简述 GDPR
由欧盟推出的数据隐私保护法案GDPR,于2018年5月25日正式生效。简单来说,这一法案保护的对象是欧盟的居民,针对的商家是需要搜集和处理欧盟成员国的用户信息的企业和公司。
大概很多人都会好奇,于个人而言,这一法案对我们的日常生活到底有什么影响呢?总的来说,除了在使用一些应用程序或软件的时候会看到,比如“要使用该程序,就必须接受这些款项”之类的条款。这些条款的大概意思是,商家保证不会把用户的个人资料出售给第三方,保存的资料仅在本站点使用。以此达到信息透明化,真正实现用户的个人信息只属于自己。
该法案是用来保护公民的个人隐私。那么当遇到问题时,我们应该如何利用这一法案呢?就像在日常生活中,假如有人对你施以暴力,你会条件反射地反击,必要时,会采用法律途径来维护自己的权利不受侵犯。然而,在互联网这个虚拟的世界中,我们要如何通过GDPR的条款来保护自己的个人隐私呢?
用 GDPR 维护自己的个人隐私的真实例子
背景:这是一个发生在小编朋友身上的真实例子。朋友是生活在欧洲的华人,程序员一枚。除了工作中需要和信息安全专家打交道,本身也对信息安全特别感兴趣。
某日,朋友在一个网购网站上发现了一个安全漏洞,此漏洞有一个专业术语叫失效的访问控制,意味着,可以通过修改网址链接上的参数值或网站页面绕过访问控制检查,从而达到查看他人的账户等敏感信息等目的。(这是只提到与例子相关的部分,详情可查看OWASP T10应用安全风险-2017 之 A5:失效的访问控制)。虽然该漏洞已修复,但是出于朋友的意愿,我们隐藏了商家名字等信息。
话说回来,朋友在该网站付费之后,网页显示:“感谢您的购买,XX,邮寄地址到XXXXX”,并附有一个订单编号,同时这个订单编号也是网址的一部分https://www.XXXX.com/checkout_complete.php?order_id=10001。
你是否有觉察出来什么端倪呢?
让我们一步步来分析:
在网址完成订单并支付费用后,服务器返回收件人和收货地址,以及订单号。这本身并不会引起太多的注意,但是,订单号是网址的一部分,当一个用户将带有一个订单号的链接发回给服务器,她会得到以上三部分信息。
基于这一猜想,朋友打开一个新的浏览器,复制同一网址 https://www.XXXX.com/checkout_complete.php?order_id=10001。她再一次看到了自己的姓名和地址。当然啦,这是该订单号所对应的信息。
出于好奇,尝试了一下其他的订单号。令人惊讶的是,服务器返回了订单号所对应的收件人的姓名和地址。
总的来说,不需要登录,也无需注册到该购物网站,只要知道这个网址和订单号就可以知道谁在这个网址买了什么东西,还有邮寄地址。
有木有一种细思恐极的感觉,假如一个黑客发现了这个漏洞,TA会怎么攻击这个网站呢?毫无疑问,TA可以随意调取该网站所以客户的购买信息和住址。试想一下,假如类似的情况发生在你身上,你将会如何抉择呢?在做决定之前,建议查看往期文章,多种黑客的类别我是黑客,但不是黑帽。小编建议,我们都选择做一个良好的网络公民!
或许没有任何信息安全小知识的你,可能事情就这么过去了。
信息安全专家来支招,GDPR 来守护
发现这个安全漏洞之后,朋友开始担心自己的地址信息会不会因此被泄漏出去。她也不想通过这一发现来谋求利益,只是希望这个安全漏洞可以尽快被修复。于是,朋友决定给商家发邮件,简述这一发现。起初,商家表示并没有注意到网址有任何的安全漏洞。希望朋友做以详细的解释。
为了能尽快使漏洞得以修复,朋友在得到包括小编在内的信息安全专家们的建议之后,不仅向商家解释了如何通过一个购物订单返回客户资料,会导致客户的数据泄漏,甚至更严重的情况之后。还列出了GDPR的相应条款,告诉商家,只要您有储存欧盟国客户的数据,即便是不在欧盟国境内,也一律需遵守这一法案。如果客户数据一旦泄漏,将会面临高达1千万欧元,或者%2的年收益的罚款 (取两者较高)。
收到这个邮件后,商家也意识到了问题的严重性,于是非常高效的修复了此漏洞,并感谢朋友的这一发现。
总结
毋庸置疑,数据保护法GDPR法案的出台,能够引起各大公司企业对信息安全的重视,也会是网民的一个保护伞吧!除了👆例子中提到的,即便是不在欧盟国境内的公司,也一律需遵守这一法案外,GDPR 还规定,用户有权利向商家索取自己的个人信息。真正实现用户的个人信息只属于自己。
即便我们不当黑客,提高对个人隐私的重视,培养对数据安全的敏感度,小编觉得也是个不错的建议呢!从小就听说,保护人类赖以生存的自然环境人人有责,小编想或许可以倡导一下,保护网民生活的互联网环境也是人人有责呢!
部分图片来自网络,侵权删除!原创文章,转载请联系作者!