OWASP Top 10 Privacy Risks

Version 2.0 OWASP Lab Project

The OWASP Top 10 Privacy Risks Project provides a top 10 list for privacy risks in web applications and related countermeasures. It covers technological and organizational aspects that focus on real-life risks, not just legal issues. The Project provides tips on how to implement privacy by design in web applications with the aim of helping developers and web application providers to better understand and improve privacy. The list uses the OECD Privacy Guidelines as a framework and can also be used to assess privacy risks associated with specific web applications.

Top 10 Privacy Risks

The following table shows version 2.0 of the OWASP Top 10 Privacy Risks and compares it to the ranking of 2014.

 2021  2014  Title 
 P1    1     Web Application Vulnerabilities 
 P2    2     Operator-sided Data Leakage 
 P3    3     Insufficient Data Breach Response 
 P4    New   Consent on Everything 
 P5    5     Non-transparent Policies, Terms and Conditions 
 P6    4     Insufficient Deletion of User Data 
 P7    New   Insufficient Data Quality 
 P8    9     Missing or Insufficient Session Expiration 
 P9    13    Inability of Users to Access and Modify Data 
 P10   6     Collection of Data Not Required for the User-Consented Purpose

Detailed information is provided in the Top 10 Privacy Risks tab.

Quick Download

Important note: The following downloads show results and countermeasures for version 1.0 from 2014. Downloads for version 2.0 will be provided soon.

Licensing

OWASP Top 10 Privacy Risks Project is free to use. It is licensed under the Creative Commons CC-BY-SA v3.0 License.


Top 10 Privacy Risks

Version 2.0 of the OWASP Top 10 Privacy Risks list from 2021. Further information and related countermeasures will be provided soon.

The type shows if a risk is rather :man_office_worker: organizational, :woman_technologist: technical, or both.

# Type Title Frequency Impact Description
P1 :woman_technologist: Web Application Vulnerabilities High Very high Vulnerability is a key problem in any system that guards or operates on sensitive user data. Failure to suitably design and implement an application, detect a problem or promptly apply a fix (patch) is likely to result in a privacy breach. This risk also encompasses the OWASP Top 10 List of web application vulnerabilities and the risks resulting from them.
P2 :man_office_worker::woman_technologist: Operator-sided Data Leakage High Very high Failure to prevent the leakage of any information containing or related to user data, or the data itself, to any unauthorized party resulting in loss of data confidentiality. Introduced either due to intentional malicious breach or unintentional mistake e.g. caused by insufficient access management controls, insecure storage, duplication of data or a lack of awareness.
P3 :man_office_worker::woman_technologist: Insufficient Data Breach Response High Very high Not informing the affected persons (data subjects) about a possible breach or data leak, resulting either from intentional or unintentional events; failure to remedy the situation by fixing the cause; not attempting to limit the leaks.
P4 :man_office_worker: Consent on Everything Very high High Aggregation or inappropriate use of consent to legitimate processing. Consent is "on everything" and not collected separately for each purpose (e.g. use of website and profiling for advertising).
P5 :man_office_worker: Non-transparent Policies, Terms and Conditions Very high High Not providing sufficient information to describing how data is processed, such as its collection, storage, and processing. Failure to make this information easily-accessible and understandable for non-lawyers.
P6 :man_office_worker::woman_technologist: Insufficient Deletion of Personal Data High High Failure to effectively and/or timely delete personal data after termination of the specified purpose or upon request.
P7 :man_office_worker::woman_technologist: Insufficient Data Quality Medium Very high The use of outdated, incorrect or bogus user data. Failure to update or correct the data.
P8 :woman_technologist: Missing or insufficient Session Expiration Medium Very high Failure to effectively enforce session termination. May result in collection of additional user-data without the user’s consent or awareness.
P9 :man_office_worker::woman_technologist: Inability of users to access and modify data High High Users do not have the ability to access, change or delete data related to them.
P10 :man_office_worker: Collection of data not required for the user-consented purpose High High Collecting descriptive, demographic or any other user-related data that are not needed for the purposes of the system. Applies also to data for which the user did not provide consent.

Note: The values between 0 to 3 used for frequency and impact rating were replaced by a textual description: 0-1.5: Low, 1.5-1.9: Medium, 1.9-2.3: High, > 2.3: Very high


Participate

Some ways you can help:

  • Discuss with us in the mailing list or Google docs
  • Tell your colleagues and friends about the project
  • Provide feedback (feel free to contact us)
  • Apply the results in practice to improve web application privacy

Sign up to our mailing list to stay informed.

Discussions and Documentation

To avoid overwriting issues we use Google Docs for our discussions.

Ongoing

Countermeasures v2.0

Closed discussions and documents

Calculation of the complete Privacy Risks list v2.0
Impact Rating 2020
Privacy Risk Candidate List 2020
Method Update 2019
Countermeasures v1.0
Method description
Privacy Risk list 2014
Draft list
Impact rating 2014
Calculation of the complete Privacy Risks list v1.0


Volunteers

The Top 10 Privacy Risk list was developed by a team of volunteers. The primary contributors have been:

Version 2.0

  • Florian Stahl
  • Abraham Kang
  • Fernando Galves
  • Edward Delaporte
  • Angel Camacho
  • Stefan Burgmair
  • Ramón Salado
  • Tetsuya Nihonmatsu
  • Shoichi Nakata

Version 1.0

  • Stefan Burgmair
  • R. Jason Cronk
  • Edward Delaporte
  • Tim Gough
  • Prof. Hans-Joachim Hof
  • Lukasz Olejnik
  • Guillaume Simard
  • Florian Stahl

Sponsors

Please contact us if you are interested to support the OWASP Top 10 Privacy Risks project. Your company logo will be displayed on the project website and you will receive an individual web-based training on the project content for free.


Currently project documentation is available in English, German, Spanish, Japanese and French. Translation to Portuguese and Arabic is ongoing. If you are interested in helping to translate to any other language, please contact the project leaders.

German

Top 10 Datenschutzrisiken

Der Typ gibt an, ob ein Risiko eher :man_office_worker: organisatorisch, :woman_technologist: technisch oder beides ist.

# Typ Titel Häufigkeit Schaden Beschreibung
P1 :woman_technologist: Schwachstellen in Web-Anwendungen Hoch Sehr hoch Schwachstellen sind ein zentrales Problem in jedem System, mit dem sensible Nutzerdaten erhoben, verarbeitet und genutzt werden. Bestehen Fehler im Design oder in der Implementierung der Applikation, werden Probleme nicht entdeckt oder Sicherheitspatches nicht unverzüglich eingespielt, führt dies mit hoher Wahrscheinlichkeit zu einer Verletzung des Persönlichkeitsrechts. Dieses Risiko wird bereits in anderen Projekten behandelt, wie der OWASP Top 10 Liste der häufigsten Sicherheitsrisiken für Webanwendungen.
P2 :man_office_worker::woman_technologist: Datenabfluss beim Betreiber Hoch Sehr hoch Wird die unerwünschte Preisgabe personenbezogener oder personenbeziehbarer Daten an nicht autorisierte Personen nicht wirksam verhindert, ist dies ein Verlust der Vertraulichkeit. Ursachen sind entweder ein vorsätzlich durchgeführter Datenabzug oder unbeabsichtigte Fehler wie beispielsweise unzureichendes Zugriffsmanagement, unsichere Datenablage, Datendopplung oder fehlendes Problembewusstsein (Awareness).
P3 :man_office_worker::woman_technologist: Unzureichende Reaktion bei einer Datenpanne Hoch Sehr hoch Betroffene werden nicht über mögliche Pannen oder Datenlecks benachrichtigt, die durch Angriffe oder unbeabsichtigte Ereignisse entstehen. Angemessene Abhilfemaßnahmen zum Schließen der Lücken und Beseitigung der Ursache fehlen.
P4 :man_office_worker: Einwilligung für alles Sehr hoch Hoch Das aggregierte oder unangemessene Einholen der Einwilligung vom Benutzer zur Legitimierung der Datenverarbeitung. Die Einwilligung wird kollektiv für alles eingeholt und nicht separat für jeden Zweck wie z.B. Nutzung der Webseite und Analyse für Werbung.
P5 :man_office_worker: Intransparente Nutzungs-bedingungen Sehr hoch Hoch Informationen zur Datenverarbeitung wie Erhebung, Speicherung und Nutzung personenbezogener Daten sind unzureichend. Diese Informationen sind nicht leicht zugänglich oder für juristische Laien nicht verständlich aufbereitet.
P6 :man_office_worker::woman_technologist: Unzureichende Löschung personen-bezogener Daten Hoch Hoch Personenbezogene Daten werden nicht termingerecht oder nicht effektiv nach Zweckablauf bzw. aufgrund einer Löschanfrage gelöscht.
P7 :man_office_worker::woman_technologist: Unzureichende Datenqualität Mittel Sehr hoch Es werden veraltete, inkorrekte oder gefälschte personenbezogene Daten genutzt. Datenaktualisierungen oder -korrekturen finden nicht in ausreichendem Maße statt.
P8 :woman_technologist: Fehlendes oder unzureichendes Session-Ende Mittel Sehr hoch Unzureichendes Beenden von Sessions. Dies kann dazu führen, dass zusätzliche Nutzerdaten ohne Einverständnis oder Wissen des Nutzers gesammelt werden.
P9 :man_office_worker::woman_technologist: Zugriff auf oder Änderungen von Benutzerdaten nicht möglich Hoch Hoch Benutzer können auf ihre Daten nicht zugreifen, diese ändern oder löschen.
P10 :man_office_worker: Sammeln von Daten, die über den eigentlichen Zweck hinaus gehen Hoch Hoch Es werden Beschreibungsdaten, demographische Daten oder sonstige personenbezogene Daten gesammelt, die nicht für den vereinbarten Zweck der Anwendung benötigt werden. Ebenso werden Daten gesammelt, für deren Erhebung der Nutzer keine Einverständniserklärung abgegeben hat.

French

Top 10 des risques pour la vie privée (1.0)

Le type détermine si un risque est :man_office_worker: organisationnel, :woman_technologist: technique ou les deux.

# Type Titre Fréquence Impact Description
P1 :woman_technologist: Application avec vulnérabilités Élevé Très élevé Une application contenant des vulnérabilités logicielles est un problème clé pour des systèmes qui traitent des données personnelles sensibles. Un manque dans la conception, dans l’implémentation, une détection de failles insuffisante, une incapacité à appliquer une solution (patch) à une faille mènent à une fuite de données personnelles.
P2 :man_office_worker::woman_technologist: Fuite de données par l’opérateur Élevé Très élevé L’impossibilité de prévenir la fuite de données concernant ou pas des données personnelles à des groupes non autorisés mène à une perte de confidentialité. Que ce soit intentionnel ou une erreur (mauvaise gestion des accès, stockage non sécuritaire, duplication de données ou manque de réactivité).
P3 :man_office_worker::woman_technologist: Mauvaise réponse suite à une fuite de données Élevé Très élevé Ne pas informer les gens affectés à propos d’une fuite de données. Ne pas remédier à la situation en identifiant et en réparant la cause. Ne pas tenter de limiter la fuite.
P4 :man_office_worker::woman_technologist: Suppression insuffisante des données personnelles Très élevé Élevé Ne pas supprimer les données personnelles convenablement à la fin de l’utilisation précisée à l’utilisateur.
P5 :man_office_worker: Conditions d’utilisation opaques Très élevé Élevé Ne pas fournir suffisamment d’information sur la collecte, le stockage et le traitement de vos données. Ne pas fournir l’information claire et facilement accessible. Information seulement compréhensible par des avocats.
P6 :man_office_worker: Collecte de données excessive Très élevé Élevé Collecter de l’information descriptive, géographique, démographique ou toute autre information qui n’est pas nécessaire pour le système. S’applique aussi pour les données qui n’ont pas fait le consentement de l’utilisateur.
P7 :man_office_worker::woman_technologist: Partage de données Élevé Élevé Partager des données à des tiers sans obtenir le consentement de l’utilisateur. Partager des données en échange d’argent ou via des widgets : maps, réseau social, boutons et analytiques.
P8 :man_office_worker::woman_technologist: Données personnelles périmées Élevé Très élevé L’utilisation de données incorrectes ou en lien avec des utilisateurs fictifs. Impossibilité de mettre à jour ces données.
P9 :woman_technologist: Expiration de session manquante ou insuffisante Moyen Très élevé Échec à mettre fin convenablement à une session. Cela permet de collecter de l’information supplémentaire sur l’utilisateur sans son consentement ou sa connaissance.
P10 :woman_technologist: Transmission de données non sécurisée Moyen Très élevé Ne pas sécuriser le transfert de données permettant la fuite de ces dernières. Ne pas renforcer les mécanismes qui pourraient limiter les fuites. Permettre de sortir des données d’utilisateur à l’extérieur des limites de l’opération de l’application.

Vidéo

Top 10 des risques pour la vie privée en français (Youtube)

Flyer

Infoflyer in French

Japanese

トップ10 プライバシーリスク バージョン2.0 日本語訳

タイプはリスクが組織的:man_office_worker:、技術的:woman_technologist:、またはその両方であるかどうかを示しています。

# タイプ タイトル 頻度 影響 説明
P1 :woman_technologist: Webアプリケーションの脆弱性 高い 非常に高い 脆弱性は、機密性の高い個人データを保護または操作する上でシステムの重大な問題です。アプリケーションの適切な設計と実装、問題の検出、または修正(パッチ)の迅速な適用を怠ると、プライバシーが侵害される可能性があります。このリスクには、Webアプリケーションの脆弱性のOWASPトップ10リストとそれらに起因するリスクも含まれます。
P2 :man_office_worker::woman_technologist: オペレーター側のデータ漏えい 高い 非常に高い 個人データを含むまたは個人データに関連する情報が許可されていない第三者に漏洩し、データの機密性が失われます。意図的な悪意のある違反または意図しないミスのいずれかが原因で引き起こされました。たとえば、不十分なアクセス管理制御、安全でないストレージ、データの重複、または認識の欠如が原因です。
P3 :man_office_worker::woman_technologist: 不十分なデータ侵害対応 高い 非常に高い 意図的または意図的でないイベントのいずれかが原因で発生する侵害またはデータ漏洩について、影響を受ける人(データ主体)に通知しないこと。原因を修正することによって状況を改善することに失敗すること。漏洩を制限することを怠ることです。
P4 :man_office_worker: すべてに同意する 非常に高い 高い 処理を正当化するための同意を集約する、または同意を不適切に使用することです。同意の対象は「すべて」であり、目的ごとに収集していません(たとえば、Webサイトの使用や広告のプロファイリング)。
P5 :man_office_worker: 不透明なポリシー、利用規約 非常に高い 高い データの収集、保存、処理など、データの処理方法を説明するための十分な情報が提供されていません。例えば弁護士以外の人でも簡単に理解できるようにしなければなりません。
P6 :man_office_worker::woman_technologist: 個人データの削除が不十分 高い 高い 指定された目的の終了後または要求に応じて、個人データを効果的および/またはタイムリーに削除しないことです。
P7 :man_office_worker::woman_technologist: 不十分なデータ品質 非常に高い 古い、正しくない、または偽の個人データを使用すること、または、データの更新または修正の誤りがあることです。
P8 :woman_technologist: セッションの有効期限がないか不十分 非常に高い セッションの終了が確実ではないことによって、ユーザーの同意または認識なしに、追加の個人データが収集される可能性があります。
P9 :man_office_worker::woman_technologist: ユーザーがデータにアクセスして変更できない 高い 高い ユーザーが自分に関連するデータにアクセス、変更、または削除することができません。
P10 :man_office_worker: ユーザーの同意を得た目的と異なるデータの収集 高い 高い システムの目的に関係のない、分析データ、統計データ、またはその他の個人の関連データの収集することや、ユーザーが同意しなかったデータを収集することです。

Spanish

Top 10 Riesgos de privacidad (2.0)

El tipo determina si un riesgo es :man_office_worker: organizacional , :woman_technologist: técnico, o ambos.

# Tipo Título Frecuencia Impacto Descripción
P1 :woman_technologist: Vulnerabilidades en aplicaciones web Alto Muy Alto La vulnerabilidad es un problema clave en cualquier sistema que protege u opera con datos confidenciales del usuario. Si no se diseña e implementa adecuadamente una aplicación, se detecta un problema o se aplica rápidamente una solución (parche), es probable que se produzca una violación de la privacidad. Este riesgo también abarca la lista de las 10 principales vulnerabilidades de aplicaciones web de OWASP y los riesgos que se derivan de ellas.
P2 :man_office_worker::woman_technologist: Fuga de datos del lado del operador Alto Muy Alto No impedir la filtración de cualquier información que contenga o esté relacionada con los datos del usuario, o los datos en sí, a ninguna parte no autorizada que resulte en la pérdida de confidencialidad de los datos. Introducido ya sea debido a una violación maliciosa intencional o error involuntario, por ejemplo, causado por controles de administración de acceso insuficientes, almacenamiento inseguro, duplicación de datos o falta de conciencia.
P3 :man_office_worker::woman_technologist: Respuesta insuficiente por filtración de datos Alto Muy Alto No informar a las personas afectadas (interesados) sobre una posible violación o fuga de datos, como resultado de eventos intencionales o no intencionales; no remediar la situación arreglando la causa; sin intentar limitar las fugas.
P4 :man_office_worker: Consentimiento en todo Muy Alto Alto uso inapropiado del consentimiento para el procesamiento legítimo. El consentimiento está "en todo" y no se recopila por separado para cada propósito (por ejemplo, el uso del sitio web y la elaboración de perfiles para publicidad).
P5 :man_office_worker: Políticas, términos y condiciones opacas Muy Alto Alto No proporcionar suficiente información para describir cómo se procesan los datos, como su recopilación, almacenamiento y procesamiento. No hacer que esta información sea fácilmente accesible y comprensible para las personas que no son abogados.
P6 :man_office_worker::woman_technologist: Eliminación insuficiente de datos personales Alto Alto No eliminar datos personales de manera efectiva y/o oportuna tras la finalización del propósito especificado o previa solicitud.
P7 :man_office_worker::woman_technologist: Calidad de datos insuficiente Medio Muy Alto El uso de datos de usuario desactualizados, incorrectos o falsos. No actualizar o corregir los datos.
P8 :woman_technologist: Falta o insuficiente mecanismo de expiración de sesión Medio Muy Alto No cerrar eficazmente la sesión. Puede dar lugar a la recopilación de datos de usuario adicionales sin el consentimiento o el conocimiento del usuario.
P9 :man_office_worker::woman_technologist: Imposibilidad de los usuarios para acceder y modificar datos Alto Alto Los usuarios no tienen la capacidad de acceder, cambiar o eliminar datos relacionados con ellos.
P10 :man_office_worker: Recopilación de datos no requeridos para el propósito consentido por el usuario Alto Alto Recopilación de datos descriptivos, demográficos o cualquier otro dato relacionado con el usuario que no sean necesarios para los fines de la operación. Se aplica también a los datos para los que el usuario no proporcionó su consentimiento.

Frequently Asked Questions

Why is this project only about web applications and not about any kind of software?

Web applications can easily collect data from users without their permission or without adequately informing them how their data is used. Cookies, and other trackers, enable the monitoring of user’s behaviour, and this information may be used for a variety of commercial purposes, including targeted advertising, profiling, and the sale of aggregated data. Thus, the topic is very important, especially for web applications.

Are the Top 10 Privacy Risks applicable for mobile apps as well?

Privacy risks for mobile apps are very similar. The rating might be slightly different and there might be some additional risks related to the loss of devices and the use of location data, but in general the Top 10 Privacy Risks are applicable for mobile apps as well.

What is the difference between this project and the OWASP Top 10?

There are two main differences. First, the OWASP Top 10 describes technical security risks that are not primarily affecting privacy. Second, the OWASP Top 10 do not address organisational issues like privacy notices, profiling, or the sharing of data with third parties.

Why should companies and other organisations be concerned about privacy risks?

Privacy risks may have serious consequences for an organisation, such as:

  • perceived harm to privacy;
  • a failure to meet public expectations on both the use and protection of personal information;
  • retrospective imposition of regulatory conditions;
  • low adoption rates or poor participation in the scheme from both the public and partner organisations;
  • the costs of redesigning the system or retro-fitting solutions;
  • failure of a project or completed system;
  • withdrawal of support from key supporting organisations due to perceived privacy harms; and/ or
  • failure to comply with the law, leading to enforcement action from the regulator or compensation claims from individuals.

Source of privacy risks: ICO Handbook on Privacy Impact Assessment (PIA)