クレジットカード番号の漏洩

medium Web App Scanning プラグイン ID 98129

Language:

概要

クレジットカード番号の漏洩

説明

クレジットカード番号は、ユーザーが商品やサービスを購入できるアプリケーションで使用されます。

クレジットカード番号は機密情報であり、そのように処理する必要があります。サイバー犯罪者は、さまざまな方法を使用してクレジットカード情報に不正にアクセスしようとします。クレジットカード情報は、不正な目的に使用される可能性があります。

正規表現の使用と、既知の発行者番号および luhn チェック検証を使用した CC 番号フォーマット検証により、スキャナーは影響を受けるページ内にあるクレジットカード番号を検出することができました。

ソリューション

正規表現が実際のクレジットカードとは関係なく類似の番号で一致した可能性があるため、最初に、応答内のクレジットカード番号をチェックしてその有効性を確認する必要があります。
応答に有効なクレジットカード番号が含まれている場合は、この情報を削除またはさらに保護するためにあらゆる努力を払う必要があります。これは、クレジットカード番号を完全に削除するか、応答内に最後の数桁のみが存在するように番号をマスクすることで達成できます (例: _ ********** 123_)。
さらに、クレジットカード番号は、組織がペイメントカード産業データセキュリティ基準 (PCI DSS) で概説されている他のセキュリティコントロールにも準拠していない限り、アプリケーションによって保存されるべきではありません。