GDPArrrrrrrrgh! DSGVO ermöglicht Datenklau
Der Vortrag des Oxforder PhD-Studenten James Pavur auf der Black Hat hat gezeigt, dass man mit Verweis auf die DSGVO per Abfrage der angeblich “eigenen” Informationen viele teils streng private Daten von anderen erschleichen kann. Ein von seiner Freundin erlaubtes Experiment mit ihren Accounts ergab, dass 24 % der Firmen ihm ohne weitere Prüfung ihre sämtlichen persönlichen Daten preisgaben. Immerhin 16 % fragten zunächst weitere Nachweise wie Identitätsinformationen an, welche aber häufig leicht zu fälschen waren. Und 5 bzw. 3 % besonders schlaue Firmen behaupteten, nicht von der DSGVO betroffen zu sein bzw. löschten einfach schnell ihre Accounts. U. a. bekam Pavur ihre Kreditkartennummer und diverse Passwörter frei Haus – sogar von Unternehmen, mit denen sie nie bewusst in Kontakt war.
Der Forscher beklagt diese offensichtlichen Sicherheitslücken in der rechtlichen Implementation der DSGVO sowie die Tatsache, dass die zuständigen Stellen in den Unternehmen häufig nicht über Social Engineering aufgeklärt sind.
https://www.theregister.co.uk/2019/08/09/gdpr_identity_thief/