GDPR Dieksploitasi untuk Mengungkapkan Data Pribadi

Pakar keamanan menghubungi lusinan perusahaan yang berbasis di Inggris dan AS untuk menguji bagaimana mereka menangani permintaan hak akses yang dibuat atas nama orang lain. Dari penelusuran tersebut diungkap bahwa sekitar satu dari empat perusahaan mengungkapkan informasi pribadi kepada perempuan yang telah membuat permintaan palsu untuk data (terkait pasangan laki-lakinya) dengan mengutip undang-undang privasi Uni Eropa atau GDPR.

Dalam setiap kasus, perempuan tersebut meminta semua data yang mereka miliki tentang tunangannya. Dalam satu kasus, respons mencakup hasil pemeriksaan kegiatan kriminal. Balasan lain termasuk informasi kartu kredit, detail perjalanan, login akun dan kata sandi, dan nomor jaminan sosial lengkap AS dari target.

Peneliti yang berbasis di Universitas Oxford, James Pavur, telah mempresentasikan temuannya di konferensi Black Hat di Las Vegas. Temuan tersebut adalah tes pertama yang diketahui dari jenisnya untuk mengeksploitasi Peraturan Perlindungan Data Umum (GDPR) UE, yang mulai berlaku pada Mei 2018.

Menurut Pavur, umumnya jika itu adalah perusahaan yang sangat besar terutama perusahaan teknologi mereka cenderung melakukannya dengan sangat baik, sementara jika perusahaan kecil cenderung mengabaikan. Dia menolak untuk mengidentifikasi organisasi yang telah salah menangani permintaan, tetapi mengatakan mereka telah memasukkan:

  1. Jaringan hotel Inggris yang berbagi catatan lengkap tentang kegiatan menginap pasangan laki-laki.
  2. Dua perusahaan kereta api Inggris yang memberikan catatan semua perjalanan yang telah dia lakukan bersama mereka selama beberapa tahun.
  3. Sebuah perusahaan pendidikan yang berbasis di AS yang menyerahkan nilai SMA-nya, nama gadis ibu dan hasil survei pemeriksaan latar belakang kriminal.
  4. Dalam kasus lain, sebuah perusahaan keamanan dunia maya setuju untuk menerima foto pernyataan bank yang telah dihitamkan sehingga satu-satunya informasi yang tersisa adalah nama dan alamat target.

Seorang pakar independen mengatakan temuan tersebut adalah keprihatinan yang nyata. Steven Murdoch dari University College London mengatakan bahwa mengirim informasi pribadi seseorang kepada orang yang salah sama dengan pelanggaran data seperti meninggalkan USB drive yang tidak terenkripsi atau lupa merobek kertas rahasia.

Sumber: BBC

Sumber Foto: GDPR