📜  个人身份信息泄露漏洞

📅  最后修改于: 2022-05-13 01:57:09.959000             🧑  作者: Mango

个人身份信息泄露漏洞

个人身份信息泄露漏洞是信息提供特定个人的特定详细信息的漏洞,这反过来有助于将该特定个人与其他个人区分开来。此外,当信息用于跟踪、识别时,此漏洞变得至关重要或联系特定个人。例如,用于查明个人的信息是——地址、姓名、电话号码、识别号码(例如 aadhar 号码或泛卡详细信息)、性别、出生日期、电子邮件地址或这些内容的组合。个人的非敏感信息(如姓名、性别等)可以以不安全的形式传输,不会对个人造成任何伤害,但敏感信息(如 aadhar 卡详细信息、泛卡号等)必须以安全方式传输,例如加密数据,以防止任何不必要的数据泄露或对个人造成伤害。组织使用 PIIL(个人身份信息泄露)来了解哪些信息需要保持安全,哪些信息不需要任何额外的安全性。

什么样的信息可以被视为个人身份信息(PII):

以下是个人身份信息的类别:

  • 身份:这包括个人的姓名、出生日期、签名、性别、种族、姓名别名等
  • 联系信息:这包括个人的街道地址、工作地址、电话号码、电子邮件 ID 等
  • 个人身份证号:这包括个人的 aadhar 号、银行帐号、泛卡号、驾驶执照号、护照号、信用卡号
  • 专业信息:这包括个人有权担任的工作角色、他的加入日期、他的公司名称、他的薪水、他的人力资源等。
  • 医疗保健:这包括个人的指纹、虹膜扫描仪、照片、他的个人医疗记录等。
  • IT 相关:这主要包括个人的 IP 地址、他的浏览历史、他的广告偏好、cookie 等。

谁负责保护个人身份信息 (PII):

为了保护用户的个人身份信息,个人的责任以及存储个人数据的组织的责任。但通常组织会确保保护您的数据,即使组织不打算这样做所以。原因很简单,大多数消费者认为组织有责任保护他们的数据,如果组织不这样做,即使组织或公司没有真正负责,也可能面临声誉受损,从而失去有价值的客户这。因此,每个组织始终确保保护其客户的数据。数据泄露事件的增加使组织的安全标准日益提高。随着新技术的推出,新型威胁和攻击也不断涌现。以下是主要的数据泄露类型:

  • 伤害或针对个人:通过泄露个人信息,黑客意图勒索受害者,甚至可能导致数据盗窃、欺凌、羞辱等。
  • 危害或针对特定组织:通过泄露组织数据库中的信息,黑客意图降低客户的信任度,因大量数据丢失而关闭公司,造成声誉受损等。

PII 如何暴露:

个人身份信息可能以多种方式出现,使得数据安全协议难以防止此类泄漏并保护敏感或机密信息。以下是威胁的类别-

  • 内部威胁:这涉及来自组织内部的人有意或无意地查看敏感数据,否则普通用户不应访问这些数据。这间接地给组织的声誉带来风险,并显示其无法正确保护消费者信息。例如,员工详细信息以纯文本格式发送给某人,并且未加密以保护其传输。
  • 外部威胁:这涉及组织外部的人(确切地说是入侵者),他试图篡改系统数据以从系统中提取机密数据。严格执行安全措施可防止此类事故的发生。示例-社交工程社交媒体帐户的密码。
  • 安全配置错误:这通常发生在打算存储敏感数据或捕获敏感数据的应用程序中。安全错误配置可能会暴露大量数据,还可能为内部和外部威胁代理提供获取敏感数据的网关。示例 - 公司未结合两因素身份验证或 otp 以增加安全级别。

PII 示例:

下图显示了个人身份信息泄漏的现场示例。

正如我们所看到的,它是一个电子商务网站,看起来有点类似于 facebook。在这种情况下,当单击卖家信息时,屏幕上会显示一个弹出窗口,其中显示卖家的城市、泛卡号、电子邮件 ID,这显然是泄露了该卖家的机密信息。现在卖家可以通过滥用这些信息很容易成为目标,这些信息可供本网站的所有消费者使用。现在我们了解了这种泄漏的脆弱性。

如何保护个人身份信息 (PII):

正如我们前面讨论的敏感和非敏感数据,因此只保护敏感数据不被泄露是很自然的。组织必须根据 PII 在其机密性影响级别中的类别应用适当的保护措施来保护 PII 的机密性。以下是需要采取的措施——

  • 培训:必须以防止任何内部威胁事故的方式对组织的所有员工进行培训。对员工进行适当培训可以大大降低 PII 泄漏的可能性。
  • 减少 PII 持有量:这意味着组织或用户必须只提供所需的详细信息,并避免不必要的非强制性详细信息。简而言之-操作所需的最少数据。这减少了用鲜为人知的数据查明或定位个人的机会。
  • 删除不必要的 PII 收集:在公司内部建立计划或机制,以删除从消费者那里收集的任何不必要的信息,并使用 PII 来正常运行应用程序。
  • 数据丢失预防:实施这样的系统,可以跟踪组织内部或外部的敏感数据传输,并识别可能导致数据泄露的可疑模式。
  • 限制访问:实施防止组织中的某些个人访问高度敏感信息的软件,从而防止任何内部攻击或威胁的可能性。它必须在授权的基础上进行。