¿Cuál es el precio de obtener sus datos? Más datos

El año nuevo marcó el principio de una importante ley de privacidad de California que brinda a los residentes más control sobre cómo se utilizan sus datos digitales. Sin bloqueo, Golden State no es el único beneficiario, porque muchas compañías están extendiendo las protecciones, siendo la más importante el derecho a ver y eliminar los datos personales que una compañía tiene, a todos sus clientes en los Estados Unidos.

En el otoño, tomé el derecho de camino para una prueba de manejo, pidiéndole a las compañías en el negocio de perfilar y clasificar a los consumidores sus archivos en mí. Una de las compañías, Sift, que evalúa la confiabilidad de un favorecido, me envió un archivo de 400 páginas que contenía abriles de mis mensajes de Airbnb, pedidos de Yelp y actividad de Coinbase. Poco luego de la publicación de mi artículo, Sift fue inundado con más de 16,000 solicitudes, lo que lo obligó a contratar a un proveedor para tratar con el pasión.

Ese proveedor, Berbix, ayudó a realizar la identidad de las personas que solicitan datos al pedirles que lo hagan. subir fotos de su identificación del gobierno y tomarse una selfie. Luego les pidió que se tomaran una segunda selfie mientras seguían las instrucciones. "Asegúrate de que te ves adecuado o alegre e inténtalo de nuevo" fue uno de esos comandos.

Muchas personas que leyeron el artículo sobre mi experiencia se alarmaron por la información que pidió Berbix, y la exigencia de sonreír por sus comentarios. archivo secreto.

“Este es un futuro de pesadilla en el que no puedo solicitar mis datos de una agencia de crédito espeluznante sin ponerles una sonrisa, y es completamente psicótico ", dijo Jack Phelps, un ingeniero de software en la ciudad de Nueva York, en un correo electrónico.

" Simplemente parece incorrecto que tengamos para entregar aún más información personal ", escribió otra lectora, Barbara Clancy, profesora retirada de neurociencia en Arkansas.

Esa es la sinceridad desagradable: para obtener sus datos personales, es posible que tenga que renunciar a más datos personales. . Parece horrible al principio. Alistair Barr de Bloomberg lo llamó "el nuevo círculo de privacidad del báratro".

Pero hay una buena razón para esto. Las empresas no desean entregar sus datos a la persona equivocada, lo que sucedió en el pasado. En 2018, Amazon envió 1.700 archivos de audio de un cliente que hablaba con su Alexa a un extraño.

El derecho a tener camino a datos personales está consagrado en el nuevo Ley de privacidad del consumidor de California. La ley se fundamento en parte en las regulaciones de privacidad en Europa, conocidas como el Reglamento Militar de Protección de Datos, o G.D.P.R. Poco luego de que la ley europea entrara en vigencia, en mayo de 2018, un pirata informático obtuvo camino a la cuenta de Spotify de Jean Yang, un ejecutor de tecnología, y presentó con éxito una solicitud de datos para descargar su domicilio, información de maleable de crédito y un historial de la música había escuchado.

Desde entonces, dos grupos de investigadores han demostrado que es posible engañar a los sistemas creados para cumplir con GDPR para obtener información personal de otra persona.

Uno de los investigadores, James Pavur, de 24 abriles, estudiante de doctorado en la Universidad de Oxford, presentó solicitudes de datos en nombre de su socio investigador y esposa, Casey Knerr, en 150 empresas que utilizan información eso se encontró fácilmente para ella en bisectriz, como su dirección postal, dirección de correo electrónico y número de teléfono. Para hacer las solicitudes, creó una dirección de correo electrónico que era una variación del nombre de la Sra. Knerr. Una cuarta parte de las compañías le enviaron su archivo.

"Obtuve su número de Seguro Social, calificaciones de la escuela secundaria, una buena cantidad de información sobre su maleable de crédito", dijo Pavur. "Una compañía de inteligencia de amenazas me envió todos sus nombres de favorecido y contraseñas que se habían filtrado".

Mariano Di Martino y Pieter Robyns, investigadores en ciencias de la computación de la Universidad Hasselt en Bélgica, tuvieron la misma tasa de éxito cuando se acercaron a 55 compañías financieras, de entretenimiento y informativo. Se solicitaron los datos del otro, utilizando técnicas más avanzadas que las del Sr. Pavur, como la toma de fotos de la identificación del gobierno del otro. En un caso, el Sr. Di Martino recibió el archivo de datos de un completo desconocido cuyo nombre era similar al del Sr. Robyns.

Uno y otro grupos de investigadores pensaron que valía la pena la nueva ley que otorgaba el derecho a los datos. Pero dijeron que las compañías necesitaban mejorar sus prácticas de seguridad para evitar comprometer aún más la privacidad de los clientes.

"Las compañías se apresuran a despabilarse soluciones que conducen a prácticas inseguras", dijo el Sr. Robyns dijo.

Las compañías emplean diferentes técnicas para realizar la identidad. Muchos simplemente solicitan una foto de una inmoralidad de conducir. Retail Equation, una compañía que decide si un consumidor puede hacer devoluciones en minoristas como Best Buy y Triunfo's Secret, solo solicita un nombre y número de inmoralidad de conducir.

La amplia escala de compañías ahora requiere entregar datos, desde Baskin Robbins hasta The New York Times, tienen diferentes niveles de experiencia en seguridad y experiencia en el suministro de datos a los consumidores.

Empresas como Apple, Amazon y Twitter pueden solicitar a los usuarios que verifiquen su identidad iniciando sesión en sus plataformas. Los tres avisan por correo electrónico luego de solicitar los datos, lo que puede ayudar a advertir a las personas si un pirata informático tiene camino a su cuenta. Un portavoz de Apple dijo que luego de hacer una solicitud, la compañía usa métodos adicionales para realizar la identidad de la persona, aunque la compañía dijo que no podía revelar esos métodos por razones de seguridad.

Si los consumidores no pueden realizar su identidad Al iniciar sesión en una cuenta existente, el Sr. Di Martino y el Sr. Robyns recomiendan que las compañías los envíen por correo electrónico, los llamen o les pidan información que solo ellos deberían entender, como el número de estructura en una estructura nuevo.

"Los reguladores deben pensar más en las consecuencias involuntarias de empoderar a las personas para lograr y eliminar sus datos", dijo Steve Kirkham, quien trabajó en el equipo de confianza y seguridad de Airbnb durante cinco abriles, antaño de fundar Berbix en 2018. "Queremos evitar fraudulentos solicitudes y dejar que los buenos pasen ”.

Está en la mente de los reguladores. La ley de California requiere que las empresas "verifiquen la identidad del consumidor que realiza la solicitud con un punto justo de certeza" y que tengan un proceso de comprobación más exacto para "información personal confidencial o valiosa".

Sr. . Kirkham dijo que Berbix solicitó la primera selfie para probar si la cara de una persona coincidía con su identificación; la segunda selfie, con una sonrisa o alguna otra expresión facial, asegura que cualquiera no simplemente sostenga una foto frente a la cámara. Kirkham dijo que Berbix finalmente eliminó los datos recopilados adentro de siete días a un año, dependiendo del período de retención solicitado por la compañía que contrata a la empresa. (Sift elimina sus datos luego de dos semanas.)

"Es una nueva amenaza que las compañías deberían considerar", dijo Blake Brannon, vicepresidente de producto. en OneTrust, otra compañía que ayuda a las empresas a cumplir con las nuevas leyes de privacidad de datos. OneTrust ofrece a las 4.500 organizaciones que utilizan su servicio la opción de crear varios niveles de comprobación de identidad, como mandar un token al teléfono de cualquiera o realizar la propiedad de una dirección de correo electrónico.

“Si solicito poco simple o rijoso , la comprobación es mínima, frente a una solicitud de aniquilación ", dijo Brannon. "Eso requerirá más niveles de comprobación".

El Sr. Kirkham de Berbix dijo que el proceso de comprobación desanimó a algunas personas a hacer la solicitud de datos.

"Mucha multitud no quiere dar más información", dijo Kirkham. "Suponen que harás poco nefasto con eso".

Añadió: "Pero esa es la ironía aquí. Requerimos información adicional de las personas para protegerlos. Queremos asegurarnos de que eres quien dices que eres ".

Source

Be the first to comment

Leave a Reply

Your email address will not be published.


*