미인가된 사용자에게 개인 식별 정보(PII) 노출(미국 사회 보장 번호)
설명
대상 응용 프로그램에서는 응답에 사회 보장 번호(SSN) 정보가 반환되는 것으로 확인되었습니다. 이와 같은 정보를 반환하는 기관은 (미국)주별이나 연방 법률을 위반할 수 있으며 엄중한 처벌을 받을 수 있습니다.
교정
사회 보장 번호와 같은 PII는 사용자에게 직접 반환해서는 안 됩니다. 대부분의 정보는 식별자의 마지막 몇 자리를 제외하고 마스킹되어야 합니다. 예를 들어, 사회 보장 번호는 마지막 네 자리만 표시되어야 합니다: ***-**-1234. 이 마스킹이 서버에서 이루어지고 나서 비로소 마스킹된 데이터가 클라이언트로 다시 전송되어야 합니다. 클라이언트 측 JavaScript나 기타 방법으로 이러한 값들을 마스킹한다고 의지해서는 안 됩니다. 왜냐하면 데이터가 여전히 가로채지거나 해독될 수 있기 때문입니다.
추가적으로, 사회 보장 번호는 암호화되지 않은 채 파일이나 데이터베이스에 저장하면 안 됩니다.
Details
| ID | 집계 | CWE | 유형 | 위험 |
|---|---|---|---|---|
| 359.2 | true | 359 | 매뉴얼 | 중간 |
도움말