He encontrado una página web de acceso público que revela datos relacionados con personas cuando se consulta con datos de entrada coincidentes. Esto va en contra de la promesa de protección de datos de la propia compañía. Quiero informar de manera responsable con una descripción y categorización adecuadas del problema.
Los datos requeridos como entrada son:
- El número de cliente como xxx-xxx-xxx-x (10 dígitos de los números donde 1 es probablemente una suma de comprobación)
- El código postal en cuatro dígitos como "elemento de seguridad" (que es aproximadamente 4000 números realmente existentes)
Los datos proporcionados en la coincidencia entre ID de cliente y ZIP:
- Nombre completo
- cumpleaños
- dirección residencial
- Número de teléfono fijo o móvil (si lo proporciona el cliente)
Su intención de proporcionar estos datos es apoyar una compra a la persona deseada, cuando usted quiere comprar como regalo.
¿Cómo clasificar este problema?
¿Hay un número CWE adecuado para ello? Probablemente CWE 213 ? ¿O hay otro sistema de categorización estandarizado?
Nota: Tanto yo como la empresa en cuestión estamos ubicados en Suiza (que no es parte de la Unión Europea). No estoy seguro de cuán legalmente vinculante está el GDPR de la UE.