De Algemene verordening gegevensbescherming (AVG) geeft Europese burgers het recht op inzage, maar via deze inzageverzoeken is het ook mogelijk om gevoelige gegevens van anderen te stelen, zo heeft onderzoeker James Pavur van de Universiteit van Oxford tijdens de Black Hat-conferentie in Las Vegas laten zien.
Via het recht op inzage kunnen burgers vragen welke gegevens een organisatie over hen heeft verzameld. "Mijn onderzoek richtte zich op een praktische casestudy waarin ik via recht op inzageverzoeken zoveel mogelijk informatie als mogelijk over mijn verloofde probeerde te stelen (met haar toestemming)", aldus Pavur. Voor het onderzoek schreef hij meer dan 150 organisaties aan, zonder een identiteitsbewijs van zijn verloofde te overleggen. Om met de organisaties te communiceren maakte hij een e-mailadres aan dat de naam van zijn vriendin bevatte.
Bijna een kwart (24 procent) van de aangeschreven organisaties verstrekte uiteindelijk persoonsinformatie aan de onderzoeker. Over het gehele onderzoek genomen wist hij allerlei onbekende persoonsinformatie te verzamelen, zoals telefoonnummers, ip-adressen, reisgegevens en aankoopgeschiedenis. In vijftien procent van de gevallen ging het om gevoelige data zoals een social security nummer, creditcardgegevens en wachtwoorden uit datadumps.
Grote bedrijven doen het goed, aldus de onderzoeker. 39 procent van de aangeschreven organisaties vroeg voor het verstrekken van de gevraagde gegevens om een "sterk" identiteitsbewijs. Kleine bedrijven bleken het verzoek om inzage juist te negeren (13 procent). Het zijn voornamelijk middelgrote bedrijven die met de AVG bekend zijn, maar geen proces hebben om inzageverzoeken te behandelen, die de fout ingaan.
Pavur adviseert bedrijven om inzageverzoeken via een ingelogd account te laten verlopen wanneer dit mogelijk is. Verder wordt aangeraden om elektronische identiteitsverificatie via een externe partij te laten lopen als de organisatie dit zelf niet kan en als laatste om verdachte inzageverzoeken te weigeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.