Как тестировать API на утечки данных?

Проверяем: нет ли sensitive данных в ответах (пароли, токены, SSN, полные номера карт). GET /users не возвращает password_hash, payment methods не возвращают полный номер (только последние 4 цифры). Логи не пишут sensitive данные. Error messages не раскрывают internal structure. Stack traces не возвращаются в production. Эндпоинты не возвращают данные чужих пользователей. Инструменты: анализируем все response через DevTools, специализированные API scanners.