Euroopa Liidu andmekaitse määrus loob eeldused suureks andmevarguseks
Trahve kartvad ettevõtted avaldavad teabenõude peale inimeste sotsiaalkindlustusnumbri, osalise krediitkaardinumbri ja elukoha isegi juhul, kui päringu tegemiseks kasutatakse kõigile kättesaadavaid andmeid.
"Seda saab kasutada omakorda mujal teise isikuna esinemiseks. Mul õnnestus hankida piisavalt infot, et esineda teiste firmade silmis oma kihtlatu panga esindajana. Samuti avaldas üks infoturbeettevõte tema varasemate andmelekete tõttu lekkinud paroolid. Tuli välja, et ta oli kasutanud neid ka mujal, näiteks finants- ja transporditeenuseid pakkuvatel veebilehtedel, mida ei pidanud ta toona oluliseks," laiendas uurimuse kaasautor James Pavur, Oxfordi Ülikooli küberturvalisuse uurija ERR Novaatorile.
Teisisõnu saavad kahjustada GDPR abil hangitavad andmed inimesi rohkem kui ühel moel. Lisaks eelmainitud tundlikele andmetele avaldasid mitmed veebis kohtinguteenust pakkuvad ettevõtted, kas Pavuri kihlatu oli kasutanud või kasutab nende teenuseid. Mõned ettevõtted otsustasid kustutada päringu peale luba küsimata kõik tema kohta käivad andmed. Kohati võib valmistada probleeme seegi, nentis James Pavur. Ühel juhul tegi ettevõte teabenõudega saadud andmed avalikuks kõikidele inimestele.
Kokku saatsid Pavur ja tema kihlatu teabenõude 150 ettevõttele. Neist pooltele laekunud kirjas oli mainitud Pavuri kaasoselise täisnime, kunagisi e-posti aadresse ja telefoninumbrit. Iga neljas ettevõte saatis nõutud andmed inimese identiteeti täiendavalt kontrollimata juba selle peale.
Veel umbes 15 protsenti ettevõtetest vajas isiku tuvastamiseks Pavuri ja samuti IT-sektoris tegeva kihlatu Casey Knerri hinnangul kergesti võltsitavat tõestusmaterjali. Näiteks leppis üks küberturvalisusega tegelev ettevõte tugevalt redigeeritud pangaväljavõttest tehtud fotoga.
Ülejäänud 75 päringut täiendati valikuliselt esimese laine käigus saadud andmetega. Kokku õnnestus hankida sel viisil Knerri kohta 60 erinevat infokildu.
"Ma sain teada sel viisil tema kohta asju, millest polnud ta mulle ise mitte kunagi rääkinud. Seejuures oli meie korraldatud rünne olemuslikult suhteliselt algeline. GDPR-i olemus võimaldab korraldada selliseid päringuid standardiseeritud kujul ja suurel skaalal," nentis Pavur. Tugevaid tõendeid nõudis ettevõtetest vaid 40 protsenti.
Osaliselt saab kanda Pavuri sõnul ettevõtete agaruse hirmule. Teabenõudele vastamata jätmisel ähvardab neid trahv, mille suurus küündib kuni nelja protsendini nende aastakäibest. Teiseks ei tea ta isiklikult ühtegi inimest, kes oleks GDPR-i kaanest kaaneni läbi lugenud. Sama saab öelda ilmselt ettevõtete kohta. Suurema osa päringu töötlemisega seotud vigadest tegid keskmise suurusega firmad, mis töötasid muudes valdkondades kui IT.
Samas hoiatas küberturvalisuse uurija, et keskendus vaid ingliskeelsele keeleruumile. Mujal võib olla olukord nii parem kui ka halvem. Hiljuti Belgias korraldatud uuringust jõuti ligilähedaselt samasuguste tulemusteni. Nõrga isikutuvastusega leppis riigis 27 protsenti uuritud ettevõtetest.
Pavur nentis tulemuste valguses, et tõenäoliselt on vaja pikas plaanis valdkonna paremaks reguleerimiseks riiklikku sekkumist. Esialgu võiksid ettevõtted nõuda aga nende kohta kogutud andmetega tutvumiseks kasvõi sisse logimist nende juures kasutatud e-posti aadressiga. Päringute tegemiseks kasutasid teadlased just selleks loodud ees- ja perekonnanime sisaldavat Gmaili kontot.
"Positiivsest küljest õnnestus mul võita sellega kihlatuga sõlmitud kihlvedu. Ta ei arvanud, et GDPR-i abil õnnestub ninapidi vedada sedavõrd paljusid," muigas Pavur. Idee sündis Poola lennujaamas pärast lennust maha jäämist. Knerr tahtis raisata seepeale infonõude esitamisega selle tagasi tegemiseks lennujaama ametnikega aega. Pavur otsustas mõelda veidi suuremalt.
Tulemusi esitleti Las Vegases toimunud häkkerite konverentsil.