{"id":54972,"date":"2019-08-15T17:12:22","date_gmt":"2019-08-15T16:12:22","guid":{"rendered":"http:\/\/www.alground.com\/site\/?p=54972"},"modified":"2023-01-09T11:42:27","modified_gmt":"2023-01-09T10:42:27","slug":"privacy-gdpr-annullata-utilizzando-richieste-accesso","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/privacy-gdpr-annullata-utilizzando-richieste-accesso\/54972\/","title":{"rendered":"La privacy GDPR pu\u00f2 essere annullata utilizzando le richieste di accesso"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69f6e90fc6760\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-69f6e90fc6760\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/privacy-gdpr-annullata-utilizzando-richieste-accesso\/54972\/#Pensiero_laterale\" >Pensiero laterale<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/privacy-gdpr-annullata-utilizzando-richieste-accesso\/54972\/#Di_chi_e_la_colpa\" >Di chi \u00e8 la colpa?<\/a><\/li><\/ul><\/nav><\/div>\n\n<p>Un ricercatore britannico ha scoperto una &#8220;falla&#8221; nella sicurezza del Regolamento generale sulla protezione dei dati (GDPR) dell&#8217;UE &#8211; il diritto di richieste di accesso.<\/p>\n\n\n\n<p>Il diritto di accesso ai propri dati, \u00e8 la parte del regolamento GDPR che consente alle persone di chiedere alle aziende o enti una copia di tutti i dati in loro possesso.<\/p>\n\n\n\n<p>Ci\u00f2 ha senso perch\u00e9, come con qualsiasi sistema di privacy degli utenti, deve esistere un meccanismo legalmente applicabile che consenta alle persone di verificare l&#8217;accuratezza e la quantit\u00e0 dei dati personali in mano a terzi.<\/p>\n\n\n\n<p>Sfortunatamente, in quello che pu\u00f2 essere descritto come un enorme problema di logica del GDPR, James Pavur dell&#8217;Universit\u00e0 di Oxford ha scoperto che troppe aziende stanno distribuendo dati personali quando viene chiesto, senza controllare chi lo sta chiedendo.<\/p>\n\n\n\n<p>Nella sua sessione intitolata <strong>GDPArrrr: Usare le leggi sulla privacy per rubare identit\u00e0 <\/strong>allo show di Black Hat, Pavur documenta come ha deciso di vedere quanto sarebbe facile usare le richieste di accesso per &#8220;rubare&#8221; i dati personali della sua fidanzata (con l&#8217;autorizzazione di lei ovviamente).<\/p>\n\n\n\n<p>Dopo aver contattato 150 aziende britanniche e statunitensi la risposta e la ricezione di dati personali della ragazza \u00e8 stata davvero facilissima.<\/p>\n\n\n\n<p>Secondo i resoconti dei giornalisti che hanno partecipato alla ricerca, per i primi 75 contattati per lettera, l&#8217;ha impersonata fornendo solo informazioni che \u00e8 stato in grado di trovare online &#8211; nome completo, indirizzo e-mail, numeri di telefono &#8211; a cui alcune aziende hanno risposto fornendole anche l&#8217;indirizzo di casa.<\/p>\n\n\n\n<p>Armato di queste informazioni extra, ha quindi contattato altri 75 via e-mail, \u00e8 riuscito a soddisfare alcune richieste di identit\u00e0 e ne ha ricevuto indietro altri dati personali come il numero di previdenza sociale della sua fidanzata, i precedenti indirizzi di casa, i nomi degli hotel in cui \u00e8 stata, i voti scolastici, se avesse usato appuntamenti online e persino i suoi numeri di carta di credito.<\/p>\n\n\n\n<p>Pavur non aveva nemmeno bisogno di falsificare documenti di identit\u00e0 o creare firme per eseguire il backup delle sue richieste e non ha falsificato i suoi veri indirizzi e-mail per rendere le sue richieste pi\u00f9 autentiche.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Pensiero_laterale\"><\/span>Pensiero laterale<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Pavur non ha rivelato quali compagnie non sono riuscite ad autenticare il suo falso diritto di richieste di accesso, ma ne ha nominate tre &#8211; Tesco, Bed Bath and Beyond e American Airlines &#8211; queste hanno risposto bene  alle sue richieste perch\u00e9 hanno contestato le sue domande dopo aver individuato i dati di autenticazione mancanti.<\/p>\n\n\n\n<p>Tuttavia, un quarto ha consegnato i dati della sua fidanzata senza verifica dell&#8217;identit\u00e0, il 16% ha chiesto un tipo di identit\u00e0 facilmente falsificabile, che ha deciso di non fornire, mentre il 39% ha chiesto una certezza di identit\u00e0.<\/p>\n\n\n\n<p>Curiosamente, il 13% ha ignorato del tutto le sue richieste, il che significava almeno che non stavano consegnando dati volenti o nolenti.<\/p>\n\n\n\n<p>Il potenziale per il furto di identit\u00e0 non ha bisogno di essere spiegato qui, osserva il blurb della sessione di Pavur:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\"><p>Anche se troppo spesso non \u00e8 richiesta alcuna prova di identit\u00e0, anche nel migliore dei casi il GDPR consente a qualcuno in grado di rubare o falsificare una patente di guida quasi completo accesso alla tua vita digitale.<\/p><\/blockquote>\n\n\n\n<p>ll pericolo \u00e8 che i criminali possano gi\u00e0 averlo sfruttato senza che ce ne siamo accorti.<\/p>\n\n\n\n<p>Come sottolinea Pavur, l&#8217;automazione di richieste di accesso ai dati standardizzate non sarebbe difficile da superare su larga scala utilizzando il tipo di dati di base come il nome e indirizzo e-mail che molte persone rendono pubbliche sui social media.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Di_chi_e_la_colpa\"><\/span>Di chi \u00e8 la colpa?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Se la ricerca di Pavur mostra un fallimento, vuol dire che troppe organizzazioni non comprendono ancora la GDPR.<\/p>\n\n\n\n<p>Non \u00e8 sufficiente proteggere i dati in senso tecnico se non si protegge anche l&#8217;accesso ad essi. Se qualcuno telefona per richiedere di sapere quali dati sono conservati su di loro, non autenticare questa richiesta diventa un bypass che finisce per mettere in pericolo la privacy piuttosto che proteggerla.<\/p>\n\n\n\n<p>Sebbene sia vero che ci\u00f2 poteva accadere anche prima che venisse promulgata la GDPR, dare ai cittadini il diritto legale di richiedere dati ha fornito alle persone con cattive intenzioni un meccanismo standardizzato per provare e manipolarle.<\/p>\n\n\n\n<p>Ma ci sono anche problemi pi\u00f9 profondi: se le organizzazioni cercano di verificare l&#8217;identit\u00e0 di qualcuno, cosa dovrebbero chiedere? GDPR o no, non esiste ancora un sistema di verifica dell&#8217;identit\u00e0 universale e affidabile per verificare che qualcuno sia quello che dice di essere.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un ricercatore britannico ha scoperto una &#8220;falla&#8221; nella sicurezza del Regolamento generale sulla protezione dei dati (GDPR) dell&#8217;UE &#8211; il diritto di richieste di accesso. Il diritto di accesso ai propri dati, \u00e8 la parte del regolamento GDPR che consente alle persone di chiedere alle aziende o enti una copia di tutti i dati in [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":51541,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[2045,387,2123],"tags":[],"class_list":{"0":"post-54972","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-export","8":"category-guide-sicurezza","9":"category-sistemi","10":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/04\/dpo3.jpg","wps_subtitle":"Una legge pu\u00f2 essere hackerata? James Pavur ci \u00e8 riuscito, ecco come","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/54972","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=54972"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/54972\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/51541"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=54972"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=54972"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=54972"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}