web-dev-qa-db-ja.com

意図的/不注意による/設計によるデータリークの分類

一致する入力データでクエリを実行すると、人に関連するデータを開示する公的にアクセス可能なWebページが見つかりました。これは、会社独自のデータ保護の約束に反しています。 責任を持って適切な説明と問題の分類を報告したいと思います。

入力として必要なデータは次のとおりです。

  • Xxx-xxx-xxx-xのような顧客番号(10桁の数字。1はおそらくチェックサムです)
  • 「セキュリティ要素」としての4桁の郵便番号(実際には約4000の数字)

お客様IDとZipの一致時に提供されるデータ:

  • フルネーム
  • お誕生日
  • 住宅アドレス
  • 固定電話または携帯電話の番号(お客様から提供された場合)

このデータを提供する意図は、贈り物として購入したいときに、意図した人への購入をサポートすることです。

この問題を分類する方法は?

適切なCWE番号はありますか?たぶん CWE 21 ?または、別の標準化された分類システムはありますか?

注:私と問題の会社の両方がスイス(欧州連合の一部ではない)に在住しています。 EU GDPRがどの程度法的に拘束力があるかはわかりません。

5
Marcel

欧州連合の国にいる場合は、GDPR違反であると言えます(たとえ5月25日に正式に発効したとしても)。

GDPRルールは現在広く話題になっており、まさにこの種の問題を防止することです。

データリークは、一般に4つの大きなカテゴリに分類できます。

  • ハッキング(不正アクセス)
  • 紛失/盗難(データの損失、文書化-例:会社のデータが記載されたノートブックの盗難)
  • 不注意(偶発的なデータ漏洩)
  • 不正行為(従業員エラー)

あなたのケースは偶発的なデータ漏えいのカテゴリーによく適合しますが、それはそれと不正行為の組み合わせです(システムの構成により、特定の状況下でデータ抽出が発生することが許可されています)。

注:意図的なセットアップであることが証明できない限り、CWE-213ではありません。 CWE-201がより適切な場合があります。

2
Overmind