개인 정보(PII)의 무단 노출 (미국 SSN)

설명

대상 애플리케이션이 응답에 사회 보장 번호(SSN) 정보를 반환하는 것이 발견되었습니다. 이러한 정보를 반환하는 조직은 (미국) 주 또는 연방 법률을 위반할 수 있으며, 엄격한 처벌을 받을 수 있습니다.

수정 방법

사회 보장 번호와 같은 PII는 사용자에게 직접 반환해서는 안 됩니다. 정보의 대부분은 식별자의 마지막 몇 자리 또는 문자만 제외하고 마스킹해야 합니다. 예를 들어, 사회 보장 번호는 마지막 네 자리 숫자만 표시되어야 합니다: ***-**-1234. 이 마스킹이 서버에서 수행되고 그 후에 마스킹된 데이터를 클라이언트에 다시 전송하도록 하십시오. 이러한 값을 마스킹하기 위해 클라이언트 측 JavaScript나 다른 방법에 의존하지 마십시오. 데이터는 여전히 가로채이거나 마스킹 해제될 수 있습니다.

또한, 사회 보장 번호는 파일이나 데이터베이스에 암호화되지 않은 상태로 저장되어서는 안 됩니다.

세부정보

ID 집계 CWE 유형 위험
359.2 true 359 수동 중간

링크