Domanda:
I dump delle password sono disponibili pubblicamente legali ai sensi del GDPR
gorzilla
2018-07-26 17:48:57 UTC
view on stackexchange narkive permalink

Quando un'azienda viene violata dagli hacker, spesso il contenuto dei suoi database si fa strada su Internet. A volte questo includerà ovviamente informazioni personali come contenuti e-mail o dati personali, ma è abbastanza comune vedere un file di testo con e-mail e password nel formato: 

 a.aaronson@aol.com: abcdef ... johnsmith@hotmail.com: password123johnsmith@gmail.com: hello456

Si tratta di informazioni utili per i professionisti della sicurezza per verificare se un account utilizza una password pubblicata da qualche parte in una fuga di dati. D'altra parte, i dati vengono rubati e le persone non hanno acconsentito che i loro dati vengano utilizzati per questo scopo.

Esistono servizi come Sono stato pwnato che consentono un utente per cercare questi database e scoprire se i loro dati sono inclusi in un dump di dati pubblico. Troy Hunt (che lo gestisce) ha sede in Australia, ma se il sito fosse disponibile per gli utenti in Europa, sarebbe comunque coperto dalla legislazione GDPR. HIBP utilizza password con hash per mantenere la privacy.

Ai sensi del GDPR, è legale per me come individuo tenere una copia di un database trapelato ed è legale per una società di sicurezza conservarla (o informazioni derivate da it). Vivo nel Regno Unito (in particolare in Scozia) se altre leggi sono pertinenti.

Due risposte:
wimh
2018-08-04 04:07:19 UTC
view on stackexchange narkive permalink

Penso che haveibeenpwned sarebbe legale nell'UE perché svolge un compito di interesse pubblico ( Art. 6 (1) (e)) e non condivide più dati quindi necessari, ad esempio puoi cercare una password, ma non ti mostrerà l'indirizzo email che appartiene a quella password.

Sarebbe anche legale per te tenere una copia di un database trapelato, ma solo se hai un legittimo interesse ( Art. 6 (1) (f)) a averlo. Essere una società di sicurezza non cambia le cose, ma trovare un interesse legittimo potrebbe essere più facile.

Se hai un interesse legittimo a conservare una copia di un database trapelato, non significa che puoi usarlo in qualsiasi come ti piace. Ad esempio, testare se la password funziona ancora, è molto probabilmente illegale ovunque nell'UE. Ma non ho familiarità con le leggi del Regno Unito.

Il Regno Unito ha il Data Protection Act 2018. È fondamentalmente GDPR + (https://en.wikipedia.org/wiki/Data_Protection_Act_2018).
Greendrake
2018-08-04 04:20:43 UTC
view on stackexchange narkive permalink

Ai sensi del GDPR, è legale per me come individuo tenere una copia di un database trapelato ed è legale per una società di sicurezza conservarla (o le informazioni derivate da esso).

Dipende dal fatto che le informazioni siano "dati personali" come definito in Art. 4.

L'indirizzo email in sé non è un dato personale a meno che il proprietario non possa essere identificato. La password stessa non è né l'uno né l'altro. La combinazione dei due possono essere dati personali se può essere effettivamente utilizzata per accedere e ottenere più dati che mostrano chi è il proprietario.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...