常见的弱点枚举

有多种类型产品必须保护从攻击者的敏感信息,包括系统数据、通信、配置、商业秘密、知识产权、和个人的个人(私人)信息。私人的个人信息可能包括密码、电话号码、地理位置、个人信息、信用卡号码,等私人信息是很重要的考虑产品的人是一个用户,或处理的数据集的一部分产品。私人信息的曝光不一定防止产品工作正常,事实上暴露可能是由开发人员,例如数据共享与其他组织的一部分。然而,暴露个人隐私信息仍然可以不受欢迎或法律或法规所明确禁止的。

某些类型的私人信息包括:

• 政府的标识符,如社会安全号码
• 联系信息,如家庭地址和电话号码
• 地理位置的用户(或者是)
• 工作经历
• 财务数据,如信用卡号码、工资、银行账户,和债务
• 图片、视频或音频
• 行为模式,如网页浏览历史,当执行某些活动,等等。
• 与他人的关系(和类型的关系),家庭,朋友,联系人等。
• 通信,电子邮件地址,私人信息,短信,聊天记录等。
• 健康,医疗条件,保险状况,处方记录
• 账户密码和其他凭证

PII其中一些信息可能描述为(个人身份信息)、受保护的健康信息(φ)等类别的私人信息可能重叠或随预期使用或特定行业的政策和做法。

有时不标记为私有的数据可以有隐私的含义在不同的上下文。例如,学生身份证号码通常不被认为是私人因为没有明确和公开的映射到单个学生的个人信息。然而,如果一个学校生成基于学生社会安全号码,身份证号码的识别号码应考虑私有的。

该清单显示了给定的弱点可以可能的地区出现。这些可能是为特定命名的语言,操作系统,架构、模式、技术、或一个类这样的平台。列出的平台是随着频率的出现疲态实例。

语言

技术

示例1

下面的代码包含一个日志记录语句跟踪记录的内容添加到数据库,存储在一个日志文件中。其他值,存储,getPassword()函数返回用户提供的明文密码与账户相关联。

上面的示例中的代码文件系统日志明文密码。尽管许多开发人员信任文件系统作为安全的数据存储位置,它不应该被信任含蓄,尤其是隐私是一个问题。

示例2

这段代码使用位置来确定用户的当前我们国家的位置。

首先应用程序必须声明,它需要在应用程序的manifest.xml ACCESS_FINE_LOCATION许可:

在执行期间,调用getLastLocation()将返回一个基于位置的应用程序的位置的权限。在这种情况下,应用程序允许最准确的位置:

当应用程序需要这些信息,它不需要使用ACCESS_FINE_LOCATION许可,随着ACCESS_COARSE_LOCATION许可足以识别哪些我们国家的用户。

示例3

2004年,一名员工在美国在线销售约9200万私人客户电子邮件地址到一个垃圾邮件发送者营销境外赌博网站(ref - 338]。为了应对这样的高调的利用,私人数据的收集和管理越来越规范。