Formas de abuso do sistema RGPD e como minimizá-los

Numa apresentação no passado dia 8 de agosto de 2019, na convenção BlackHat USA 2019, James Pavur, um estudante a realizar o doutoramento na Universidade de Oxfor, detalha alguns métodos que lhe permitem subverter o sistema legislativo do RGPD para obter acesso aos dados de outras pessoas (precisamente aquilo que o RGPD está desenhado para proteger).

O resumo da sua apresentação pode ser encontrada aqui e a sua apresentação completa em PDF pode ser encontrada aqui.

O RGPD define as regras pelas quais as organizações podem recolher, armazenar e tratar os dados pessoais dos indivíduos, mas também define as condições nas quais estes mesmos indivíduos podem questionar essas organizações quanto aos seus dados. A legislação cria exigências muito estritas quanto a prazos mas não define procedimentos específicos nem salvaguardas, e esta combinação abre a oportunidade do abuso.

Neste caso, James tentou obter a informação da sua namorada (com o seu consentimento) fazendo-se passar por ela e usando exclusivamente dados que podem ser obtidos publicamente. O exemplo seria válido para qualquer um. Enviou o mesmo pedido a um conjunto de empresas com os dados dela mas com o seu próprio email. Das 83 organizações contatadas (onde sabia que a namorada tinha algum tipo de dado), 3% responderam que a conta tinha sido apagada, 5% que não tinham dados, 24% responderam com os dados de volta sem mais verificações, 16% aceitaram algum tipo de identificação adicional “fraca”, 39% solicitaram algum tipo de identificação adicional “forte” e 13% ignoraram o pedido.

Os tipos de pedido adicional para fornecer os dados de volta variaram entre aceder à conta online (da vítima), ter acesso ao email (da vítima), ter algum tipo de bilhete de identidade, etc. Nalguns casos bastou com enviar um extrato bancário ou qualquer outro documento de contrato da luz falsificado.

Na hora de responder, as empresas encontram-se numa posição difícil: tanto se respondem indevidamente (porque foram enganadas) como se não respondem indevidamente (por excesso de zelo) podem ser denunciadas e multadas. A inação não é opção e a implementação coerente de medidas de verificação e processamento pode ser complexa. Tanto mais quanto não há diretrizes claras quanto a métodos fiáveis que os livrem de multas.

Seja como for, a taxa de sucesso do acesso indevido foi suficientemente alta como para mostrar preocupação. Isto só demonstra que é preciso ter algum cuidado com a forma em que devemos responder a este tipo de pedidos. Ficam algumas sugestões para lidar com a situação.

Para pedidos não presenciais:

  • Validar que o email a quem enviamos os dados seja aquele que registou inicialmente.
  • A função de solicitação dos dados pode ser implementada só após o utilizador ter feito login na sua conta.
  • Nos pedidos ao telefone, podem ser usadas uma sequência de perguntas e respostas, método semelhante a aquele comummente usado para recuperar as nossas passwords, embora este método poderá ser fraco porque os utilizadores podem usar dados fáceis de adivinhar durante o registo inicial.

Para pedidos presenciais:

  • Registar o pedido mas enviar para o email que registou inicialmente.
  • Exigir que mostrem o bilhete de identidade ou passaporte e validar o número de telemóvel.

Em caso de dúvida, não responder ao pedido. Pode haver uma denúncia e ameaça de multa no caso de não responder, mas nesse caso devemos justificar o porque não foi respondido e demostrar que havia causa razoável para a suspeita.

Como indica o estudo, o próprio governo deve legislar para dar alguma “defesa” às organizações perante este tipo de situações em que podem ficar indefesas. Entretanto, é importante registar os pedidos, se foram respondidos ou não e quais os motivos que justificaram a resposta ou não resposta.