Κρίσιμες συμβουλές για ασφαλή χρήση των QR codes

Ποια μέτρα πρέπει να λάβουν επιχειρήσεις και οργανισμοί προς αποφυγή παραβιάσεων πολιτικών απορρήτου και μείωσης του κινδύνου hacking. Οι οδηγίες του FBI. Γράφει η Iωάννα Μιχαλοπούλου.

Κρίσιμες συμβουλές για ασφαλή χρήση των QR codes
  • της Iωάννας Μιχαλοπούλου*

Η πανδημία της Covid-19, έφερε όλο τον κόσμο πιο κοντά στη χρήση κωδικών «γρήγορης απόκρισης» ή αλλιώς «QR». Ωστόσο, η ευκολία χρήσης των ολοένα και πιο δημοφιλών κωδικών QR ενέχει κινδύνους όσον αφορά στο απόρρητο των καταναλωτών και στην ασφάλεια στον κυβερνοχώρο.

Το QRishing (ηλεκτρονικό ψάρεμα ή αλλιώς phishing μέσω ανακατεύθυνσης) αποτελεί τη νέα δράση των hackers αξιοποίησης πληροφοριών του υποκειμένου δεδομένων που συλλέγονται από ένα συγκεκριμένο σημείο και απόκτησης πρόσβασης σε άλλα πολύτιμα δεδομένα του.

Τι είναι οι κωδικοί QR;

Οι κωδικοί QR υπάρχουν εδώ και δεκαετίες, αλλά η τεχνολογία με δυνατότητα σάρωσης έχει γνωρίσει τελευταία μια ταχεία αναζωπύρωση. Οι μοναδικοί τετράγωνοι κωδικοί έχουν χρησιμοποιηθεί για την αντικατάσταση μενού και άλλων χάρτινων εντύπων σε μια προσπάθεια παροχής ανέπαφων υπηρεσιών για την επιβράδυνση της εξάπλωσης της Covid-19.

Έτσι, οι πελάτες αντί να χειρίζονται φυσικά ένα μενού, χρησιμοποιούν τα smartphone τους για να σαρώσουν γρήγορα έναν κωδικό QR, που τους κατευθύνει σε ένα ψηφιακό μενού, μια ηλεκτρονική φόρμα ή άλλους τύπους ψηφιακού περιεχομένου.

Επιχειρήσεις και οργανισμοί σε διάφορους κλάδους συνέχισαν να χρησιμοποιούν κωδικούς QR για τα πλεονεκτήματα που παρέχουν. Μερικά από αυτά περιλαμβάνουν την εξοικονόμηση κόστους για φυσικές εκτυπώσεις, την ευκολία της ηλεκτρονικής επεξεργασίας και τη δυνατότητα συλλογής πληροφοριών σχετικά με τις προτιμήσεις των καταναλωτών για την καλύτερη προσαρμογή των υπηρεσιών ή των προϊόντων τους.

Κίνδυνοι με τη χρήση τεχνολογίας κώδικα QR και κατάλληλος σχεδιασμός

Οι επιχειρήσεις και οι οργανισμοί θα πρέπει να είναι προσεκτικοί όταν χρησιμοποιούν QR codes προς αποφυγή παραβιάσεων πολιτικών απορρήτου και μείωσης του κινδύνου ενδεχόμενου hacking.

Συγκεκριμένα, οι επιχειρήσεις πρέπει να λάβουν κατάλληλα μέτρα:

  • αυξημένης επεξεργασίας και αποθήκευσης δεδομένων,
  • συλλογής ενεργούς συγκατάθεσης των πελατών και
  • θέσπισης κατάλληλων μέτρων ασφαλείας στον κυβερνοχώρο.

Πιο συγκεκριμένα:

Γνωρίζετε ότι ένας πελάτης μπορεί να ανακατευθυνθεί σε έναν ιστότοπο που χρησιμοποιεί cookies και να παρακολουθείται η συμπεριφορά του; Πρακτικά δηλ. μπορεί αποθηκεύονται οι προτιμήσεις των καταναλωτών καθώς και άλλες πληροφορίες, όπως λ.χ. η ώρα της επίσκεψης του πελάτη, η αποστολή στοχευμένων διαφημίσεων ή πώλησης ειδών με εξατομικευμένες προσφορές.

Συγκεκριμένα, κάθε φορά που ένας καταναλωτής σαρώνει έναν κωδικό QR, μπορούν να συλλεχθούν ορισμένα μεταδεδομένα όπως, ο τύπος της συσκευής που χρησιμοποιεί, η τοποθεσία, διεύθυνση IP, ημερομηνία και η ώρα καθώς και άλλες προσωποποιημένες πληροφορίες. Κάτι τέτοιο ενισχύεται και από το γεγονός ότι πολλοί οργανισμοί χρησιμοποιούν εφαρμογές τρίτων για την απόκτηση του κώδικα QR, κάτι που με τη σειρά του δίνει σε μία εταιρεία τη δυνατότητα να συλλέγει δεδομένα για ένα άτομο από πολλές εγκαταστάσεις ταυτόχρονα.

Αυτό το είδος συγκεντρωτικών δεδομένων είναι προβληματικό, καθώς το σύνολο των συλλεγόμενων πληροφοριών μπορεί να δημιουργήσει μια πιο ολοκληρωμένη εικόνα ενός ατόμου. Έτσι, κάθε οργανισμός που χρησιμοποιεί αυτήν την τεχνολογία θα πρέπει να υιοθετεί γραπτές πολιτικές που απευθύνονται στους καταναλωτές του, οι οποίες περιγράφουν πώς συλλέγονται και υποβάλλονται σε επεξεργασία τα προσωπικά τους στοιχεία.

Προϋπάρχει πάντα η συγκατάθεση;

Επειδή δεν ζητείται πάντα από τους καταναλωτές η συγκατάθεσή τους για τη συλλογή, αποθήκευση και χρήση των πληροφοριών τους για διαφημιστικούς και άλλους προωθητικούς σκοπούς, συχνά δεν έχουν άλλη επιλογή από το να αποδεχτούν εάν σκοπεύουν να συνεχίσουν την υπηρεσία.

Αντίθετα, ένα μοντέλο υπηρεσίας που βασίζεται στη συναίνεση που συμμορφώνεται με τα δικαιώματα και τις πολιτικές απορρήτου των καταναλωτών θα πρέπει να ζητά την προηγούμενη συγκατάθεση των τελευταίων για την παρακολούθηση των δεδομένων τους αμέσως μόλις σαρώσουν τον κωδικό QR.

Δεδομένου ότι η ευρεία υιοθέτηση των κωδικών QR είναι ακόμα σχετικά νέα, πολλές επιχειρήσεις δεν γνωρίζουν τις ισχύουσες υποχρεώσεις του νόμου περί απορρήτου σχετικά με τη χρήση τους.

Κίνδυνοι ασφαλείας

Η τεχνολογία θα μπορούσε να είναι ευάλωτη σε εγκληματίες του κυβερνοχώρου που προσπαθούν να εξάγουν δεδομένα από την κινητή συσκευή που χρησιμοποιείται για τη σάρωση του κώδικα ή να ανακατευθύνουν τον σαρωτή σε διαφορετική διεύθυνση URL που φιλοξενεί έναν ιστότοπο ηλεκτρονικού ψαρέματος πληροφοριών.

Το ζήτημα γίνεται ακόμη πιο επικίνδυνο εάν στη διαδικασία εμπλέκονται τα στοιχεία πληρωμής ενός καταναλωτή. Για να αποφευχθούν παγίδες στον κυβερνοχώρο, οι κωδικοί QR πρέπει να εφαρμόζονται σωστά σύμφωνα με τις κατάλληλες διασφαλίσεις.

Η σωστή χρήση του κώδικα QR θα πρέπει να περιλαμβάνει μηχανισμούς συλλογής δεδομένων βάσει συναίνεσης, σαφή κοινοποίηση πληροφοριών στους καταναλωτές σχετικά με την επεξεργασία των προσωπικών τους δεδομένων και κατάλληλα μέτρα κυβερνοασφάλειας για την αποφυγή hacking.

Γι' αυτό και αρχές του 2022, το FBI εξέδωσε κάποιες οδηγίες για τη χρήση ανακατεύθυνσης κωδικών QR σε ιστότοπους phishing, όπως:

  1. Έλεγχος πάντα της αυθεντικότητας της διεύθυνσης URL. Ένα κακόβουλο όνομα τομέα μπορεί να είναι παρόμοιο με το προβλεπόμενο URL, αλλά με τυπογραφικά λάθη ή κάποιο λανθασμένο γράμμα.
  2. Προσοχή στην εισαγωγή προσωπικών ή οικονομικών πληροφοριών σας στα στοιχεία σύνδεσης.
  3. Λήψη εφαρμογής λογισμικού QR μόνο από το κατάστημα εφαρμογών του τηλεφώνου σας.
  4. Χρήση σαρωτή κωδικών QR πάντοτε μέσω της εφαρμογής κάμερας.
  5. Αποφυγή πληρωμών μέσω ιστότοπου πλοήγησης από έναν κωδικό QR.

Γιατί οι κωδικοί QR δεν παραβιάζουν το απόρρητό σας, αλλά οι ιστότοποι που ανακατευθύνεστε μπορεί!

* Η Iωάννα Μιχαλοπούλου είναι Δικηγόρος LL.M. Υγείας, Φαρμάκου, Τροφίμου και Ιατρικού Αναλωσίμου


Oι απόψεις που διατυπώνονται σε ενυπόγραφο άρθρο γνώμης ανήκουν στον συγγραφέα και δεν αντιπροσωπεύουν αναγκαστικά, μερικώς ή στο σύνολο, απόψεις του Euro2day.gr.

ΣΧΟΛΙΑ ΧΡΗΣΤΩΝ

blog comments powered by Disqus
v