Ho trovato una pagina web accessibile al pubblico che rivela i dati relativi alle persone quando vengono interrogati con dati di input corrispondenti. Questo è contro la promessa di protezione dei dati della società stessa. Voglio riferire responsabilmente con una descrizione e una categorizzazione corrette del problema.
I dati richiesti come input sono:
- Il numero cliente come xxx-xxx-xxx-x (10 cifre numeriche dove 1 è probabilmente un checksum)
- Il codice di avviamento postale a quattro cifre come "elemento di sicurezza" (che è circa 4000 numeri realmente esistenti)
I dati forniti sulla corrispondenza tra ID cliente e ZIP:
- Nome completo
- Compleanno
- Indirizzo di residenza
- Numero di telefono fisso o cellulare (se fornito dal cliente)
Il loro intento nel fornire questi dati è di supportare un acquisto alla persona designata, quando si desidera acquistare come regalo.
Come classificare questo problema?
C'è un numero CWE adeguato per questo? Probabilmente CWE 213 ? O esiste un altro sistema di categorizzazione standardizzato?
Nota: sia io che la società in questione si trovano in Svizzera (che non fa parte dell'Unione Europea). Non sono sicuro di quanto legalmente sia vincolante il GDPR dell'UE.