Tijdens de Black Hat-conferentie in Las Vegas heeft James Pavur aangetoond dat een AVG-inzageverzoek risico’s met zich meebrengt. De onderzoeker aan de Universiteit van Oxford demonstreerde hoe via deze verzoeken gevoelige gegevens van anderen bemachtigd kunnen worden.
Onderdeel van de Algemene verordening gegevensbescherming (AVG) is dat Europese burgers recht hebben op inzage. Mensen kunnen aan een organisatie vragen welke gegevens over hen zijn opgeslagen.
Zonder identiteitsbewijs
“Mijn onderzoek richtte zich op een praktische casestudy waarin ik via recht op inzageverzoeken zoveel mogelijk informatie over mijn verloofde probeerde te stelen (met haar toestemming),” vertelde Pavur. Voor zijn onderzoek benaderde hij ruim 150 organisaties, zonder dat hij een identiteitsbewijs van zijn verloofde liet zien. Hij communiceerde met deze organisaties via een e-mailadres met haar naam.
Persoonsinformatie
Bijna een kwart (24 procent) van de aangeschreven organisaties verschafte persoonsinformatie aan Pavur. Hierbij ging het om allerlei onbekende persoonsinformatie zoals telefoonnummers, IP-adressen, reisgegevens en aankoopgeschiedenis. In 15 procent van de gevallen betrof het gevoelige data waaronder een social security-nummer, creditcardgegevens en wachtwoorden uit datadumps.
Advies
Pavur raadt organisaties aan om inzageverzoeken via een ingelogd account te laten verlopen. Tevens adviseert hij om elektronische identiteitsverificatie via een externe partij te laten lopen, als de organisatie dit zelf niet kan. Ook doet hij de aanbeveling om verdachte inzageverzoeken te weigeren.