利用隐私法规的漏洞窃取用户身份

欧盟的通用数据保护条例 (GDPR) 已成为现代隐私法律的试金石，部分原因是它赋予消费者前所未有的对其个人信息使用的控制权。然而，同样的权力可能容易被恶意攻击者滥用。在本文中考虑了社会工程师如何滥用围绕“访问权”（Right of Access）过程的法律歧义。这一假设通过对 150 多家企业的对抗性案例研究进行了验证。发现许多组织未能采取足够的保护措施来防止滥用访问权，从而有可能将敏感信息暴露给未经授权的第三方。这些信息的敏感性各不相同，从简单的公共记录到社会安全号码和帐户密码。这些发现表明，迫切需要改进主体访问请求流程的实施。为此本文提出可能的补救措施，以供政府、行业和个人进一步考虑。

0x01 Introduction

通用数据保护条例 (GDPR) 代表了欧洲居民控制、限制和理解其个人信息使用方式的巨大变化。作为迄今为止最重要的数据安全监管尝试，GDPR 的已经促使数以百万计的组织反思甚至修改了他们的网络安全和数据收集实践。GDPR 的一个特别显着的特点是，它赋予个人消费者作为防止数据滥用的第一道防线的权力。根据 GDPR，欧洲居民有权要求、审查、修改和删除组织存储的有关他们的个人信息。

在本文中考虑了这项权利的实际实施，特别关注防止滥用其窃取第三方敏感信息的机制。研究者发现 GDPR 本身几乎没有提供关于最佳实践的指导，更广泛地说，很少有人关注出于数据窃取目的而滥用请求的可能性。这个缺陷是通过真实世界的实验来确定的，其中模拟的欺诈性 GDPR 请求被发送到 150 多个组织。实验结果表明，许多组织未能充分验证访问请求权的原始身份。结果是，社会工程师可以滥用访问权请求作为获取有关个人的深度敏感信息的可扩展攻击。本文提出了几种缓解措施，可能有助于在 GDPR 的背景和新兴下一代隐私法的背景下纠正这种情况。

0x02 Background and Motivation

GDPR 于 2018 年 5 月 25 日生效，取代了数十年的欧洲隐私立法。该法律概述了对处理个人数据的组织的新要求，包括对不符合规定的严重罚款。最严重的违法行为可能会被处以高达 2000 万美元或公司年收入 4% 的罚款——以较高者为准（Ch. 8, Art. 83）。违法的公司已经开始感受到这些后果。例如，Google因处理广告中的个人数据而被法国国家信息与自由委员会 (CNIL, Commission nationale de l’informatique et des libertés) 罚款 5000 万美元。此外，Marriott International 和 British Airways 因违规导致客户数据泄露而被英国信息专员办公室 (ICO, Information Commissioner’s Offifice) 分别罚款超过 9900 万和 1.83 亿美元。然而，一些调查表明许多小企业主仍然不确定他们是否完全遵守法律。GDPR 的一个基本组成部分是对个人数据的“访问权”（Ch. 3, Sec. 2）。为了行使这项权利，欧盟居民可以向几乎任何组织发送主体访问请求 (SARs, subject access requests)。然后允许 SAR 的接收者在一个月内做出回应，最好是提供组织持有的发送者的所有个人数据的副本。

根据 GPDR 的文本，允许组织采用“所有合理措施来验证请求访问的数据主体的身份”（Rec. 64）。由于更具体的细节不容易获得，组织可能倾向于根据具体情况来解释这一要求。此外，该法律规定，组织不得仅出于验证身份以响应未来SAR 的目的收集数据（Rec. 64）。这严重限制了可行的身份验证措施的范围 – 特别是对于没有直接消费者交互的数据经纪人和其他组织。

未免除 GDPR 要求的组织只能出于以下两个原因之一拒绝遵守 SAR（Ch. 3, Art. 12）。如果 SAR 在频率上被视为“过度”，则满足第一个拒绝条件。这适用于在很短的时间内发送相同或类似 SAR 的个人。如果 SAR 被视为“明显没有根据”，则满足第二个拒绝条件。英国 ICO 在其Guide to the GDPR（https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-of-access/ ）中列出了此条件可能适用于 SAR 的六个示例原因。这些原因包括将 GDPR 请求用作勒索的组成部分、骚扰或破坏组织、识别特定员工或浪费组织资源。 “明显毫无根据”一词与欺诈威胁之间没有直接联系。此外，举证责任似乎落在了组织身上，英国 ICO 表示组织“有责任证明 the request 显然没有根据”。这些原因与发送方的恶意有关，但没有直接讨论欺诈的可能性——而是关注滥用 GDPR 请求浪费组织资源。

出于上述原因之一拒绝遵守 SAR 的组织仍需向发送方提供拒绝理由。根据英国 ICO，回应还应提醒发件人他们有权向监管机构投诉或针对拒绝组织寻求法律行动。因此，即使是出于有效目的，不提供响应 SAR 的数据也是相当危险的。对于担心收到巨额罚款或损害其声誉的组织来说，遵守可能无效的请求可能比冒着挑战合法请求的风险要小。

上述工作可能会使组织容易受到社会工程攻击，这些攻击会影响 SAR 过程。通常，熟练的社会工程师会试图制造一种人为的紧迫感或恐惧感，迫使受害者泄露敏感信息。然而，在 GDPR 下，时间压力和罚款威胁已经作为监管的自然效果而存在。此外，由于 GDPR 为获取敏感数据的访问权限提供了明确的机制，因此除了简单地引用 GDPR 权利之外，攻击者无需为初始信息请求发明复杂的借口。简而言之，访问过程的权利在直觉上似乎很适合被社会工程师滥用，而 GDPR 中围绕身份验证和请求拒绝理由的模糊性进一步支持了这种可能性。

0x03 Experimental Design

实验的目的是确定一个不熟练的攻击者是否可能通过恶意的主体访问请求获取有关个人的敏感个人信息。这篇论文的第二作者同意在实验中扮演“受害者”的角色。在她没有直接参与或互动的情况下，以她的名义向 150 多个组织提交了主体访问请求。当组织要求额外的信息来完成这些请求时，攻击者认为只有一小部分公开可用的数据可用。组织的最终回应以及他们提供的任何个人数据都被记录和分析，以提供对 GDPR 访问权实践的广泛概述。这个实验是作为对现状的粗略评估而设计的。只有一个目标，并且攻击者知道一个目标，可能会在调查结果中引入一些偏见。虽然已努力减少这些实验偏差，但未来对几个不同的匿名受害者的研究将代表对这一初步调查的方法论改进。

1) 威胁模型

威胁模型试图重现高度受限的攻击者的能力。通常，对攻击者的约束可以分为两大类：知识约束和操作约束。

A. 知识约束

强加给攻击者的知识限制围绕着受害者的信息，攻击者被允许将这些信息合并到他们的社会工程攻击中。具体来说，攻击者被认为除了从知情猜测和开源情报 (OSINT, open-source intelligence) 得出的关于目标的基本公共信息之外一无所知。这些信息总结在下表中。 OSINT 限制确保模拟的攻击者代表了最弱的攻击形式。进一步研究更有针对性或知情的攻击者（例如偷了某人钱包的攻击者）的能力可能会证明是有价值的。

随着攻击的进行，攻击者被允许使用他们发现的有关受害者的任何信息来补充这个 OSINT 知识库。因此，例如，如果目标组织向攻击者提供了受害者的家庭地址，则允许攻击者在未来的请求中包含该家庭地址。

B. 操作约束

攻击者的操作限制围绕着攻击者在管理请求中可以采取的行动。同样，试图重现攻击的弱形式，为研究更有能力的攻击者留下开放的机会。具体来说，邮件发送者被认为除了发送电子邮件和伪造简单的文件（例如邮戳信封）之外，无能为力。本实验未评估其他功能，例如伪造签名和身份证明文件的能力，或电子邮件标题欺骗的能力。

此外，出于法律方面的考虑，没有为实验创建伪造文件，而是以复制攻击者能力的方式提交合法文件（例如，掩盖了所有帐户信息的真实银行对账单） 。预计未来复制更复杂的攻击者的工作——无论是通过技术手段（例如电子邮件帐户劫持或欺骗）还是通过物理手段（例如护照伪造）——可能会比这种基线威胁模型的成功率高得多.

2) 实施

攻击的主要目标之一是开发一种大规模的社会工程机制。通过针对大量组织，即使其中只有少数被证明易受攻击，也可能足以满足攻击者的目的。因此，设计了一份通用的、故意含糊不清的 GDPR 主体访问请求函，它几乎适用于任何可以想象的组织，但仍然看起来是合法的。然后这封信被模板化并使用一个简单的 python 邮件程序脚本发送到 150 多个组织。

A. SAR 设计

在本节中将指出这封邮件的细节，这些方面的设计明确目标是增加攻击成功的可能性。主体访问请求信的全文如下：

针对社会工程师的 GDPR 流程的主要好处之一是法律强加给组织发布回应的严格的时间压力。鉴于组织通常只有一个日历月来响应任何给定的 GDPR 请求（最多可延长一个月），因此可能难以在规定的时间范围内响应广泛或复杂的 GDPR 请求。在这些动态压力下，假设组织可能倾向于走捷径或被请求的范围和复杂性分心，而不太关注法律的身份验证方面。

因此，这封信对所请求的数据故意含糊其辞，要求“the组织（或代表the organization’s的第三方组织）存储的任何个人身份信息。”为了进一步加剧这种复杂性，这封信不仅要求数字帐户信息，还要求位于“物理文件、备份、电子邮件、录音或其他媒体”中的数据。这种模糊性允许该信函适用于广泛的情况，而无需针对特定组织进行定制。额外的复杂性是通过两个与攻击者目标不直接相关的信息请求来训练的。首先，这封信要求提供有关与第三方的任何数据共享关系的信息——要求组织不仅要确定他们持有的有关数据主体的信息，还要确定该数据的来源。包含此信息的响应具有额外的好处，即识别未来对受害者进行攻击的其他目标。

其次，这封信要求提供有关个人数据是否“由于安全或隐私泄露而被无意中披露 …”的信息。添加这个查询是为了建议主体访问请求的合理目的。其目的是让接收组织怀疑攻击者对已披露或未披露的数据泄露有所了解，并正在使用 GDPR 请求为诉讼或监管投诉奠定基础。假设这种信念可能会导致组织忽视身份验证异常。

除了增加复杂性之外，这封信还试图抢占攻击失败的主要原因之一：身份证明请求。这封信通过提议提供与数据主体与组织的现有关系“相称”（proportional）的身份证明文件来做到这一点。 GDPR 的这种解释得到了法律本身的温和支持，该法律规定数据控制者“不应仅出于能够对潜在请求做出反应的目的而保留个人数据”，并且数据控制者应使用“所有合理措施来验证身份”数据主体的身份”（Rec. 64）。相称是一个模棱两可的标准，在许多与消费者没有直接关系的组织（例如广告数据经纪人）的情况下可能难以确定。这使攻击者有理由在以后可信地拒绝提供某些形式的身份证件。为了进一步加强这种抢占，这封信还规定攻击者只愿意通过“安全在线门户”（secure online portal）提供身份证明文件。通过参考英国信息专员网站上的指南，可以进一步支持这种不愿意通过电子邮件提供身份证明的做法，该指南表明电子邮件是一种有风险的个人数据传输方式。

这种需求给组织留下了三个次优选择。首先，他们可以根据要求提供安全的在线门户。然而，如果这样的门户不存在——对于中小型企业来说通常是这种情况——他们只有一个日历月来获得这样的能力。其次，他们可以拒绝提供门户并坚持通过电子邮件发送文件。这意味着他们可能会剥夺数据主体的基本权利，除非数据主体愿意对其数据承担不必要的风险。如果组织的邮件服务器随后遭到破坏，监管机构可能会认为这种行为是不利的。最后，组织可以选择根本不要求提供身份证明文件，或者要求用户通过电子邮件轻松发送的弱身份形式。在例子中，这是攻击者的理想结果。

B. 目标确定

主体访问请求信被设计为模块化的 .pdf 模板，其中受害者的详细信息和目标组织的名称都可以动态更改。创建了一个冒充受害者的虚假电子邮件帐户，格式为：first namelast name@ gmail.com，用于发送恶意信件。使用一个简单的 Python 脚本将攻击发送到 150 个组织，分两批次，每批 75 个组织。第二批中的信件得到了第一批中获得的关于受害者的额外信息的支持。

本文没有采用特别严格的方法来为这项初步研究选择组织。研究者试图重现对受害者一无所知的攻击者，因此，选择了各个行业（例如旅游或零售）中的少数知名组织。实验完成后，确定略多于一半的被查询组织实际上持有目标的个人数据。调查结果可能严重偏向在美国和英国开展业务的组织，即作者最熟悉的两个国家。更严格的未来研究，特别是考虑区域和语言变化的研究，可能是必要的。然而，即使是这种粗略的初始方法也足以提供对各种组织对恶意主体访问请求的响应的性质的弱量化。

3) 道德和法律问题

该实验是围绕许多道德和法律限制设计的。实验的唯一对象也是本文的合著者，虽然为了限制实验结果的偏见，她不被允许直接参与，但在实验的所有阶段，她都会被告知并再次确认她的同意。在向公司提交 GDPR 请求时，数据主体确实有兴趣查看他们可能存储的有关她的个人信息。当组织要求提供身份证明形式时，例如护照或驾照，研究者不会试图伪造这些文件——尽管怀疑很少有组织具有验证此类文件合法性的内部能力。同样，当需要电话采访或宣誓陈述时，虽然这些很容易被伪造，但没有尝试这样做。在少数情况下，要求进行弱形式的身份验证（例如邮戳信封），这些文件的合法副本在获得数据主体的知情同意的情况下提供，以评估其伪造可能产生的最终影响。

关于漏洞披露，研究者直接联系并通报了一些最严重的组织。 与软件漏洞不同，社会工程漏洞的披露可能会产生不良的次要影响，例如将被攻击成功的组织成员作为替罪羊，即使他们这样做是由于组织政策不当。 由于研究的重点是隐私法规的广泛系统影响，而不是试图“赶上”任何特定公司，根据调查结果的严重性，对披露签证的适当性作出了个案判决。 出于这些考虑并保持对本研究更广泛目标的关注，研究者选择不列出任何容易受到攻击的特定组织。

0x04 Case Study Results

对大约 150 个组织的调查显示，主体访问请求流程的实施存在显着差异，更具体地说，适用于该流程的识别标准。虽然发现许多组织实施了合理的安全控制，但也发现许多组织实施了不安全的身份验证控制或根本没有控制。除了这些直接相关的发现之外，案例研究还揭示了许多其他细节，这些细节可能对研究人员、立法者和对 GDPR 合规性的现实表现感兴趣的组织有用。

1) 初步响应

并非所有联系的组织都制定了 GDPR 主体访问请求流程（参见下图）。大约四分之一的联系组织从未对请求作出回应。目前尚不清楚这是因为他们以某种方式确定这是非法的，还是他们根本没有适当的流程来响应根据 GDPR 提交的主体访问请求。在本季度内，少数公司回应称，由于司法管辖区的限制，他们认为 GDPR 不适用于他们。这种反应不仅来自小型企业，还来自主要在美国开展业务的四家大型（Fortune 250）公司。这些组织争辩说，即使数据主体是欧洲居民，由于其作为美国企业的性质，她也无权查看他们根据 GDPR 持有的有关她的数据。

在那些确实响应 GDPR 请求的组织中，大约三分之二的组织做出了回应，以揭示受害者是否使用过他们的服务。虽然帐户枚举的严重程度可能因具体情况而异，但在某些情况下，仅存在一个帐户就可以揭示有关个人的深层敏感信息，例如 2015 年的 Ashly Madison 数据泄露事件。在实验结果中，在线约会服务是为响应 GDPR 请求而列举用户帐户存在的组织之一。

2) 最终响应

在拥有模拟受害者信息的组织子集中，大约四分之一的组织在未验证请求者身份的情况下提供了敏感信息（上图）。另外 15% 的联系组织要求提供一种被认为很容易被盗或伪造的身份形式（例如设备标识符或宣誓成为数据主体的签名声明），但研究者并未试图伪造。少数组织 (5%) 声称没有关于数据主体的个人信息，即使她确实有一个由组织控制的帐户。最后，少数组织 (3%) 将主体访问请求信误解为数据删除请求，并在不需要任何进一步身份验证的情况下删除了数据主体的帐户。

更积极的一点是，大约 40% 的组织要求采用威胁模型无法实现的身份识别形式。观察到身份请求形式的显着可变性，这表明没有明确的“最佳实践”（下图）。最常见的身份验证形式，并且符合前文提出的相称测试（proportionality test），是要求来自用于注册组织的原始电子邮件帐户的电子邮件或登录数据主体的帐户。

并不是所有的组织都可以使用这两种形式的身份（例如数据经纪人或实体零售商）。在这些情况下，政府签发的身份证明虽然不相称，但却是身份验证的有利机制。一些组织使用了一些新颖的基于知识的身份验证形式，可能是基于恶意主题访问请求信中建议的相称测试，比如对数据主体访问的最后一个零售地点的知识或关于帐户创建日期的信息。这类信息超出了威胁模型的范围，但对这种基于知识的身份证明的可行性和安全性进行更深入的调查可能会被证明是值得的。

关于特定行业的趋势，由于样本集不够大，无法做出结论性的观察。然而调查结果表明，经常处理敏感信息的行业（例如航空公司或银行）或经常收到 GDPR 请求的行业（例如社交媒体组织或消费科技巨头）往往不太容易受到这种特定攻击。与此同时，在处理敏感身份证件或处理 GDPR 请求方面经验较少的更深奥领域（例如教育或娱乐）的组织往往更有可能泄露敏感信息。发现数据集中最大的组织（例如财富 100 强公司）往往表现良好，而最小的组织往往会忽略 GDPR 请求。非营利组织和中型组织（100 – 1,000 名员工）约占处理不当请求的 70%。这可能表明存在一个“社会工程最佳点”（social-engineering sweet-spot），目标组织大到足以了解和关注 GDPR，但又小到没有专门的重要资源来实现合规性。能够有力地验证这些初始趋势的更广泛的调查可能是值得的。

3) 扩展参与

在少数组织要求强形式的身份验证的情况下，发现这些要求在实践中是灵活的。例如，在告诉一家大型在线游戏公司（年收入超过 10 亿美元），忘记了帐户密码并且无法登录以验证身份后，该组织只是向他们提供了数据未经任何进一步核实而举行。在其他情况下，不可能完全消除身份验证过程，但有可能大大削弱它。例如，英国的一家主要铁路服务运营商最初要求提供护照复印件作为身份证明，但经过一些谈判后，同意接受邮戳信封（如下图）。类似地，几个组织——包括网络安全服务公司 – 接受了一张经过大量编辑的银行对帐单照片，其中除了受害者的姓名和地址外没有任何银行信息。这表明，即使要求提供身份证件，也很少努力验证其真实性。

4) 数据发现

实验中总共获得了 60 多个不同的个人信息实例。将“实例”定义为来自给定提供商的特定类型（例如电话号码）的先前未知的个人信息。因此，例如，如果提供商以一个以前未知的电话号码和包含 15 个以前未知的 IP 地址的列表进行响应，那么在分析中，这将构成个人信息泄露的两个“实例”。为了更好地理解这些发现，根据低、中或高严重程度对每个实例进行了分类。这些分类必然是任意的，但是是根据对相关信息的可利用性的预期做出的。

低严重性实例（约 25%）包含的数据没有明显的直接应用来进一步攻击受害者。这包括由背景调查机构收集的广告资料和公共记录。与敏感帐户（例如在线约会档案）相关的一小部分帐户枚举漏洞也包含在此类别中。这些数据在威胁模型中没有直观的用处，但在某些情况下可能会为攻击者提供洞察力，以帮助他们针对目标进行进一步攻击或参与其他社会工程操作（例如勒索）。

中等敏感度的实例（大约 60%）包含的数据可能对攻击者有用，但仅在某些情况下或需要额外的努力。这包括标准化考试成绩、电话号码以及历史位置和购买数据等信息。其中一些信息（例如以前的住宅地址）可用于支持带有附加标识符的后续 GDPR 请求。其他信息（例如详细的购买历史）可能会被用来冒充信用卡提供商或银行作为网络钓鱼操作的组成部分。最后，一些信息提供了对个人活动和行为的深入洞察——例如数据主体在过去几年中乘坐的铁路旅行的完整记录或在英国一家主要连锁酒店的完整酒店住宿记录。

高敏感度实例（约 15%）由对对手具有明显效用的数据组成。例如，一家主要的教育服务组织提供了数据主体的完整美国社会安全号码，而无需在此之前请求任何身份验证。根据该组织网站上的信息，预计超过 1000 万个人的记录可能容易受到这次攻击。同样，一些组织提供了有关受害者信用卡号码的部分信息。到攻击结束时，攻击者都知道受害者卡号的 10 位数字、卡的有效期、发起银行和邮政编码。虽然这可能不足以进行实际购买，但在社会工程操作中冒充目标银行可能已经足够了——尤其是在结合之前讨论的中等敏感性购买历史时。在一个特别新颖的案例中，一家威胁情报公司向攻击者提供了先前泄露的属于数据主体的用户名和密码（下图）。随后对这些密码进行了测试，发现这些密码可用于至少 10 个在线帐户，包括一个在线银行服务。

这些发现证明了错误处理访问请求权的潜在严重性。与其他社会工程类型不同，此类攻击提供了对组织中个人整个数据配置文件的轻松正当且完全的访问。此外，许多持有目标数据的组织可能是目标从未听说过或直接与之交互的组织（例如上述威胁情报公司）。在这种情况下，目标几乎不可能知道他们的数据存储不安全或知道他们的信息可能已被泄露。

0x05 Proposed Remediations

这些漏洞显然需要解决，在某种程度上这项研究是第一步，因为它提高了对这种攻击的认识，并鼓励企业批判性地思考他们的主体访问请求过程。然而，立法者、企业和个人也可以考虑进行切实的改变，以改善现状。在这里建议一些最直观的方法，但考虑到访问请求权的身份验证的最佳方法，未来的工作可能是值得的。

1) 立法者和监管者

立法者和监管者非常适合尝试补救这些问题。对 GDPR 稍作修改，就可以提供对数据权利请求的合理身份验证形式的急需澄清。即使不修改现有立法，信息专员也可以向组织提供关于适当形式的身份识别可能是针对特定访问请求的具体指导。此类指导也可以纳入未来以 GDPR 为模型的隐私法律。也许更重要的是，立法者可以削弱许多鼓励企业不当实施身份验证的因素。如果事实证明该请求来自合法但行为可疑的数据主体，那么简单地向善意拒绝可疑访问权请求的企业保证以后不会被起诉，这可能是许多相关组织所需要的在这个研究中。

从长远来看，立法者可能会考虑为数据主体提供政府中介的身份验证服务。现有的服务，例如英国的“Gov.UK Verify”服务可能会扩大规模，为寻求验证个人身份的企业提供简单的是/否答案。然后，例如，消费者不必将敏感的护照文件发送给零售商，而可以将它们发送给受信任的政府服务。这将允许个人数据主体获得强大身份验证的好处，而无需与不受信任的第三方共享敏感数据。

2) 企业

如果不改变立法或提高监管清晰度，企业仍然可以尝试更好地保护他们自己和他们的客户免受此类攻击。案例研究中大约 40% 的企业采用了超出低级别威胁模型能力的方法。对于大多数组织而言，这只是要求主体访问请求源自先前已知属于数据主体的电子邮件或要求数据主体登录其在线帐户的问题。如果这两种身份模式不可用，请求政府颁发的带照片的 ID 可能是防止这种攻击的最有效方法。但是，无法充分保护这些数据或验证其真实性的组织应考虑将这些服务外包给第三方。企业还应定期评估其主体访问请求流程的漏洞，并培训个人服务代表检测和响应此类攻击。将恶意主体访问请求（如本文中使用的请求）作为常规渗透测试的一个组成部分，可能有助于在这些问题成为潜在的数据泄露之前缓解这些问题。

3) 消费者

个人消费者对组织如何选择共享他们的数据以响应主体访问请求几乎没有影响。但是，有一些基本操作可能证明有助于减轻这些攻击的危害。首先，个人可能会从考虑他们的数据足迹以及哪些组织可能持有有关他们的敏感信息中受益。在不需要这种数据关系的情况下（例如个人不再使用的服务），提交数据删除请求可能是谨慎的，以限制信息泄漏的潜在途径。在无法删除数据的情况下，个人可能会受益于向特定企业询问是否以他们的名义提交了任何过去的访问权请求以及这些请求的最终结果是什么。如果数据泄露已经发生，这可以允许个人识别数据泄露并对其做出反应。

此外，个人应该警惕“基于知识”（knowledge-based）的身份验证，因为它可以证明电话或电子邮件来自特定企业。 例如在实验中，有可能获得一个人最近购买的几十个清单以及他们信用卡号码的许多数字。 攻击者可以使用这些信息来冒充银行代表，并可能对受害者造成进一步的伤害。 因此，当用作身份证明时，即使是极其精细和深奥的数据的知识也应受到怀疑。

0x06 Conclusions

在本文中假设了GDPR 访问请求权可能是社会工程攻击的脆弱点。通过一项涵盖 150 个组织的实验，证明了此类攻击在现实世界中的可行性。发现很大一部分组织没有充分验证访问请求权背后的原始身份，因此社会工程师可以以可重复和可扩展的方式获取高度敏感的信息。研究建议采取一些针对个人、企业和立法者的补救措施，以帮助减轻这些攻击。本文对攻击者如何以新颖和意想不到的方式滥用隐私法律进行了初步和粗略的调查。未来的大量工作既要验证这些初步发现，又要表征其他相关漏洞——需要了解隐私法律中出现此类漏洞的机制以及如何最好地预测和避免它们。所有隐私立法的目标都是确保一个更安全、更诚实的互联网。使这些法规的实施与它们的目标一致是这样做的重要先决条件。