非公開個人情報の漏洩(PII) 不正アクセス者への漏洩(米国社会保障番号)
説明
対象のアプリケーションのレスポンスに、ソーシャルセキュリティ番号(SSN) の情報が含まれていることが判明しました。このような情報を返すことが判明した組織は、(米国の)州法または連邦法に違反する可能性があり、厳しい処罰を受ける可能性があります。
対処法
社会保障番号のようなPIIは、ユーザーに直接返すべきではありません。情報の大部分は、識別子の最後の数桁または数文字を除いてマスクされるべきです。例えば、社会セキュリ ティ番号は下 4 桁のみを表示します。***-**-1234。このマスキングは必ずサーバー上で行い、マスキングされたデータをクライアントに送り返すようにしてください。データが傍受されたり、マスクが解除されたりする可能性があるため、これらの値をマスクするためにクライアント側のJavaScriptやその他の方法に依存しないでください。
さらに、社会保障番号を暗号化せずにファイルやデータベースに保存してはなりません。
詳細
| ID | 集計 | CWE | 種類 | リスク |
|---|---|---|---|---|
| 359.2 | true | 359 | 受動的 | 中規模 |