个人身份信息泄露漏洞

个人身份信息泄露漏洞是信息提供特定个人的特定详细信息的漏洞，这反过来有助于将该特定个人与其他个人区分开来。此外，当信息用于跟踪、识别时，此漏洞变得至关重要或联系特定个人。例如，用于查明个人的信息是——地址、姓名、电话号码、识别号码（例如 aadhar 号码或泛卡详细信息）、性别、出生日期、电子邮件地址或这些内容的组合。个人的非敏感信息（如姓名、性别等）可以以不安全的形式传输，不会对个人造成任何伤害，但敏感信息（如 aadhar 卡详细信息、泛卡号等）必须以安全方式传输，例如加密数据，以防止任何不必要的数据泄露或对个人造成伤害。组织使用 PIIL（个人身份信息泄露）来了解哪些信息需要保持安全，哪些信息不需要任何额外的安全性。

什么样的信息可以被视为个人身份信息（PII）：

以下是个人身份信息的类别：

• 身份：这包括个人的姓名、出生日期、签名、性别、种族、姓名别名等
• 联系信息：这包括个人的街道地址、工作地址、电话号码、电子邮件 ID 等
• 个人身份证号：这包括个人的 aadhar 号、银行帐号、泛卡号、驾驶执照号、护照号、信用卡号
• 专业信息：这包括个人有权担任的工作角色、他的加入日期、他的公司名称、他的薪水、他的人力资源等。
• 医疗保健：这包括个人的指纹、虹膜扫描仪、照片、他的个人医疗记录等。
• IT 相关：这主要包括个人的 IP 地址、他的浏览历史、他的广告偏好、cookie 等。

谁负责保护个人身份信息 (PII)：

为了保护用户的个人身份信息，个人的责任以及存储个人数据的组织的责任。但通常组织会确保保护您的数据，即使组织不打算这样做所以。原因很简单，大多数消费者认为组织有责任保护他们的数据，如果组织不这样做，即使组织或公司没有真正负责，也可能面临声誉受损，从而失去有价值的客户这。因此，每个组织始终确保保护其客户的数据。数据泄露事件的增加使组织的安全标准日益提高。随着新技术的推出，新型威胁和攻击也不断涌现。以下是主要的数据泄露类型：

• 伤害或针对个人：通过泄露个人信息，黑客意图勒索受害者，甚至可能导致数据盗窃、欺凌、羞辱等。
• 危害或针对特定组织：通过泄露组织数据库中的信息，黑客意图降低客户的信任度，因大量数据丢失而关闭公司，造成声誉受损等。

PII 如何暴露：

个人身份信息可能以多种方式出现，使得数据安全协议难以防止此类泄漏并保护敏感或机密信息。以下是威胁的类别-

• 内部威胁：这涉及来自组织内部的人有意或无意地查看敏感数据，否则普通用户不应访问这些数据。这间接地给组织的声誉带来风险，并显示其无法正确保护消费者信息。例如，员工详细信息以纯文本格式发送给某人，并且未加密以保护其传输。
• 外部威胁：这涉及组织外部的人（确切地说是入侵者），他试图篡改系统数据以从系统中提取机密数据。严格执行安全措施可防止此类事故的发生。示例-社交工程社交媒体帐户的密码。
• 安全配置错误：这通常发生在打算存储敏感数据或捕获敏感数据的应用程序中。安全错误配置可能会暴露大量数据，还可能为内部和外部威胁代理提供获取敏感数据的网关。示例 - 公司未结合两因素身份验证或 otp 以增加安全级别。

PII 示例：

下图显示了个人身份信息泄漏的现场示例。

正如我们所看到的，它是一个电子商务网站，看起来有点类似于 facebook。在这种情况下，当单击卖家信息时，屏幕上会显示一个弹出窗口，其中显示卖家的城市、泛卡号、电子邮件 ID，这显然是泄露了该卖家的机密信息。现在卖家可以通过滥用这些信息很容易成为目标，这些信息可供本网站的所有消费者使用。现在我们了解了这种泄漏的脆弱性。

如何保护个人身份信息 (PII)：

正如我们前面讨论的敏感和非敏感数据，因此只保护敏感数据不被泄露是很自然的。组织必须根据 PII 在其机密性影响级别中的类别应用适当的保护措施来保护 PII 的机密性。以下是需要采取的措施——

• 培训：必须以防止任何内部威胁事故的方式对组织的所有员工进行培训。对员工进行适当培训可以大大降低 PII 泄漏的可能性。
• 减少 PII 持有量：这意味着组织或用户必须只提供所需的详细信息，并避免不必要的非强制性详细信息。简而言之-操作所需的最少数据。这减少了用鲜为人知的数据查明或定位个人的机会。
• 删除不必要的 PII 收集：在公司内部建立计划或机制，以删除从消费者那里收集的任何不必要的信息，并使用 PII 来正常运行应用程序。
• 数据丢失预防：实施这样的系统，可以跟踪组织内部或外部的敏感数据传输，并识别可能导致数据泄露的可疑模式。
• 限制访问：实施防止组织中的某些个人访问高度敏感信息的软件，从而防止任何内部攻击或威胁的可能性。它必须在授权的基础上进行。