Skip to content

MASWE-0108: Dados Sensíveis no Tráfego de Rede

Content in BETA

This content is in beta and still under active development, so it is subject to change any time (e.g. structure, IDs, content, URLs, etc.).

Send Feedback

Visão Geral

Dados sensíveis no tráfego de rede referem-se à transmissão de informações pessoais ou confidenciais pela rede de forma que possam ser interceptadas e acessadas por partes não autorizadas. Embora os dados possam ser enviados usando protocolos seguros como HTTPS, a principal preocupação está na adequação e necessidade dos dados que estão sendo compartilhados ou coletados.

O risco não está na segurança do método de transmissão, mas nas implicações de privacidade dos dados transmitidos. Isso pode incluir informações pessoais do usuário, dados de localização, padrões de uso ou qualquer outra informação que possa comprometer a privacidade do usuário.

Modos de Introdução

Este risco pode ser introduzido em vários cenários, incluindo:

  • Coleta excessiva de dados do usuário além dos requisitos funcionais do aplicativo.
  • Transmissão de dados detalhados de localização ou análises de comportamento do usuário sem a devida anonimização.
  • Compartilhamento de informações sensíveis com serviços de terceiros (ex: analytics, redes de publicidade) sem o consentimento do usuário.
  • Coleta desnecessária de identificadores como IMEI, e-mail ou números de telefone.

Impacto

O impacto da exposição de dados sensíveis no tráfego de rede inclui:

  • Violação da Privacidade do Usuário: Os usuários podem não estar cientes de que suas informações pessoais estão sendo transmitidas, levando à violação de privacidade.
  • Riscos de Conformidade e Legais: Violação de leis e regulamentos de proteção de dados (como o GDPR), resultando em consequências legais e multas.
  • Perda de Confiança do Usuário: Os usuários perdem confiança no aplicativo, levando a danos reputacionais e possíveis perdas de negócios.

Mitigações

Para mitigar esse risco, considere as seguintes estratégias:

  • Minimize a coleta de dados do usuário apenas ao estritamente necessário para a funcionalidade do aplicativo.
  • Implemente e aplique rigorosamente políticas de privacidade de dados, incluindo o consentimento do usuário para coleta e compartilhamento de dados.
  • Use técnicas de anonimização para dados do usuário que são transmitidos para análises ou outros fins secundários.
  • Revise e audite regularmente os dados transmitidos pela rede para garantir que estejam alinhados com as políticas de privacidade e expectativas dos usuários.
  • Forneça configurações de privacidade claras para o usuário, permitindo que ele controle quais dados são compartilhados.

Tests

MASTG-TEST-0206: Dados Sensíveis na Captura de Tráfego de Rede MASTG-TEST-0281: Domínios de Rastreamento Conhecidos Não Declarados