Categorizzazione di una perdita di dati intenzionalmente / per incuria / in base alla progettazione

5

Ho trovato una pagina web accessibile al pubblico che rivela i dati relativi alle persone quando vengono interrogati con dati di input corrispondenti. Questo è contro la promessa di protezione dei dati della società stessa. Voglio riferire responsabilmente con una descrizione e una categorizzazione corrette del problema.

I dati richiesti come input sono:

  • Il numero cliente come xxx-xxx-xxx-x (10 cifre numeriche dove 1 è probabilmente un checksum)
  • Il codice di avviamento postale a quattro cifre come "elemento di sicurezza" (che è circa 4000 numeri realmente esistenti)

I dati forniti sulla corrispondenza tra ID cliente e ZIP:

  • Nome completo
  • Compleanno
  • Indirizzo di residenza
  • Numero di telefono fisso o cellulare (se fornito dal cliente)

Il loro intento nel fornire questi dati è di supportare un acquisto alla persona designata, quando si desidera acquistare come regalo.

Come classificare questo problema?

C'è un numero CWE adeguato per questo? Probabilmente CWE 213 ? O esiste un altro sistema di categorizzazione standardizzato?

Nota: sia io che la società in questione si trovano in Svizzera (che non fa parte dell'Unione Europea). Non sono sicuro di quanto legalmente sia vincolante il GDPR dell'UE.

    
posta Marcel 16.04.2018 - 10:12
fonte

1 risposta

2

Se ti trovi in un paese dell'Unione europea, puoi semplicemente dire che si tratta di una violazione GDPR (anche se entreranno ufficialmente in vigore il 25 maggio).

Le regole GDPR sono ampiamente discusse in questo momento e servono esattamente a prevenire questo tipo di problemi.

Le perdite di dati possono essere generalmente organizzate in 4 grandi categorie:

  • Hacking (accesso non autorizzato)
  • Perdite / furti (perdita di dati, documentazione - esempio: notebook rubato con dati aziendali)
  • Inadvertent (perdita di dati accidentali)
  • Wrongdoing (errore del dipendente)

Il tuo caso si adatterebbe meglio alla categoria di perdita di dati accidentali, sebbene si tratti di una combinazione di questo e di un errore (la configurazione del sistema consente l'estrazione dei dati in determinate circostanze).

Nota: non è CWE-213 a meno che non si possa dimostrare che si trattava di una configurazione intenzionale. CWE-201 potrebbe essere più appropriato.

    
risposta data 25.04.2018 - 09:30
fonte

Leggi altre domande sui tag