web-dev-qa-db-ja.com

json応答による情報漏えい

製品調査Webサイトをテストしています。 getSurveyResults()呼び出しへの応答として、すべての調査参加者の以下の詳細がすべてのWebサイトユーザーに表示されます。

  1. ニックネーム
  2. ロケーション
  3. 評価
  4. コメント
  5. 年齢

ただし、結果のjsonでは、各調査参加者について次の追加フィールドが表示されました。

  1. 注文ID(製品購入ID)
  2. 既婚かどうか、ペットの数などの質問と回答を調査する
  3. レビューを書いてもらうインセンティブ
  4. ロケール

これらはPIIではありませんが、データ漏洩の問題に該当しますか?

data-leakagepii
2
Jaya

プロセスの設計方法が原因でデータへの不正アクセスがある場合、それは定義上「データ漏洩」です。

データの種類によっては、データが漏洩しても影響がない場合や、設計者がアクセスタイプを「公開データ」と見なしているため、効果的に「許可」に分類している場合がありますが、これは別の問題であり、別の評価です。

このリークにマイナスの影響があることを示すことができる場合は、重大度が高くなります。たとえば、年齢、場所、人口統計調査の質問、および注文履歴を知ることは、多くの管轄区域のデータプライバシー法を引き起こすのに十分です(誰かを一意に識別するのに十分である場合があるため)。しかし、これは状況に応じたものであり、評価するにはいくつかのコンテキストが必要です。

1
schroeder