ficou sobrecarregada com os requisitos - em pouco tempo a empresa recebeu mais de 16.000 pedidos e teve que contratar um contratado para lidar com eles.

Esse contratante, Berbix , ajudou a estabelecer a identidade das pessoas que solicitavam seus dados, exigindo que carregassem uma foto do passaporte e tirassem selfies. Em seguida, a empresa exigiu que eles fizessem uma segunda selfie com a seguinte condição: "Certifique-se de parecer feliz ou alegre na foto e tente novamente."

Muitas pessoas que leram sobre minha experiência com este sistema não gostaram do que o Berbix exigia, incluindo a necessidade de sorrir para obter acesso ao arquivo.

"Este é um futuro de pesadelo, no qual não posso pedir meus dados a algum burro burro de crédito sem antes sorrir para ele - e isso é pura loucura", escreveu Jack Phelps, programador de Nova York.



"Há algo errado em compartilhar mais informações pessoais", escreveu outro leitor, aposentado Barbara Clancy, professora de neurociência no Arkansas.

Essa é uma realidade desagradável: para obter seus dados pessoais, você precisa se livrar de ainda mais dados pessoais. A princípio, parece horrível. Alistair Barr, da Bloomberg, chamou de "um novo círculo do inferno para a privacidade".

No entanto, existem sérias razões para isso. As empresas não querem fornecer dados pessoais para a pessoa errada, mas isso já aconteceu no passado. Em 2018, a Amazon enviou um estranho 1.700 arquivos de áudio de registros de conversa com o assistente da Alexa para um de seus clientes.

O direito de acessar dados pessoais é estabelecido pela nova Lei de Confidencialidade do Consumidor da Califórnia. A lei repete parcialmente o regulamento europeu, conhecido como Regulamento Geral de Proteção de Dados (GDPR). Logo após a entrada em vigor do regulamento, em maio de 2018, um hacker ganhou acesso à conta do serviço Spotify do diretor da empresa de tecnologia Jin Yang e verificou com êxito o pedido de dados pessoais, tendo aprendido seu endereço residencial, informações em um cartão bancário e o histórico da música que ouvia.



Desde então, dois grupos de pesquisadores demonstraram que é possível enganar sistemas criados para atender aos requisitos do RGPD, a fim de obter informações pessoais de alguém de fora.

Um pesquisador, James Pavur, 24 anos, estudante de pós-graduação na Universidade de Oxford, enviou solicitações de dados em nome de seu parceiro e esposa de pesquisa, Casey Knerr, a 150 empresas, usando seus dados que poderiam ser facilmente encontrados na Internet - endereço para correspondência , endereço de e-mail e número de telefone. Para enviar pedidos, ele abriu especialmente uma caixa de correio eletrônico, semelhante a uma das grafias do nome dela. E um quarto dessas empresas enviou a ele seus dados pessoais.

"Consegui o número de segurança social dela, uma lista de notas escolares, uma grande fatia das informações do cartão do banco", disse Pavur. "A empresa de ameaças à segurança da informação me enviou todas as senhas que vazaram para a rede".

Mariano Di Martino e Peter Robins, pesquisadores de ciência da computação da Universidade de Hasselt, na Bélgica, alcançaram aproximadamente o mesmo percentual de sucesso, alcançando 55 empresas financeiras, de entretenimento e de notícias. Eles solicitaram os dados um do outro, embora usassem tecnologias mais avançadas que a de Pavyur, em particular, substituíram o passaporte de outras pessoas em um editor de fotos. Em um caso, Di Martino conseguiu obter os dados de um completo estranho, cujo nome era semelhante ao nome de Robins.

Pesquisadores de ambos os grupos decidiram que a nova lei de direito de dados é útil. No entanto, eles observam que as empresas precisam melhorar a segurança de seu trabalho para evitar comprometer ainda mais a privacidade do usuário.

"As empresas estão com pressa de tomar decisões, levando-as a práticas inseguras", disse Robins.

Empresas diferentes têm tecnologias diferentes para confirmar sua identidade. Muitos apenas pedem uma foto da carteira de motorista. A empresa Retail Equation, que decide se o consumidor pode devolver a mercadoria a lojas como Best Buy e Victoria's Secret, solicita apenas o nome e o número da carteira de motorista.

Uma ampla gama de empresas, que agora precisam fornecer dados de retorno ao usuário, de Baskin Robbins ao The New York Times, têm níveis muito diferentes de conhecimento e experiência no campo da segurança de dados.

Empresas como Apple, Amazon e Twitter podem solicitar que o usuário verifique sua identidade fazendo login em sua conta. Além disso, todos eles informam o usuário sobre o recebimento de uma solicitação de dados, o que pode alertar as pessoas caso sua conta seja invadida. Um porta-voz da Apple disse que, depois de enviar tal solicitação, a empresa usa métodos adicionais para verificar a identidade do usuário, embora tenha notado que não pode divulgar os detalhes específicos sobre esses métodos por razões de segurança.

Se os usuários não puderem confirmar sua identidade entrando na conta, Di Martino e Robins recomendam que as empresas enviem um e-mail, liguem ou solicitem informações que somente o usuário possa conhecer - como o número de um cheque recente.

"Os reguladores precisam pensar mais profundamente sobre as consequências não intencionais do acesso do usuário à leitura e exclusão de dados", disse Steve Kirkam, que trabalhou na equipe de segurança do Airbnb por cinco anos, antes de fundar a Berbix em 2018. "Queremos evitar pedidos fraudulentos e satisfazer pedidos legítimos."

E os reguladores pensam sobre isso. A lei da Califórnia exige que as empresas "verifiquem a identidade do consumidor que enviou a solicitação com um grau razoável de certeza" e forneçam uma verificação mais rigorosa para obter "informações sigilosas ou valiosas".

Kirkam disse que Berbix pediu à primeira selfie do usuário para descobrir se o rosto corresponde à foto nos documentos, e a segunda, com uma expressão de alegria ou outra emoção, para garantir que o atacante não esteja segurando a foto na frente da câmera. Kirkam disse que Berbix exclui os dados coletados de sete dias a um ano, dependendo do que o empregador exige (Sift exclui todos os dados após duas semanas).

"Esta é uma nova área de ameaças em que as empresas devem pensar", disse Blake Brennon, vice-presidente da OneTrust, outra empresa que ajuda as empresas a cumprir as novas leis de dados pessoais. O OneTrust oferece a seus 4.500 clientes a capacidade de criar vários níveis de verificação de identidade, por exemplo, enviando uma mensagem de código para um telefone ou verificando a propriedade de um endereço de email.

"Se eu pedir algo simples, a verificação será mínima, em contraste com uma solicitação para excluir dados", disse Brennon. "No último caso, são necessários mais níveis de verificação."

Kirkam, da Berkix, disse que o processo de verificação de identidade faz com que algumas pessoas se recusem a concluir a solicitação. "Muitas pessoas não querem dar ainda mais informações", disse Crickham. "Eles sugerem que faremos algo malicioso com ela." E acrescentou: “No entanto, essa é a ironia. Exigimos informações adicionais das pessoas para protegê-las. Queremos ter certeza de que você é quem diz ser.

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles