向未经授权的暴露私人个人信息（PII）（美国社会保障号码）

描述

目标应用程序被发现会在响应中返回社会保障号码（SSN）信息。被发现返回此类信息的组织可能违反（美国）州或联邦法律，并可能面临严厉处罚。

修复建议

社会保障号码等个人信息（PII）绝不应直接返回给用户。除了标识符的最后几位数字或字符外，大部分信息都应该被遮盖。例如，社会保障号码只应显示最后四位数字：***-**-1234。确保这种遮盖在服务器端完成，然后将遮盖后的数据发送回客户端。不要依赖客户端 JavaScript 或其他方法来遮盖这些值，因为数据仍可能被拦截或取消遮盖。

此外，社会保障号码绝不应以未加密的形式存储在文件或数据库中。

详情

链接

• OWASP Top 10 A3 2017 - 敏感数据泄露
• CWE
• 隐私法案 (CMPPA)