Domanda:
Come affrontare la politica di sicurezza delle password errate di una grande azienda?
Douglas Gaskell
2017-07-04 01:51:04 UTC
view on stackexchange narkive permalink

Sono appena andato a reimpostare la mia password Western Digital e mi hanno inviato via email la mia password in chiaro, invece di fornire un modulo online per consentirmi di cambiarla. Questo è davvero preoccupante per me in quanto il sito accetta / elabora pagamenti per le proprie unità e ho già effettuato pagamenti su questo sito.

Come contromisura, sto trattando la password utilizzata su questo sito come se era già trapelato e sto assicurando una nuova e unica password per ogni altro sito su cui l'ho usata. Giusto per essere sicuri.

Qual è il modo migliore per risolvere questo problema in modo da avere le maggiori possibilità di incoraggiarli con successo a correggere la loro politica sulle password?

Ti hanno inviato via email la password dimenticata o una nuova password che ti consente di accedere a un modulo di reimpostazione della password?Se il primo è il caso di http://plaintextoffenders.com/, nel secondo caso non vedo nulla di insicuro al riguardo.
I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/61779/discussion-on-question-by-douglas-gaskell-how-to-address-bad-password-security-p).
Puoi fare nuovi acquisti senza reinserire i dati della tua carta?La possibilità di farlo rende siti come PayPal davvero sensibili.Un tipico sito di e-commerce non lo consente, o ti obbliga a reinserire almeno il codice di sicurezza, il che riduce notevolmente il rischio.Amazon ha una variazione interessante in cui ti costringono a reinserire il codice di sicurezza della carta se cambi l'indirizzo di consegna.
Cinque risposte:
John Wu
2017-07-04 03:00:45 UTC
view on stackexchange narkive permalink

Se elaborano pagamenti tramite carta di credito, devono mantenere la conformità PCI-DSS. Puoi sempre segnalare una violazione. Potrebbero potenzialmente inviare un revisore e insistere per le misure correttive. L'intero processo richiederebbe probabilmente un anno o più. Non mi sorprenderebbe se ci stessero già lavorando, supponendo che tu abbia trovato un problema in buona fede.

Non dovrebbe essere solo una violazione PCI-DSS se l'account dell'OP ha una sorta di accesso ai dati dei titolari di carta (o almeno al sistema su cui è memorizzato)?Solo perché possono accettare pagamenti tramite il loro sito Web, ciò non significa che gli account dei clienti possano accedere a nessuno di questi dati in alcun modo (ovviamente, se inviano password in chiaro nelle e-mail, chissà quali altre cose folli fanno).
[Sezione 8 PCI] (https://www.pcisecuritystandards.org/pdfs/pci_ssc_quick_guide.pdf) copre le password.Se l'OP può effettuare un pagamento, può accedere ai dati del titolare della carta.
WD deve mantenere la conformità PCI-DSS anche se utilizza Digital River come società di gestione del proprio negozio online?
@JohnWu Piccola clausola, i siti potrebbero utilizzare processori di pagamento come Stripe e non memorizzare mai i dati dei titolari di carta, che potrebbero essere quasi completamente trasparenti per l'utente finale.Ma dubito che un'azienda come WD lo stia utilizzando.
La conformità PCI-DSS è ancora in gioco anche con Digital River, Stripe o altri processori di terze parti.La vetrina avrebbe semplicemente un [livello di conformità, probabilmente SAQ-A] inferiore (https://www.mwrinfosecurity.com/our-thinking/pci-compliance-which-saq-is-right-for-me/).
Meglio tra un anno che mai.
@JohnWu "Se l'OP può effettuare un pagamento, può accedere ai dati dei titolari di carta" non è necessariamente vero - in molti sistemi di pagamento non vengono memorizzati i dati dei titolari di carta, ovvero non è possibile accedere ai dati per i propri pagamenti passati e quindi l'accesso al proprio account nonnon dare accesso ai tuoi dati CHD.
La conformità PCI si applica anche ai commercianti online, ma non al livello di controllo che potrebbe essere sottoposto a un processore di pagamento.I processori di pagamento hanno interesse a garantire che i loro commercianti siano conformi allo standard PCI e addebiteranno costi aggiuntivi se non conformi.
@Peteris: So che stai dividendo i peli, quindi lascia che li divida ulteriormente: inserendo un numero di carta su una pagina web e utilizzandolo per completare un acquisto, un utente accede ai dati del titolare della carta.Queste attività sono coordinate dal negozio, quindi sopporta anche qualsiasi rischio finanziario associato alla transazione.Lo scopo della conformità PCI-DSS è mitigare il rischio.
@JohnWu sì, in questo scenario PCI DSS richiederebbe di crittografare il CHD in transito (ad esempio, utilizzare https) e avere altri requisiti, ma (come ho detto) la conformità PCI DSS * non * richiederebbe che l'utente abbia una password di account sicura, ininfatti, non richiede alcuna password per la persona che effettua il pagamento, purché il CHD non sia memorizzato.PCI DSS specifica i requisiti delle password per gli account che possono accedere a CHD, ma questi requisiti della password non si applicano a tutti gli account che un'organizzazione potrebbe avere in generale e non si applicherebbero a questo scenario: possono essere facilmente conformi.
Diamine sì, non darei per scontato che ci sia una violazione reale qui senza sapere nulla del loro sistema.Penso che il punto principale sia che un revisore PCI potrebbe ancora rivedere il sistema e formulare raccomandazioni.
Chenmunka
2017-07-04 14:29:05 UTC
view on stackexchange narkive permalink

Se un'azienda ti invia i tuoi dati di accesso in testo normale, puoi vergognarli pubblicamente o quelli esistenti o quelli nuovi.

Plain Text Offenders è un sito su cui puoi pubblicare la loro stupidità semplicemente inviando uno screenshot dell'email offensiva. Fai attenzione a cancellare tutti i dettagli sensibili. È un sito che vale la pena tenere d'occhio, quindi sai quali aziende evitare di utilizzare.

Ero curioso se il PTO si sforzasse di informare l'autore del problema.Non lo confermano sul loro sito (che posso vedere), ma ho trovato una segnalazione di bug su un trasgressore che sembra indicare che PTO contatterà l'autore del reato per te.Quindi, probabilmente dovresti * solo * inviare il sito a PTO, senza cercare di capire come contattare l'azienda da solo.Ma non fa male contattare comunque l'azienda, soprattutto perché non è chiaro se PTO lo faccia sempre.
Il loro post più recente risale a più di un anno fa.Il sito è ancora attivo?
Il sito sembra incerto.Ho inviato probabilmente un paio di dozzine di siti che mi hanno inviato la mia password (digitata) dopo aver creato un account o dopo un ripristino.E nessuno è mai apparso nelle loro liste.Un'alternativa dovrebbe essere fatta ...
Swashbuckler
2017-07-04 02:03:18 UTC
view on stackexchange narkive permalink

Sembra che Western Digital non disponga di un team di sicurezza che puoi contattare direttamente per le vulnerabilità. In effetti, ho trovato un post sul loro sito di supporto che chiedeva specificamente perché non c'erano indirizzi e-mail o chiavi PGP da utilizzare per le vulnerabilità e nessuno di WD ha risposto.

Quello che ho scoperto è che qualcuno ha detto che dovevano segnalare una vulnerabilità e una persona di supporto ha risposto che avrebbe inviato un messaggio privato alla persona. Ti suggerisco di fare lo stesso.

TheJulyPlot
2017-07-04 20:34:02 UTC
view on stackexchange narkive permalink

Penso che questo sia probabilmente oggetto di divulgazione responsabile. Ci sono alcuni passaggi da compiere che sono già stati menzionati isolatamente, ma probabilmente dovrebbero essere presi come parte di un approccio olistico al problema.

La prima cosa da fare è segnalare il problema al team di supporto.

Descrivi in ​​dettaglio i passaggi da eseguire per replicare il problema (ad esempio, recuperare la password, ricevere la password in testo normale) e includere informazioni su ciò che questo rivela su come stanno gestendo le password e perché questa è una cattiva idea.

Includerei anche alcune notizie su problemi di cottura a fuoco lento in passato per fornire un contesto, ad esempio questo su PlusNet.

Spiegherei loro che se non hanno risolto il problema con x giorni (90 giorni mi sembra ragionevole) intendi agire.

Spiega loro qual è questa azione. Ad esempio, se ritieni che stiano elaborando carte di credito, quindi intendi segnalare una violazione PCI. Spiega chiaramente che se il problema non viene risolto, intendi divulgare pubblicamente il problema. (Post di blog, social media, segnalazioni sui media specializzati, siti di "vergogna", ecc.)

Un paio di cose da ricordare è che anche se sono colpevoli ci vorrà del tempo per implementare il cambiamento , (sebbene dubbiosi) potrebbero non essere consapevoli del problema a causa della mancanza di investimenti e / o competenze nel team IT, quindi agire in buona fede e concedere loro un ragionevole lasso di tempo per apportare la modifica.

La seconda cosa che dovresti fare è seguire quanto sopra.

Il problema qui ovviamente è che questa stessa domanda è passata direttamente alla divulgazione pubblica.

Detto questo, includerei un collegamento a questa domanda, poiché vedere un gruppo di professionisti della sicurezza che discutono della questione senza dubbio acuirà la mente dell'amministratore di sistema (e se non lo fa allora Western Digital dovrebbe cercare un nuovo amministratore di sistema)

Le decisioni intenzionali di progettazione da parte dell'azienda incriminata richiedono davvero una divulgazione responsabile?Trovo molto improbabile che un problema come questo sia il risultato di un semplice bug.
Chissà quale fosse il motivo, decisione progettuale, negligenza ecc. No, non è un bug scontato, ma è un difetto.Personalmente sbaglierei dalla parte della cautela e agirei in buona fede segnalandolo e dando loro la possibilità di attuare un cambiamento.Tuttavia, questa è solo una visione.
el.pescado
2017-07-05 19:46:10 UTC
view on stackexchange narkive permalink

Le password in chiaro non sono il tuo problema (= utente)

Dovresti considerare la password un segreto condiviso, cioè presumere che sia tu che WD lo sappiate. Dopo tutto, ogni volta che accedi al loro sito, dici "Ciao, mi chiamo Douglas Gaskell e la mia password è Correct Horse Battery Staple, per favore fammi entrare". Se i malintenzionati hackerano il loro sito, non hanno bisogno della tua password: probabilmente hanno comunque accesso ai tuoi dati. Ashley Madison ha cancellato le password degli utenti, ma non è stata una grande consolazione dopo la violazione dei dati.

I proprietari dei siti non dovrebbero memorizzare le password in chiaro a causa dei pericoli del riutilizzo delle password, ma non dovresti in primo luogo riutilizzerai le tue password. Scegli password complesse e univoche per ogni sito . In questo modo, le password memorizzate come testo normale non sono davvero un tuo problema. Se hai riutilizzato la tua password WD su altri siti, modificala su WD e su ogni altro sito, se possibile.

Non perdere tempo

Gli utenti non possono controllare se le loro password sono sottoposte ad hashing o meno. Le grandi aziende hanno motivi per archiviare le password in forma recuperabile (il che non implica necessariamente il testo in chiaro), o fingono di averne una o semplicemente non se ne preoccupano. Il loro sistema di password è probabilmente utilizzato da più servizi, alcuni dei quali potrebbero essere mainframe terribilmente legacy. È improbabile che tu modifichi la loro politica sulle password.

A proposito

La memorizzazione della password in forma recuperabile non implica la memorizzazione in testo normale. Potrebbe essere crittografato.

TL; DR: utilizza password complesse, non riutilizzarle, conservale in un buon gestore di password, abilita l ' autenticazione a due fattori per gli account che sono preziosi per te e non ti preoccupare di cose che non puoi controllare.

"Se i malintenzionati hackerano il loro sito (...) hanno comunque accesso ai tuoi dati."No, non necessariamente.Non sempre hanno pieno accesso.Inoltre, la password non riguarda solo la riservatezza.Se possono accedere al sito con la tua password, possono fingere di essere te e agire a tuo nome.
Se hanno accesso al database delle password, probabilmente possono impersonarti senza bisogno di password.
@el.pescado no se le password sono correttamente hash ....
Se le password sono archiviate in chiaro, chiunque abbia accesso alle password può impersonare chiunque nel sistema, compreso il personale dell'azienda.Ecco perché dovresti eseguire correttamente l'hash delle password.
@schroeder Voglio dire, sì, dovresti hash delle password dei tuoi utenti, ma in teoria, se hai accesso alle password, hash o meno, hai accesso a tutti gli altri dati.
@el.pescado Ancora una volta, non necessariamente.È possibile accedere agli hash salati delle password, senza avere accesso ad altri dati.Uno scenario è in cui un utente malintenzionato perde gli hash salati, senza rivelare gli altri dati che ha ottenuto.È successo.
Sono d'accordo, ma questo è dal punto di vista dell'amministratore di sistema.La domanda proviene dal punto di vista dell'utente.
Bene, supponi che io sia un utente di un sito bancario.La banca utilizza un database separato per le password (buona idea).L'applicazione presenta una vulnerabilità SQLi, ma solo sul database delle password.Se la banca esegue correttamente il saling e gli hash, l'attaccante non può fare molto: il server controllerà l'hash di tutto ciò che viene inviato con il valore memorizzato, quindi non possono accedere come me che ho solo l'hash salato.I miei soldi sono al sicuro (abbastanza).Se la banca li memorizza in chiaro, l'aggressore può semplicemente accedere come me e tutti i miei soldi sono andati (e il recupero è probabilmente un lungo processo legale per il quale ora non ho soldi per pagare).Problema dell'utente.
@Delioth Questo è un ottimo esempio.Ecco perché i sistemi bancari online utilizzano 2FA (almeno quelli con cui ho fatto affari).Con 2FA abilitato, nel tuo scenario, l'attaccante vedrebbe il saldo sul tuo account (fa ancora schifo, sono d'accordo), ma non sarà in grado di trasferire denaro da nessuna parte.Aggiornerò la mia risposta per includere 2FA.
@el.pescado pensi che un'azienda che non ha nemmeno imparato a non memorizzare le password in chiaro stia usando 2FA?Questo è un presupposto enorme, dal momento che le password in chiaro mostrano poca cura per la sicurezza o nessuna conoscenza delle pratiche di sicurezza.
+1 per consigli pragmatici che comprendono correttamente i rischi.
@Delioth si può dire lo stesso della separazione di password e altri dati.Quante sono le possibilità che i due siano separati, che le password non siano sottoposte ad hashing, né crittografate, e che non utilizzino altri metodi di autenticazione aggiuntivi contemporaneamente, e il database delle password è quello che viene violato?D'altra parte, quali sono le possibilità che inizino ad eseguire l'hashing delle password dopo l'email di un cliente arrabbiato?BTW.Quando una banca perde le credenziali e il denaro viene rubato, il processo legale non sarebbe difficile, almeno qui in Europa.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...