对故意/粗心/设计的数据泄漏进行分类

信息安全 隐私 披露 cwe
2021-08-18 04:10:19

我发现了一个可公开访问的网页,该网页在使用匹配的输入数据进行查询时会披露与个人相关的数据。这违背了公司自己的数据保护承诺。我想负责任地报告问题,并对问题进行适当的描述和分类。

作为输入所需的数据是:

  • 客户编号,例如 xxx-xxx-xxx-x(10 位数字,其中 1 可能是校验和)
  • 四位数的邮政编码作为“安全元素”(大约 4000 个实际存在的数字)

提供的客户 ID 和 ZIP 匹配数据:

  • 全名
  • 生日
  • 住宅地址
  • 固定电话或手机号码(如果客户提供)

他们提供此数据的目的是在您想作为礼物购买时支持向预期的人购买。

这个问题怎么分类?

有合适的 CWE 号码吗?可能是CWE 213还是有其他标准化的分类系统?

注意:我和相关公司都位于瑞士(不属于欧盟)。我不确定欧盟 GDPR 的法律约束力如何。

1个回答

如果你在欧盟国家,你可以说它违反了 GDPR(即使它们在 5 月 25 日正式生效)。

GDPR 规则现在被广泛讨论,并且正是为了防止此类问题。

数据泄漏通常可以分为 4 大类:

  • 黑客攻击(未经授权的访问)
  • 丢失/窃取(数据、文档丢失 - 示例:带有公司数据的笔记本被盗)
  • 无意(意外数据泄露)
  • 错误行为(员工错误)

您的案例更适合意外数据泄漏类别,尽管它是该类别和不当行为的结合(系统配置允许在某些情况下进行数据提取)。

注意:它不是 CWE-213,除非你能证明它是故意设置的。CWE-201 可能更合适。

其它你可能感兴趣的问题
上一篇网站可以使用文件的最后修改日期执行哪些“定时攻击”? 下一篇可以通过内容安全策略停止 BeEF 挂钩吗