Muchas aplicaciones web y API no protegen adecuadamente los datos sensibles como los financieros, de salud e identificativos.
Los atacantes podrían robar o modificar estos datos no adecuadamente protegidos para realizar fraudes bancarios, fraudes con tarjetas de crédito, robo de identidad u otros delitos.
Los datos sensibles podrían verse comprometidos independientemente de las protecciones adicionales, como la encriptación de datos en la base de datos, en reposo (pensemos, por ejemplo, en la encriptación de disco) o en tránsito (seguridad de las conexiones SSL/TLS, comúnmente utilizadas para el protocolo HTTPS).
| OWASP Top 10 Application Security Risks - 2017 | Referencia |
|---|---|
| A3:2017-Sensitive Data Exposure | OWASP |
La exposición de datos sensibles ocurre debido a tres errores principales:
1. La falta de comprensión adecuada de los elementos de riesgo y las mitigaciones a nivel arquitectónico; 2. La sobreabundancia de datos en relación con las funcionalidades de la aplicación y una separación incorrecta de los mismos. Por ejemplo, es conveniente utilizar una sola base de datos para diferentes aplicaciones, pero esto expone a un riesgo exponencial; 3. El mal funcionamiento de los mecanismos de autenticación y/o autorización debido a su ausencia o a la posibilidad de eludirlos.Francesco Ongaro
