按标识符披露信息

Question

我正在做一项小小的研究，我观察到了很多网站，这些网站揭示了他们指派的ID-s的一些私人信息。作为一个例子，我想指出的电子商务网站，发出自动增量ID-s的新客户订单。

通过监测这些信息，对手可以获得关于某一网站的重要营销相关数据，例如，一个站点每天下多少订单，订购了多少商品，每个订单下了多少产品。有时，这足以相当好地评估网站的收入。

为了继续下去，我看到很少有网站以同样的方式显示其注册用户的数量。加上新订单的数量，这会产生更多的统计信息。

我的问题是-这些问题真的很重要吗？如果我做了一次安全审计，我应该把这样的报告放在哪里的风险矩阵？

Answer 1

我怀疑，大多数公司会认为，拥有顺序订单的组织好处，超过了某些人能够在一定时间内收集到多少订单的缺点。另外，客户喜欢按照订单编号来组织他们的订单，所以如果您随机处理这些信息，可能会有一些不满意的客户。

即使一个组织确实使用随机订单或客户did (如果攻击者能够在创建时看到它们)，他/她仍然能够对它们进行计数，因此随机化没有什么好处。