Domanda:
Cosa fare se bloccato con un sito Web con scarsa sicurezza?
DasBeasto
2016-03-16 18:44:49 UTC
view on stackexchange narkive permalink

Ho un conto per prestiti studenteschi presso un'azienda, non la più grande ma abbastanza grande da consentire loro di agire insieme. Oggi non ricordo la password per accedere alla dashboard del mio account. Ho fatto clic su "password dimenticata" e mi hanno chiesto 5 domande. Nome, Cognome, ultime 4 cifre SSN, data di nascita e codice postale. Tutte le informazioni che sono facilmente acquisibili se ci si sforzano abbastanza, per non parlare di tutte le informazioni incluse nelle loro e-mail periodiche sui pagamenti. Dopo aver digitato le informazioni, il sito risponde dicendo che sono stato autenticato e mi fornisce la password in chiaro.

Quindi ora non solo è incredibilmente facile recuperare i dettagli della password persa, ma non inviarlo nemmeno alla tua email, lo visualizzano semplicemente sullo schermo, inoltre memorizzano la password in chiaro nel database. Questo è un conto che contiene i dettagli del mio prestito multimila dollari e le mie coordinate bancarie per i pagamenti automatici. Fortunatamente l'unico dettaglio non fornito è il mio nome utente, che è il mio SSN completo, quindi quello è l'ultimo thread di sicurezza; tuttavia, se memorizzano le password senza hash, sono sicuro che nemmeno il mio SSN lo è, il che peggiora ulteriormente.

Quindi la mia domanda è, dato che questo è un prestito che non posso semplicemente alzarmi e lasciare ci / quali sono le precauzioni o i passaggi che posso adottare per renderlo potenzialmente più sicuro? Varrebbe la pena inviarli via email e tormentarli per aggiornare la loro sicurezza o dovrei semplicemente pagare il più velocemente possibile e uscire? Se li avverto, a quali tipi di minacce dovrei dire che sono vulnerabili nella speranza di spaventarli in una patch?

[La vergogna pubblica] (http://plaintextoffenders.com/) potrebbe essere una strada da percorrere. Ironicamente servito solo http;)
Di 'alla tua azienda da cui stai ricevendo il prestito per ottenere il loro atto. Se la nave cade e le tue informazioni vengono trapelate, sentiti libero di chiamare la polizia per le informazioni rubate e assumere un avvocato per il metodo con cui sono state rubate ... (Il sito non era sicuro, quindi alla fine è colpa della compagnia).
Usa una password univoca per questo sito. Inoltre, non sono sicuro che stiano utilizzando HTTPS, ma considerando le altre scappatoie di sicurezza che hanno, non sarò sorpreso se manca anche SSL. In tal caso, assicurati di accedere sempre al sito da una rete relativamente affidabile in cui non siano installati sniffer. È vero che le persone che possiedono la rete o che utilizzano i router degli ISP possono ancora ottenere tutte le informazioni in chiaro su HTTP, ma questo è il meglio che puoi fare adesso.
Potrebbero memorizzare la password crittografata invece che in chiaro; che è leggermente meno negativo. Evita una banale perdita di testo in chiaro da un dump del database o da un'iniezione SQL. Non è ancora una buona pratica perché se il server è compromesso, l'aggressore sarà probabilmente in grado di estrarre la chiave di decrittazione con un po 'di lavoro extra.
I commenti non sono per discussioni estese; questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/37189/discussion-on-question-by-dasbeasto-what-to-do-if-stuck-with-website-that- has-po).
Per chiunque se lo chieda, quasi un anno dopo e nessuna risposta a nessuna delle mie e-mail, reclami nel sito Web o reclami alla FTC.E lo stesso problema è ancora presente sul sito web.
Nuovo aggiornamento: sono finalmente migrati a un sito completamente nuovo.Sebbene il nuovo sito sia orribile e non funzionante, non presenta lo stesso problema.
Cinque risposte:
Emmet
2016-03-17 02:08:09 UTC
view on stackexchange narkive permalink

Le istituzioni finanziarie negli Stati Uniti sono obbligate dal Gramm-Leach-Bliley Act a garantire la sicurezza e la riservatezza delle informazioni personali. Ciò che descrivi è una flagrante violazione della Regola di salvaguardia della FTC.

Vorrei immediatamente presentare un reclamo alla FTC.

+1 Rilevamento molto interessante, penso che contino come istituto finanziario e se così fosse sarebbe sicuramente in violazione. Grazie per il vantaggio.
Quasi certamente avrebbero contato; come dice il documento FTC collegato, "istituzioni finanziarie" è ampiamente interpretato ai fini della legge GLB.
Ah sì, sembra di sì, nella loro definizione fornita contano certamente salvo una sorta di scappatoia burocratica. Aspetterò la loro risposta ai miei messaggi così posso avere entrambi i lati della storia ma non posso prevedere un percorso che non comporti la presentazione di uno di quei reclami.
Il documento in realtà non specifica nulla sulle password con hash. Sembra implicare indirettamente che dovrebbero essere per le password dei dipendenti ("Le password difficili da decifrare richiedono l'uso di ...") ma a parte questo si dice semplicemente che l'azienda deve implementare un piano di sicurezza scritto; non dice che deve essere buono. C'è qualche tipo di controllo esterno per qualcosa di simile? Sembra piuttosto vago a parte la sezione sui dipendenti.
Tobi Nary
2016-03-16 19:01:07 UTC
view on stackexchange narkive permalink

Se sei preoccupato per la privacy della tua password e quindi del tuo account (come dovrebbe essere), dovresti provare a istruire il servizio clienti. Le domande frequenti per sviluppatori del progetto pubblico vergognoso per questo tipo di incoscienza elenca alcuni buoni punti e merita una lettura.

Inoltre, dovresti sottolineare che ti senti insicuro e perdi fiducia nell'azienda e li renderà responsabili di eventuali problemi che derivano da questo divieto.

Dovresti anche documentare quel comportamento e cercare di ottenere una citazione scritta sul loro punto di vista se non vedono un motivo per risolvere questo problema. Pertanto, se sorgono problemi, ti renderà tutto più facile da un punto di vista legale.

Oltre a ciò, sottoponendo il sito a trasgressori di testo in chiaro, lo farai fornire un punto di vista di terze parti, che potrebbe aiutare il tuo caso.

Inoltre, presumo che tu usi una password univoca sicura per quel sito e, si spera, lo hai sempre fatto.

Se no, trattalo come una perdita normale , cambiando tutte le tue password (e in quell'occasione assicurati di utilizzare password univoche per ogni servizio)

I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/38003/discussion-on-answer-by-smokedispenser-what-to-do-if-stuck-with-website-that-ha).
Alex KeySmith
2016-03-18 23:07:06 UTC
view on stackexchange narkive permalink

Potresti segnalarlo agli amministratori del sito, ma nel probabile caso in cui il messaggio di posta elettronica venga ritirato dal servizio clienti è improbabile che venga compreso.

Si spera che venga elevato a un team di sviluppo che si spera lo capirà.

Tuttavia potresti voler sollecitare cautela come se fosse grossolanamente frainteso, non vuoi essere accusato di pirateria informatica.

In alternativa, nel Regno Unito, ad esempio, la "legge sulla protezione dei dati" è una legislazione che protegge da tale trattamento improprio. L '"ufficio dei commissari per l'informazione" gestisce i reclami. In particolare, sul sito gov.uk è presente una dichiarazione per contattare l'ICO se:

Presentare un reclamo

Se ritieni che i tuoi dati siano è stato utilizzato in modo improprio o che l'organizzazione che lo detiene non l'ha tenuto al sicuro, è necessario contattarli e informarli.

Se non sei soddisfatto della loro risposta o se hai bisogno di un consiglio, contatta l'ufficio del Commissario per le informazioni (ICO ).

https://www.gov.uk/data-protection/make-a-complaint

L'ICO è un risorsa utile: https://ico.org.uk/

Il Regno Unito è particolarmente buono e sospetto che altri paesi abbiano legislazioni simili in atto, tuttavia certamente altri paesi non lo sono come prossimo.

Sono lieto che tu abbia menzionato la possibilità che questo possa essere interpretato erroneamente come hacking. Un mio compagno di classe al college ha fatto alcuni semplici traceroutes sulla rete scolastica e ha notato un collo di bottiglia che ha gravemente degradato le prestazioni. Ha portato le informazioni agli amministratori della rete ed è stato accusato di pirateria informatica e ha evitato a malapena di essere espulso (hanno portato via la rete nella sua stanza per i suoi anni rimanenti, lo hanno licenziato dal suo lavoro nei laboratori informatici, ecc.). Non è insolito che persone che ignorano questioni tecniche considerino una minaccia chiunque al di fuori del proprio impiego con informazioni tecniche.
Neil McGuigan
2016-03-16 23:38:14 UTC
view on stackexchange narkive permalink

Potete aggiornare qualcuna di queste informazioni personali e fornire loro valori fake leggermente modificati ma ancora validi? Ad esempio, dai loro un codice postale molto vicino (preferibilmente 9 numeri) che il postino potrebbe ancora capire per consegnarti la posta. Oppure "hai scritto male il mio cognome, è DasBeesto non DasBeasto"

Puoi cambiare il tuo nome utente in qualcosa di altamente casuale?

Assicurati di utilizzare una password lunga e univoca per quel sito , che non ha assolutamente alcuna relazione con le password che usi su altri siti (non rAnD0m-sitex per esempio)

Non sono sicuro da dove abbiano preso le informazioni zip da esso potrebbero essere state fornite quando si richiede il prestito, ma vedrò se è modificabile. Sfortunatamente il nome utente è il mio SSN, quindi non posso cambiarlo in qualcosa di casuale. Anche trattandosi di un prestito federale, ovvero una linea di credito, cambiarli in valori falsi può essere considerato una frode, ma non sono sicuro.
Inoltre, quale sarebbe il vantaggio di fornire false informazioni personali? Quelle informazioni possono molto probabilmente essere ottenute con altri mezzi, in contrasto con i dati sul debito effettivo, che è la maggiore preoccupazione qui, probabilmente.
@SmokeDispenser: per "recuperare" la password dell'account DasBeasto, un utente malintenzionato dovrebbe fornire lo stesso errore di ortografia.
Hai completamente ragione. Sono stanco, ovviamente. Buona notte;)
L'utente @SmokeDispenser threat: desidera accedere al mio account. Trova il mio vero dob, il codice postale ecc. Su linkedin e altri luoghi. Reimposta la mia password. Visualizza il mio account. Se zip è falso, non possono farlo
Non cambierei le tue informazioni personali in qualcosa di falso. Queste sono le persone a cui devi dei soldi. Anche se la loro sicurezza è spazzatura irresponsabile, non vuoi rischiare di dar loro una causa contro di te se vai dalla loro parte cattiva.
@jpmc è un compromesso. soppesare il rischio che qualcuno possa facilmente entrare nel tuo conto di prestito e provocare il caos, o una società di prestito che ti fa causa per avere un codice postale leggermente sbagliato
Ben Voigt
2016-03-20 06:26:13 UTC
view on stackexchange narkive permalink

Invece di fornire i tuoi dati bancari all'amministratore del prestito, fornisci i dettagli del conto del prestito al servizio di pagamento tramite fattura della tua banca.

Questa è in realtà una buona idea in generale: affidare le informazioni meno compromettenti alla cura di un account più prezioso evita il problema della "escalation dei privilegi".

Inoltre, se non sei sicuro che l'amministratore del prestito abbia effettivamente cancellato i dettagli bancari che hai fornito in precedenza, informa la tua banca della situazione. Ti rilasceranno nuovi numeri di conto e revoceranno quelli noti al sito non sicuro, e forse faranno anche pressione sull'amministratore del prestito perché ripulisca il loro atto.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...