一致する入力データでクエリを実行すると、人に関連するデータを開示する公的にアクセス可能なWebページが見つかりました。これは、会社独自のデータ保護の約束に反しています。 責任を持って適切な説明と問題の分類を報告したいと思います。
入力として必要なデータは次のとおりです。
お客様IDとZipの一致時に提供されるデータ:
このデータを提供する意図は、贈り物として購入したいときに、意図した人への購入をサポートすることです。
この問題を分類する方法は?
適切なCWE番号はありますか?たぶん CWE 21 ?または、別の標準化された分類システムはありますか?
注:私と問題の会社の両方がスイス(欧州連合の一部ではない)に在住しています。 EU GDPRがどの程度法的に拘束力があるかはわかりません。
欧州連合の国にいる場合は、GDPR違反であると言えます(たとえ5月25日に正式に発効したとしても)。
GDPRルールは現在広く話題になっており、まさにこの種の問題を防止することです。
データリークは、一般に4つの大きなカテゴリに分類できます。
あなたのケースは偶発的なデータ漏えいのカテゴリーによく適合しますが、それはそれと不正行為の組み合わせです(システムの構成により、特定の状況下でデータ抽出が発生することが許可されています)。
注:意図的なセットアップであることが証明できない限り、CWE-213ではありません。 CWE-201がより適切な場合があります。