Categorizar una fuga de datos que es intencional / por descuido / por diseño

5

He encontrado una página web de acceso público que revela datos relacionados con personas cuando se consulta con datos de entrada coincidentes. Esto va en contra de la promesa de protección de datos de la propia compañía. Quiero informar de manera responsable con una descripción y categorización adecuadas del problema.

Los datos requeridos como entrada son:

  • El número de cliente como xxx-xxx-xxx-x (10 dígitos de los números donde 1 es probablemente una suma de comprobación)
  • El código postal en cuatro dígitos como "elemento de seguridad" (que es aproximadamente 4000 números realmente existentes)

Los datos proporcionados en la coincidencia entre ID de cliente y ZIP:

  • Nombre completo
  • cumpleaños
  • dirección residencial
  • Número de teléfono fijo o móvil (si lo proporciona el cliente)

Su intención de proporcionar estos datos es apoyar una compra a la persona deseada, cuando usted quiere comprar como regalo.

¿Cómo clasificar este problema?

¿Hay un número CWE adecuado para ello? Probablemente CWE 213 ? ¿O hay otro sistema de categorización estandarizado?

Nota: Tanto yo como la empresa en cuestión estamos ubicados en Suiza (que no es parte de la Unión Europea). No estoy seguro de cuán legalmente vinculante está el GDPR de la UE.

    
pregunta Marcel 16.04.2018 - 10:12
fuente

1 respuesta

2

Si se encuentra en un país de la Unión Europea, solo puede decir que es una violación de GDPR (incluso si entrara en vigencia oficialmente el 25 de mayo).

Se habla ampliamente sobre las reglas de GDPR y se trata exactamente de prevenir este tipo de problemas.

Las fugas de datos se pueden organizar generalmente en 4 grandes categorías:

  • Hacking (acceso no autorizado)
  • Pérdidas / robos (pérdida de datos, documentación: ejemplo: cuaderno robado con datos de la empresa)
  • Inadvertido (pérdida accidental de datos)
  • irregularidades (error del empleado)

Su caso encajaría mejor en la categoría de fuga de datos accidental, aunque es una combinación de eso y las faltas (la configuración del sistema permite que la extracción de datos ocurra en ciertas circunstancias).

Nota: No es CWE-213 a menos que pueda probar que fue una configuración intencional. CWE-201 puede ser más apropiado.

    
respondido por el Overmind 25.04.2018 - 09:30
fuente

Lea otras preguntas en las etiquetas