製品が廃止される際に、製品管理者が機密データを削除する機能が適切に提供されていない。 スクラビング機能がない、不十分、または不正確である可能性がある。
ベストプラクティスや規制上の要件により、製品を廃止する場合、管理者は機密データを最初に削除または上書きする必要があります。 退役したデバイスから機密データを不適切にスクラビングすると、そのデータは悪意のある行為者に取得されやすくなります。機密データには、デバイス/メーカーの専有情報、ユーザー/デバイスの認証情報、ネットワーク設定、その他の形式の機密データが含まれますが、これらに限定されません。
The product does not properly provide a capability for the product administrator to remove sensitive data at the time the product is decommissioned. A scrubbing capability could be missing, insufficient, or incorrect.
When a product is decommissioned - i.e., taken out of service - best practices or regulatory requirements may require the administrator to remove or overwrite sensitive data first, i.e. "scrubbing." Improper scrubbing of sensitive data from a decommissioned device leaves that data vulnerable to acquisition by a malicious actor. Sensitive data may include, but is not limited to, device/manufacturer proprietary information, user/device credentials, network configurations, and other forms of sensitive data.