Новый закон о конфиденциальности личных данных, принятый в Калифорнии, даёт потребителям право видеть и удалять свои данные. Однако для доступа к ним часто приходится выдавать ещё больше своих данных.
Компании просят пользователей предоставить свои личные данные перед тем, как выдать им доступ к своим данным – и всё это нужно, чтобы не дать доступа к данным не тем людям
Новый год принёс с собой и новый калифорнийский закон о личных данных, дающий местным жителям больше контроля над использованием их цифровых данных. При этом повезло не только жителям этого штата – многие компании расширяют защиту данных на всех пользователей в США. Наиболее важная часть этой защиты – право пользователя видеть, какие данные собраны о нём, и удалять их.
Осенью я воспользовался правом на проверку этой системы, и отправил запросы на свои данные компаниям, занимающимся построением профилей потребителей и их оценкой. Одна из компаний, Sift, оценивающая кредитоспособность потребителей, отправила мне мой файл на 400 страниц, где содержались сообщения с Airbnb, заказы с Yelp и активность с Coinbase за долгие годы. Вскоре после публикации моей статьи Sift завалили требованиями – компания за короткое время получила больше 16 000 подобных запросов, и ей пришлось нанять подрядчика для их обработки.
Этот подрядчик, Berbix, помогал устанавливать личность людей, запрашивающих свои данные, требуя от них загружать фотографию их паспорта и делать селфи. Затем компания требовала от них сделать второе селфи со следующим условием: «Убедитесь, что на фото вы выглядите счастливым или радостным, и попробуйте снова».
Многим людям, прочитавшим о моём опыте работы с этой системой, не понравилось то, что требовала Berbix, включая необходимость улыбаться для получения доступа к файлу.
«Это то кошмарное будущее, где я не могу запросить свои данные у какого-то стрёмного теневого кредитного бюро, не улыбнувшись для него предварительно – и это чистое безумие», — написал мне Джек Фелпс, программист из Нью-Йорка.
«Есть что-то неправильное в том, что нам приходиться делится ещё более личной информацией», — написала ещё одна читательница, Барбара Клэнси, профессор нейробиологии из Арканзаса на пенсии.
Такова неприятная реальность: чтобы получить свои личные данные, вам придётся расстаться с ещё большим количеством персональных данных. Сперва это кажется ужасным. Алистер Барр из Bloomberg назвал это «новый круг ада для приватности».
Однако тому есть серьёзные причины. Компании не хотят отдавать личные данные не тому человеку, а такое уже бывало в прошлом. В 2018 году Amazon отправила постороннему человеку 1700 аудиофайлов записей разговоров с помощником Alexa одного из своих клиентов.
Право на доступ к личным данным устанавливается новым калифорнийским законом о конфиденциальности потребителей. Закон частично повторяет европейский регламент, известный, как Общий регламент по защите данных (General Data Protection Regulation, GDPR). Вскоре после вступления регламента в силу, в мае 2018 один хакер получил доступ к учётной записи в сервисе Spotify директора технологической компании Джин Ян, и успешно провернул запрос на получение личных данных, узнав её домашний адрес, информацию по банковской карте и историю прослушанной музыки.
С тех пор уже две группы исследователей показали, что возможно обмануть системы, созданные для удовлетворения требований GDPR, с целью получить личную информацию постороннего человека.
Один из исследователей, Джеймс Павюр, 24-летний аспирант из Оксфордского университета, отправил запросы на получение данных от имени своего партнёра по исследованиям и супруги, Кейси Кнерр, в 150 компаний, использовав её данные, которые легко можно было найти в интернете – почтовый адрес, электронный адрес и номер телефона. Для отправки запросов он специально завёл электронный почтовый ящик, похожий на один из вариантов написания её имени. И четверть из этих компаний отправили ему её личные данные.
«Я получил её номер социального страхования, список школьных оценок, большой срез информации о банковской карте, — сказал Павюр. – Компания, занимающаяся угрозами в сфере информационной безопасности, отправила мне все её пароли, утёкшие в сеть».
Мариано Ди Мартино и Питер Робинс, исследователи в области информатики из Хасселтского университета в Бельгии, достигли примерно такого же успеха в процентном соотношении, обратившись к 55 финансовым, развлекательным и новостным компаниям. Они запросили данные друг друга, правда, используя более продвинутые технологии, чем у Павюра – в частности, они подставляли на фото паспорт других людей в графическом редакторе. В одном случае Ди Мартино удалось получить данные совершенно незнакомого человека, чьё имя было похоже на имя Робинса.
Исследователи из обеих групп решили, что новый закон о праве на данные – штука полезная. Однако они отмечают, что компаниям необходимо улучшить безопасность своей работы, чтобы избежать дальнейшей компрометации приватности пользователей.
«Компании в спешке принимают решения, ведущие их к небезопасным практикам», — сказал Робинс.
Для подтверждения личности у разных компаний есть разные технологии. Многие просто просят фотографию водительского удостоверения. Компания Retail Equation, принимающая решение, может ли потребитель вернуть товар в такие розничные магазины, как Best Buy и Victoria’s Secret, запрашивают только имя и номер водительского удостоверения.
У широкого спектра компаний, от которых теперь требуют обеспечение возврата пользователю данных, от Baskin Robbins до The New York Times, наблюдаются очень разные уровни познаний и опыта в области безопасности этих данных.
Такие компании, как Apple, Amazon и Twitter, могут попросить пользователя подтвердить свою личность, войдя в свою учётную запись. Также все они сообщают пользователю о поступлении запроса на данные, что может предупредить людей в случае взлома их учётки. Представитель Apple сообщил, что после подачи такого запроса компания использует дополнительные методы подтверждения личности пользователя, хотя и отметил, что не может раскрывать конкретику, касающуюся этих методов, из соображений безопасности.
В случае, если пользователи не могут подтвердить свою личность, войдя в учётку, Ди Мартино и Робинс рекомендуют компаниям отправлять им емейл, звонить или запрашивать такую информацию, которую может знать только сам пользователь – типа номера недавнего чека.
«Регуляторам нужно глубже поразмыслить о непреднамеренных последствиях доступа пользователей к чтению и удалению своих данных, — сказал Стив Киркэм, работавший в команде безопасников Airbnb пять лет, перед тем, как в 2018-м основать Berbix. – Мы хотим предотвратить мошеннические запросы и удовлетворить легитимные».
И регуляторы думают об этом. Калифорнийский закон требует от предприятий «проверять личность потребителя, подавшего запрос, с разумной степенью достоверности», и обеспечить более строгую проверку для получения «чувствительной или ценной информации».
Киркэм сказал, что в Berbix запрашивают первое селфи пользователя, чтобы узнать, совпадает ли лицо с фото на документах, а второе, с выражением радости или другой эмоции, чтобы убедиться, что злоумышленник не держит перед камерой фотографию. Киркэм сказал, что Berbix удаляет собранные данные в срок от семи дней до года, в зависимости от того, что потребует наниматель (Sift удаляет все данные через две недели).
«Это новое направление угроз, над которым компании должны задуматься», — сказал Блейк Бреннон, вице-президент OneTrust, ещё одной компании, помогающей предприятиям соответствовать новым законам о личных данных. OneTrust предлагает своим 4500 клиентам возможность создания нескольких уровней подтверждения личности, к примеру, отправку кодового сообщения на телефон или проверку владения емейл-адресом.
«Если я запрашиваю что-то простое, верификация будет минимальной, в отличие от запроса на удаление данных, — сказал Бреннон. – В последнем случае потребуется больше уровней проверки».
Киркэм из Berbix сказал, что процесс подтверждения личности заставляет некоторых людей вообще отказаться от завершения запроса. «Многие люди не хотят выдавать ещё больше информации, — сказал Крикэм. – Они предполагают, что мы будем делать с ней что-то злонамеренное». И добавил: «Однако в этом заключена ирония. Мы требуем от людей дополнительную информацию в целях их защиты. Мы хотим удостовериться, что вы тот, за кого себя выдаёте».
