Ko se GDPR uporabi za razkritje osebnih podatkov
Skladno z evropsko uredbo GDPR lahko posameznik zaprosi za izpis vseh osebnih podatkov, ki jih posamezno podjetje hrani o njem. Slednjo možnost pa je varnostni raziskovalec izkoristil za to, da je dokazal, da je moč ta ukrep izkoristiti tudi za vohljanje oziroma krajo osebnih podatkov.
Raziskovalec James Pavur je namreč na 83 podjetij v Veliki Britaniji in ZDA naslovil prošnjo po razkritju hrambe in obdelave osebnih podatkov, pri čemer pa se je pretvarjal, da je nekdo drug (v tem primeru njegova zaročenka). Vsako četrto podjetje mu je podatke tudi posredovalo, vključno s številko kreditne kartice, davčno številko, opravljenimi nakupi, podatki o potovanjih, uporabniškem računu in geslu. Svoje ugotovitve je predstavil na konferenci Black Hat v Las Vegasu, kjer je izpostavil, da so velika podjetja, posebej tista iz IT-panoge, dobro prestala preizkus, mala podjetja pa so ga večinoma kar ignorirala. Največ uspeha je tako imel pri srednje velikih podjetjih, ta so že slišala za uredbo GDPR in obveznosti, ki jim jih nalaga, in so povsem nekritično posredovala podatke, ne da bi preverila identiteto prosilca zanje.
