Что такое sensitive data exposure и как тестировать?

Sensitive data exposure — PII, финансовые данные, credentials хранятся или передаются небезопасно. Тестируем: HTTPS используется везде (нет mixed content), sensitive данные в URL (пароли, токены — видны в логах). API ответы не содержат лишних полей (password_hash, internal_id). LocalStorage не хранит sensitive данные. Логи не содержат PII. Слабое шифрование (MD5 для паролей). Backup файлы доступны (/backup.sql, /.env). Проверяем security headers: Strict-Transport-Security, Cache-Control: no-store для sensitive ответов.