Aproximadamente una de cada cuatro empresas reveló información personal a la pareja de una mujer, que había hecho una demanda falsa de los datos al citar una ley de privacidad de la UE.
El experto en seguridad contactó a docenas de firmas con sede en el Reino Unido y Estados Unidos para probar cómo manejarían una solicitud de «derecho de acceso» hecha a nombre de otra persona.
En cada caso, solicitó todos los datos que tenían sobre su prometida.
En un caso, la respuesta incluyó los resultados de una verificación de actividad criminal.
Otras respuestas incluyeron información de tarjeta de crédito, detalles de viaje, inicios de sesión de cuenta y contraseñas, y el número completo de seguridad social de EE. UU.
El investigador James Pavur, de la Universidad de Oxford, presentó sus hallazgos en la conferencia Black Hat en Las Vegas.
Es la primera prueba conocida de este tipo que explota el Reglamento General de Protección de Datos (GDPR) de la UE , que entró en vigor en mayo de 2018.
«En general, si se trataba de una empresa extremadamente grande, especialmente de tecnología, tendían a funcionar muy bien», dijo a la BBC.
«Las pequeñas empresas tendían a ignorarme.
«Pero el tipo de empresas medianas que conocían el GDPR, pero que tal vez no tenían un proceso especializado [para manejar las solicitudes], fracasaron».
Se negó a identificar las organizaciones que habían manejado mal las solicitudes, pero dijo que habían incluido:
- una cadena de hoteles del Reino Unido que compartió un registro completo de las pernoctaciones de su compañero
- dos compañías ferroviarias del Reino Unido que proporcionaron registros de todos los viajes que había llevado con ellos durante varios años
- una empresa educativa con sede en EE. UU. que entregó sus calificaciones de la escuela secundaria, el apellido de soltera de la madre y los resultados de una encuesta de verificación de antecedentes penales
Sin embargo, Pavur ha nombrado a algunas de las compañías que, según él, tuvieron un buen desempeño.
Dijo que incluían:
- el supermercado Tesco, que había exigido una identificación con foto
- la cadena minorista nacional Bed Bath and Beyond, que había insistido en una entrevista telefónica
- American Airlines, que vio que había subido una imagen en blanco al campo del pasaporte de su formulario en línea
Un experto independiente dijo que los hallazgos eran una «preocupación real».
«Enviar la información personal de alguien a la persona equivocada es tanto una violación de datos como dejar una unidad USB sin cifrar por ahí, u olvidarse de destruir documentos confidenciales», dijo el Dr. Steven Murdoch, del University College de Londres.
Límite de tiempo
La futura novia de Pavur le dio permiso para llevar a cabo las pruebas y ayudó a redactar los hallazgos, pero por lo demás no participó en la operación.
Entonces, para la correspondencia, el investigador creó una dirección de correo electrónico falsa para su compañero, en el formato «nombre-inicial-segundo nombre-apellido@gmail.com».
Una carta de acompañamiento decía que bajo GDPR, el destinatario tenía un mes para responder.
Agregó que podría proporcionar documentos de identidad adicionales a través de un «portal seguro en línea» si fuera necesario. Este fue un engaño deliberado ya que él creía que muchas empresas carecían de tal instalación y no tendrían tiempo para crear una.
Los ataques se llevaron a cabo en dos oleadas.
Para la primera mitad de los contactados, utilizó solo la información detallada anteriormente. Pero para el segundo lote, recurrió a los datos personales revelados por el primer grupo para responder preguntas de seguimiento.
La idea, dijo, era replicar el tipo de ataque que podría ser llevado a cabo por alguien comenzando solo con los detalles encontrados en una página básica de LinkedIn u otro perfil público en línea.
Matasellos falsos
Si la organización solicitó un tipo de identificación «fuerte», como un pasaporte o un escaneo de licencia de conducir, Pavur se negó.
También decidió no crear falsificaciones de documentos falsificados más fácilmente.
Entonces, por ejemplo, no firmaría documentos diciendo que él era el sujeto de los datos. Tampoco enviaba correos electrónicos con encabezados falsos cuando se le pedía que escribiera desde la cuenta registrada de la víctima.
Pero trató de convencer a las compañías de que aceptaran documentos que en teoría serían fáciles de burlar, pero en este caso podrían provenir de su prometida.
Entonces, cuando un operador de tren solicitó una fotocopia de un pasaporte, lo convenció de aceptar un sobre con matasellos dirigido a la «víctima».
En otro caso, una compañía de seguridad cibernética acordó aceptar una fotografía de un extracto bancario, que había sido ocultado para que la única información que quedaba a la vista era el nombre y la dirección del objetivo.
A veces ese subterfugio era innecesario.
Una compañía de juegos en línea solicitó la contraseña de la cuenta del solicitante. Pero cuando se le dijo que había sido olvidado, Pavur dijo que de todos modos reveló los datos personales de su prometida sin pedir una verificación alternativa.
Contraseñas expuestas
Pavur dijo que finalmente se expuso un total de 60 datos personales distintos sobre su novia.
Estos incluyeron una lista de compras pasadas, 10 dígitos de su número de tarjeta de crédito, su fecha de vencimiento y emisor, y sus direcciones pasadas y presentes.
Además, una empresa de inteligencia de amenazas proporcionó un registro de nombres de usuario y contraseñas violados que tenía en su pareja. Estos todavía funcionaban en al menos 10 servicios en línea, ya que ella había utilizado los mismos inicios de sesión para múltiples sitios.
En un caso, la carta de solicitud de GDPR se publicó en Internet después de ser enviada a una empresa de publicidad, lo que constituye una violación de datos en sí misma. Contenía el nombre, la dirección, el correo electrónico y el número de teléfono de la prometida.
«Afortunadamente solo tenía datos muy simples», dijo Pavur.
«Pero podrías imaginar a alguien enviando una carta con información más detallada».
En general, de las 83 firmas que se sabe que tenían datos sobre su socio, Pavur dijo:
- El 24% proporcionó información personal sin verificar la identidad del solicitante
- El 16% solicitó un tipo de identificación fácil de falsificar que no proporcionó
- El 39% solicitó un tipo de identificación «fuerte»
- El 5% dijo que no tenía datos para compartir, a pesar de que la novia tenía una cuenta controlada por ellos.
- El 3% malinterpretó la solicitud y dijo que habían eliminado todos sus datos.
- 13% ignoró la solicitud por completo.
FUENTE: BBC