簡述 GDPR
由歐盟推出的數據隱私保護法案GDPR,於2018年5月25日正式生效。簡單來說,這一法案保護的對象是歐盟的居民,針對的商家是需要蒐集和處理歐盟成員國的用戶信息的企業和公司。
大概很多人都會好奇,於個人而言,這一法案對我們的日常生活到底有什麼影響呢?總的來說,除了在使用一些應用程序或軟件的時候會看到,比如“要使用該程序,就必須接受這些款項”之類的條款。這些條款的大概意思是,商家保證不會把用戶的個人資料出售給第三方,保存的資料僅在本站點使用。以此達到信息透明化,真正實現用戶的個人信息只屬於自己。
該法案是用來保護公民的個人隱私。那麼當遇到問題時,我們應該如何利用這一法案呢?就像在日常生活中,假如有人對你施以暴力,你會條件反射地反擊,必要時,會採用法律途徑來維護自己的權利不受侵犯。然而,在互聯網這個虛擬的世界中,我們要如何通過GDPR的條款來保護自己的個人隱私呢?
用 GDPR 維護自己的個人隱私的真實例子
背景:這是一個發生在小編朋友身上的真實例子。朋友是生活在歐洲的華人,程序員一枚。除了工作中需要和信息安全專家打交道,本身也對信息安全特別感興趣。
某日,朋友在一個網購網站上發現了一個安全漏洞,此漏洞有一個專業術語叫失效的訪問控制,意味着,可以通過修改網址鏈接上的參數值或網站頁面繞過訪問控制檢查,從而達到查看他人的賬戶等敏感信息等目的。(這是隻提到與例子相關的部分,詳情可查看OWASP T10應用安全風險-2017 之 A5:失效的訪問控制)。雖然該漏洞已修復,但是出於朋友的意願,我們隱藏了商家名字等信息。
話說回來,朋友在該網站付費之後,網頁顯示:“感謝您的購買,XX,郵寄地址到XXXXX”,並附有一個訂單編號,同時這個訂單編號也是網址的一部分https://www.XXXX.com/checkout_complete.php?order_id=10001。
你是否有覺察出來什麼端倪呢?
讓我們一步步來分析:
在網址完成訂單並支付費用後,服務器返回收件人和收貨地址,以及訂單號。這本身並不會引起太多的注意,但是,訂單號是網址的一部分,當一個用戶將帶有一個訂單號的鏈接發回給服務器,她會得到以上三部分信息。
基於這一猜想,朋友打開一個新的瀏覽器,複製同一網址 https://www.XXXX.com/checkout_complete.php?order_id=10001。她再一次看到了自己的姓名和地址。當然啦,這是該訂單號所對應的信息。
出於好奇,嘗試了一下其他的訂單號。令人驚訝的是,服務器返回了訂單號所對應的收件人的姓名和地址。
總的來說,不需要登錄,也無需註冊到該購物網站,只要知道這個網址和訂單號就可以知道誰在這個網址買了什麼東西,還有郵寄地址。
有木有一種細思恐極的感覺,假如一個黑客發現了這個漏洞,TA會怎麼攻擊這個網站呢?毫無疑問,TA可以隨意調取該網站所以客戶的購買信息和住址。試想一下,假如類似的情況發生在你身上,你將會如何抉擇呢?在做決定之前,建議查看往期文章,多種黑客的類別我是黑客,但不是黑帽。小編建議,我們都選擇做一個良好的網絡公民!
或許沒有任何信息安全小知識的你,可能事情就這麼過去了。
信息安全專家來支招,GDPR 來守護
發現這個安全漏洞之後,朋友開始擔心自己的地址信息會不會因此被泄漏出去。她也不想通過這一發現來謀求利益,只是希望這個安全漏洞可以儘快被修復。於是,朋友決定給商家發郵件,簡述這一發現。起初,商家表示並沒有注意到網址有任何的安全漏洞。希望朋友做以詳細的解釋。
爲了能儘快使漏洞得以修復,朋友在得到包括小編在內的信息安全專家們的建議之後,不僅向商家解釋瞭如何通過一個購物訂單返回客戶資料,會導致客戶的數據泄漏,甚至更嚴重的情況之後。還列出了GDPR的相應條款,告訴商家,只要您有儲存歐盟國客戶的數據,即便是不在歐盟國境內,也一律需遵守這一法案。如果客戶數據一旦泄漏,將會面臨高達1千萬歐元,或者%2的年收益的罰款 (取兩者較高)。
收到這個郵件後,商家也意識到了問題的嚴重性,於是非常高效的修復了此漏洞,並感謝朋友的這一發現。
總結
毋庸置疑,數據保護法GDPR法案的出臺,能夠引起各大公司企業對信息安全的重視,也會是網民的一個保護傘吧!除了👆例子中提到的,即便是不在歐盟國境內的公司,也一律需遵守這一法案外,GDPR 還規定,用戶有權利向商家索取自己的個人信息。真正實現用戶的個人信息只屬於自己。
即便我們不當黑客,提高對個人隱私的重視,培養對數據安全的敏感度,小編覺得也是個不錯的建議呢!從小就聽說,保護人類賴以生存的自然環境人人有責,小編想或許可以倡導一下,保護網民生活的互聯網環境也是人人有責呢!
部分圖片來自網絡,侵權刪除!原創文章,轉載請聯繫作者!