Molte applicazioni web ed API non proteggono correttamente i dati sensibili come quelli finanziari, di salute ed identificativi.
Gli attaccanti potrebbero rubare o modificare questi dati non adeguatamente protetti per effettuare frodi bancarie, frodi di carta di credito, furto d'identità o altri crimini.
I dati sensibili potrebbero essere compromessi a prescindere dalle protezioni aggiuntive, come la crittografia dei dati sul database, a riposo (pensiamo ad esempio alla crittografia del disco) o in transito (sicurezza delle connessioni SSL/TLS, comunemente utilizzate per il protocollo HTTPS).
| OWASP Top 10 Application Security Risks - 2017 | Riferimento |
|---|---|
| A3:2017-Sensitive Data Exposure | OWASP |
L’esposizione di dati sensibili avviene a causa di tre errori principali:
1. La non corretta comprensione degli elementi di rischio e delle mitigazioni a livello architetturale; 2. La sovrabbondanza di dati rispetto alle funzionalità dell’applicazione ed una non corretta separazione degli stessi. Ad esempio è comodo utilizzare una sola base dati per diverse applicazioni ma questo espone ad un rischio esponenziale; 3. Il non funzionamento dei meccanismi di autenticazione e/o autorizzazione dovuto alla loro assenza o alla possibilità di bypassarli.Francesco Ongaro
