Il GDPR è vulnerabile al social engineering. Per essere più precisi, l’obbligo per le aziende di rispondere alle richieste degli interessati al trattamento dei dati e rispettare i loro diritti che includono (tra gli altri) il diritto di accesso e il diritto di rettifica, potrebbe introdurre notevoli rischi per la sicurezza dei dati stessi, esponendoli ad attacchi di social engineering.
D’altronde, l’introduzione del GDPR (General Data Protection Regulation) in Europa è stato sicuramente uno spartiacque per il modo in cui venivano gestiti i dati e le informazioni sensibili nel Vecchio continente ed è stato considerato, dai più, un importante passo in avanti nella messa in sicurezza del dato, sempre di più una delle materie prime della virtual economy.
Ma a poco più di un anno dalla sua adozione si cominciano a vedere le prime crepe ed effetti collaterali non voluti.
Indice degli argomenti
GDPR e social engineering: è allarme furto di identità
A margine della conferenza Black Hat a Las Vegas, uno dei principali appuntamenti del mondo della cyber security, James Pavur, giovane ricercatore dell’Università di Oxford, ha rivelato come il nuovo regolamento possa costituire una manna per i criminal hacker intenti a utilizzare metodi di social engineering per il furto d’identità.
Pavur, che solitamente opera nel campo dell’ethical hacking dei sistemi satellitari, ha infatti illustrato come lui stesso è stato in grado di prendersi gioco dell’intero “sistema GDPR” per ottenere ogni tipo d’informazione e dato sensibile della sua fidanzata: dai numeri della carta di credito, passando per il codice fiscale, le password più critiche e persino il nome da nubile della madre (una delle domande di sicurezza più battute quando si tratta di autenticazione a due fattori).
Lo spunto del giovane ricercatore è stato quello di prendere in analisi i potenziali problemi legati a questo regolamento sulla privacy. Durante la conferenza ha infatti sottolineato come questo tipo di legislazione, come qualsiasi altro tipo di misura di controllo sulle informazioni, ha delle vulnerabilità sfruttabili.
Rimarcando anche che se queste fossero state prese in considerazione e testate prima della promulgazione, come si fa per i normali sistemi di sicurezza informatica per esempio, ci troveremmo oggi di fronte a numerose criticità in meno.
La ricerca, o forse più corretto sarebbe dire l’esperimento, di Pavur è iniziata in un luogo improbabile: il lounge delle partenze di un aeroporto in Polonia.
Dopo che il volo su cui lui e la sua fidanzata avrebbero dovuto viaggiare ha subìto un ritardo di svariate ore, i due hanno scherzato sulla possibilità di spammare la compagnia aerea con richieste di informazioni inerenti al GDPR per mettere in atto la loro vendetta.
Ovviamente non lo hanno fatto, ma lo spunto ha suscitato in Pavur la curiosità di vedere quali informazioni si potevano ottenere con questa tecnica su altri passeggeri.
La ragazza del ricercatore ha quindi acconsentito di essere la cavia per l’esperimento.
GDPR e social engineering: così vengono esposti i dati
Per scopi di social engineering (l’arte di impersonare qualcuno online al fine di ottenere informazioni sensibili dalla vittima), il GDPR ha, ahimè, una serie di benefici reali, ha chiarito Pavur.
In primo luogo, le aziende hanno un termine per la risposta all’interessato (chi inoltra la richiesta), per tutti i diritti (compreso il diritto di accesso), di 1 mese, pena sanzioni fino al 4% delle entrate aziendali se non si conformano ai requisiti del GDPR.
Non c’è quindi da stupirsi che la paura di fallire e il tempo sono forti fattori motivanti.
Non solo, il tipo di personale che gestisce le richieste inerenti al GDPR ha di solito un background amministrativo o legale. Quasi mai chi si trova davanti queste richieste ha un sufficiente background di sicurezza informatica, né tantomeno è abituato a tattiche di ingegneria sociale. Questo rende molto più facile la raccolta di informazioni.
Tornando al test di Pavur, questi ha inviato oltre 150 richieste inerenti al GDPR a nome della sua fidanzata, chiedendo tutti i dati che la riguardano in possesso delle varie aziende di servizi con cui lei solitamente si interfacciava.
Fatte le somme, il 72% delle aziende ha risposto alla richiesta e 83 hanno dichiarato di avere informazioni su di lei.
Nel campione, ha illustrato Pavur, è stato anche interessante notare come il 5% dei rispondenti, soprattutto le grandi aziende statunitensi, ha dichiarato di non essere soggetto alle regole del GDPR.
Tra i rispondenti, il 24% ha semplicemente accettato un indirizzo e-mail e un numero di telefono come prova di identità e ha inviato i file che avevano sulla sua fidanzata. Un ulteriore 16% ha richiesto informazioni di identificazione facilmente falsificabili e il 3% ha fatto il passo piuttosto estremo di cancellare semplicemente i suoi account.
Molte aziende hanno chiesto i dati di accesso al suo account come prova di identità, che in realtà è una buona idea, ha sostenuto Pavur.
Ma quando una società di videogames ha provato questo metodo, lui ha semplicemente detto di aver dimenticato il login e loro hanno inviato comunque le informazioni richieste.
Un portfolio di dati sensibili presi alla leggera
La gamma di informazioni che le aziende hanno inviato è comunque inquietante. Una società di software dedicato all’educazione ha inviato a Pavur il numero di previdenza sociale della sua fidanzata, la data di nascita e il nome da nubile di sua madre.
Un’altra azienda ha inviato più di 10 cifre del suo numero di carta di credito, la data di scadenza, il tipo di carta e il suo codice postale.
Un’organizzazione di cui lei non aveva mai sentito parlare e con cui non aveva mai interagito, aveva alcuni dei dati più sensibili.
Insomma, sembra che il GDPR abbia fornito un pretesto a chiunque nel mondo per raccogliere queste informazioni.
GDPR e social engineering: correggere il tiro
Risolvere la questione richiederà l’intervento sia del legislatore sia delle aziende, ha sostenuto Pavur. Secondo il ricercatore, in primo luogo, i legislatori devono stabilire uno standard per quella che è una forma legittima e sicura di ID per le richieste inerenti al GDPR.
Una via percorribile, come accennato prima, è quella di richiedere i dati di accesso e di login per confermare l’identità, ma c’è sempre la possibilità che tali credenziali siano state compromesse. Anche richiedere documenti come la patente di guida sarebbe una buona alternativa, anche se i documenti d’identità falsi sono molto diffusi.
Il GDPR ha avuto la controindicazione di instillare una grandissima paura delle sanzioni del garante nelle organizzazioni.
Le aziende dovrebbero essere disposte a rifiutare le richieste di informazioni, a meno che non sia una prova adeguata. Dopo tutto, essere visti come un’organizzazione che ha a cuore le informazioni dei suoi dipendenti e dei propri clienti non sarà mai una cosa negativa.
