意図的/不注意による/設計によるデータリークの分類
一致する入力データでクエリを実行すると、人に関連するデータを開示する公的にアクセス可能なWebページが見つかりました。これは、会社独自のデータ保護の約束に反しています。 責任を持って適切な説明と問題の分類を報告したいと思います。
入力として必要なデータは次のとおりです。
- Xxx-xxx-xxx-xのような顧客番号(10桁の数字。1はおそらくチェックサムです)
- 「セキュリティ要素」としての4桁の郵便番号(実際には約4000の数字)
お客様IDとZipの一致時に提供されるデータ:
- フルネーム
- お誕生日
- 住宅アドレス
- 固定電話または携帯電話の番号(お客様から提供された場合)
このデータを提供する意図は、贈り物として購入したいときに、意図した人への購入をサポートすることです。
この問題を分類する方法は?
適切なCWE番号はありますか?たぶん CWE 21 ?または、別の標準化された分類システムはありますか?
注:私と問題の会社の両方がスイス(欧州連合の一部ではない)に在住しています。 EU GDPRがどの程度法的に拘束力があるかはわかりません。
欧州連合の国にいる場合は、GDPR違反であると言えます(たとえ5月25日に正式に発効したとしても)。
GDPRルールは現在広く話題になっており、まさにこの種の問題を防止することです。
データリークは、一般に4つの大きなカテゴリに分類できます。
- ハッキング(不正アクセス)
- 紛失/盗難(データの損失、文書化-例:会社のデータが記載されたノートブックの盗難)
- 不注意(偶発的なデータ漏洩)
- 不正行為(従業員エラー)
あなたのケースは偶発的なデータ漏えいのカテゴリーによく適合しますが、それはそれと不正行為の組み合わせです(システムの構成により、特定の状況下でデータ抽出が発生することが許可されています)。
注:意図的なセットアップであることが証明できない限り、CWE-213ではありません。 CWE-201がより適切な場合があります。