De Europese wetgeving voor gegevensbescherming maakt het erg makkelijk om iemands persoonlijke informatie te krijgen

De controversiële privacywetgeving van Europa, beter bekend als de Algemene verordening gegevensbescherming (AVG), wordt door sommige mensen geprezen als een oplossing voor alle gegevens die techbedrijven van je verzamelen.

Maar wat niemand zag aankomen, is dat de AVG ook als wapen gebruikt kan worden in het arsenaal van kwaadwillende social engineers, hackers en mensen die anderen willen doxen en lastigvallen.

Dat is wat cybersecurity-onderzoeker James Pavur ontdekte toen hij en Casey Knerr, zijn verloofde en de co-auteur van hun onderzoek, een wedje legden over de AVG. Een onderdeel van de AVG is namelijk dat alle Europeanen bij elk bedrijf kunnen opvragen welke gegevens ze over hen hebben. Pavur en Knerr onderzochten of die informatieverzoeken gebruikt konden worden om gevoelige informatie van anderen te verkrijgen.

“De weddenschap hield in dat ik haar identiteit kon stelen met die verzoeken,” zegt Pavur.

“James heeft de weddenschap gewonnen,” zegt Knerr. Dankzij de AVG kon Pavur persoonlijke informatie over Knerr opvragen, waaronder haar burgerservicenummer (BSN).

Samen met Knerr, die ook in de cybersecurity-industrie werkt – en met haar volledige toestemming – bedacht Pavur een slim, maar simpel experiment.

Hij begon met Knerrs naam en achternaam, een paar e-mailadressen, telefoonnummers en ander laaghangend fruit dat hij online kon vinden. Met andere woorden: “De zwakst mogelijke vorm van een aanval,” zoals hij in het artikel schreef. Met een e-mailadres dat eruitzag als dat van Knerr stuurde hij informatieverzoeken naar 75 bedrijven. Met de gegevens die hij kreeg – waaronder Knerrs adres – stuurde hij nieuwe informatieverzoeken naar 75 andere bedrijven.

Met die verzoeken kreeg Pavur veel gegevens van Knerr in handen, zoals haar BSN, geboortedatum, meisjesnaam van haar moeder, wachtwoorden, eerdere adressen, reis- en hotelgegevens, cijfers van de middelbare school, gedeeltelijke creditcardnummers en informatie over of ze ooit een online datingdienst had gebruikt.

“Met enkel haar e-mailadres en haar telefoonnummer kon ik een enorme hoeveelheid informatie opvragen,” zei Pavur voorafgaand aan de Black Hat-veiligheidsconferentie in Las Vegas in augustus. “Zeer gevoelige dingen die ze nog nooit aan me had verteld, en waarschijnlijk nog nooit aan iemand had verteld.”

Volgens Pavur en Knerr reageerde een kwart van de bedrijven die hij benaderde helemaal niet. Twee derde van de bedrijven, waaronder de online datingdiensten, reageerde met zoveel informatie dat Pavur erachter kwam dat zijn verloofde een account had op een datingsite. Van de bedrijven die reageerden, gaf een kwart zomaar gevoelige informatie weg zonder de identiteit van Knerr te verifiëren. 15 procent vroeg om informatie die gemakkelijk vervalst kan worden en 40 procent van de bedrijven vroeg om identificatie-informatie die volgens het onderzoek relatief moeilijk is om te vervalsen.

Natuurlijk probeerde Pavur zijn verloofde niet echt te doxen. Hij vindt het geweldig dat de AVG Europese consumenten controle geeft over welke gegevens ze willen delen, maar hij wilde laten zien dat de regelgeving nieuwe, enge scenario’s mogelijk maakt, waarin vreemden gegevens van andere mensen kunnen opvragen en krijgen.

“Ik wilde duidelijk maken dat privacywetten kwetsbaarheden kunnen hebben,” zegt Pavur. “De bedrijven die nu gereguleerd worden zijn niet de enige vijanden. Er kunnen ook individuen geïnteresseerd zijn in je gegevens. En het is mogelijk om de regelgeving te misbruiken om die in handen te krijgen.”

Pavur concludeert dat we betere mechanismen nodig hebben om te verifiëren dat de persoon die het informatieverzoek doet ook echt is wie hij beweert te zijn. Sommige bedrijven waren best goed in het verifiëren van zijn identiteit. In sommige gevallen vroegen ze hem om in te loggen met het originele e-mailadres van zijn verloofde of stuurden ze hem een e-mail naar het e-mailadres dat zij in hun database hadden (waar Pavur geen toegang toe had) om op een link te klikken.

Maar in andere gevallen namen bedrijven niet eens de moeite om te vragen naar verificatie en stuurden ze gewoon de gegevens terug, zoals in het geval van het bedrijf dat Knerrs BSN meteen aan Pavur gaf. Er waren ook bedrijven die om documenten vroegen die makkelijk te vervalsen zijn, zoals paspoorten of bankafschriften.

“Ik maak me wel een beetje zorgen over hoe makkelijk het was om gevoelige informatie over mij te verkrijgen,” zegt Knerr, “maar ik hoop dat in de toekomst, als er meer bewustzijn over dit probleem is ontstaan, bedrijven deze gang van zaken verbeteren.”

Pavur hoopt dat toezichthouders in de toekomst striktere voorwaarden voor verificatie aan bedrijven stellen. Misschien zal er zelfs een overheidsorgaan komen dat documenten zoals paspoorten kan verifiëren, wat het probleem met het opsturen van documenten naar bedrijven zou oplossen.

“In plaats van dat ik dan mijn paspoort naar een schoenenwinkel stuur, stuur ik het naar een speciale afdeling van de overheid die een ‘ja’ of ‘nee’ stuurt naar de schoenenwinkel, om aan te geven of een paspoort echt is of niet. Ik denk dat dat beter is dan het paspoort gewoon opsturen als iemand ernaar vraagt,” zegt Pavur. “Ik vertrouw de overheid gewoon net iets meer dan een willekeurige schoenenwinkel.”