"Te llamo por la garantía de tu coche", también conocido como PII Hijinx - Calendae | Informática, Electrónica, CMS, Ciberseguridad

«Te llamo por la garantía de tu coche», también conocido como PII Hijinx

Hola, un placer verte por aquí. Te habla Eduardo Arroyo y en esta ocasión te voy a hablar sobre «Te llamo por la garantía de tu coche», también conocido como PII Hijinx

«Te llamo por la garantía de tu coche», también conocido como PII Hijinx

Black Hat: los investigadores crearon 300 identidades falsas, las registraron en 185 sitios legítimos y luego rastrearon cuánto usaban los sitios la PII de registro para molestar a las cuentas.

LAS VEGAS – Cuando te registras en un nuevo sitio web, ¿a dónde va esta información? Algunos investigadores han decidido averiguarlo. El miércoles dieron a conocer su información preliminar en una sesión de Black Hat USA 2021 llamada Uso y uso indebido de información personal.

Los investigadores crearon 300 identidades falsas, registrándolas en 185 sitios web legítimos que van desde Target hasta Fox News, y cada identidad se utiliza en un solo sitio web. Luego, rastrearon cuántos correos electrónicos, llamadas telefónicas, mensajes de texto y otras respuestas se recibieron basándose en datos personales información identificable (PII) utilizada para el registro.

Esos correos electrónicos y llamadas telefónicas suman una gran cantidad de tiempo perdido, dijeron los investigadores. En promedio, registrarse en un sitio web genera respuestas que resultan en una hora de tiempo perdido debido a las distracciones, y algunos sitios web crean hasta 20 horas de distracción.

La investigación fue realizada por el Centro Hume de Seguridad Nacional y Tecnología en el Instituto Politécnico de Virginia y en la Universidad Estatal de Blacksburg, VA. Los investigadores presentes en Black Hat fueron Alan Michaels, director de sistemas electrónicos, y Kiernan George, quien era un estudiante de posgrado en ese momento.

Resultados sorprendentes y nada sorprendentes

Los investigadores dijeron que estaban sorprendidos por algunos de los resultados. Por ejemplo, descubrieron que la mayoría de las empresas acumulaban PII en lugar de venderla a otras organizaciones. Solo 10 de las 300 cuentas mostraron indicios de datos compartidos, aunque hubo cierto grado de raspado de cookies, particularmente con Twitter y TikTok, dijo Michaels.

Los investigadores también encontraron que los mejores sitios para detectar cuentas falsas eran Facebook, que inmediatamente detectó seis de las ocho cuentas falsas y detectó las otras dos en una semana, y WeChat, que requería un número de teléfono chino legítimo.

Además, el interés de las empresas no estadounidenses se ha asociado principalmente con las compras del Black Friday más que con la política.

¿Qué no fue una sorpresa? El tipo de llamadas recibidas de identidades falsas, desde garantías de vehículos hasta estafas de seguridad social y habitaciones de hotel gratuitas.

¿Lees las políticas de privacidad?

Un equipo de estudiantes también leyó las políticas de privacidad de los sitios en los que se han registrado las identidades falsas. Crearon una rúbrica de 50 elementos para monitorear la calidad de las políticas de privacidad y cómo los sitios mismos seguían las políticas.

Curiosamente, no hubo mucha correlación entre la cantidad de material publicado y la calidad de las políticas de privacidad, dijo Michaels.

Esto significa que «los abogados no están hablando con científicos informáticos», dijo Michaels.

Próximos pasos

La universidad ha creado un conjunto de datos de investigación de código abierto, disponible en GitHub, que contiene los datos brutos (16.436 correos electrónicos, 3.482 llamadas telefónicas, 949 mensajes de voz y 774 mensajes de texto), así como las 300 identidades falsas, 171 avisos de privacidad con rúbricas de puntuación y los scripts y herramientas utilizadas para la automatización del análisis.

El Centro Hume ahora está planeando una prueba adicional con 50.000-100.000 identidades falsas, con automatización para dar a las identidades falsas la capacidad de responder a los mensajes que reciben, dijo Michaels. Debido a que la prueba de identidad 300 fue solo pasiva, lo que significa que las cuentas no respondieron a ninguno de los correos electrónicos, llamadas telefónicas o mensajes de texto que recibieron, los mensajes se agotaron gradualmente con el tiempo, dijeron los investigadores.

Además, como la investigación se llevó a cabo en una universidad, esto puede haber afectado algunos de los hallazgos. Por ejemplo, aunque los investigadores recibieron 1.423 archivos adjuntos de correo electrónico, ninguno resultó ser malicioso. Más tarde, los investigadores especularon que el sistema universitario había eliminado los archivos adjuntos maliciosos.

Las áreas de investigación futura incluyen si alguna de las identidades falsas aparece en la web oscura, dijeron los investigadores.

[Editor’s note: Sharon Fisher is a digital nomad who writes about entrepreneurship. You can find more of her work here.]

¿Le preocupa de dónde vendrá el próximo ataque? Te respaldamos. para nuestro próximo seminario web Online, Cómo, en colaboración con Uptycs el 17 de agosto a las 11 a. Únase a la anfitriona Becky Bracken y los investigadores de Uptycs Amit Malik y Ashwin Vamshi en.

.

Puedes compartir en una historia de tu Instagram para que tus amigos lo disfruten

??? ? ? ???

Comparte