Ho un conto per prestiti studenteschi presso un'azienda, non la più grande ma abbastanza grande da consentire loro di agire insieme. Oggi non ricordo la password per accedere alla dashboard del mio account. Ho fatto clic su "password dimenticata" e mi hanno chiesto 5 domande. Nome, Cognome, ultime 4 cifre SSN, data di nascita e codice postale. Tutte le informazioni che sono facilmente acquisibili se ci si sforzano abbastanza, per non parlare di tutte le informazioni incluse nelle loro e-mail periodiche sui pagamenti. Dopo aver digitato le informazioni, il sito risponde dicendo che sono stato autenticato e mi fornisce la password in chiaro.
Quindi ora non solo è incredibilmente facile recuperare i dettagli della password persa, ma non inviarlo nemmeno alla tua email, lo visualizzano semplicemente sullo schermo, inoltre memorizzano la password in chiaro nel database. Questo è un conto che contiene i dettagli del mio prestito multimila dollari e le mie coordinate bancarie per i pagamenti automatici. Fortunatamente l'unico dettaglio non fornito è il mio nome utente, che è il mio SSN completo, quindi quello è l'ultimo thread di sicurezza; tuttavia, se memorizzano le password senza hash, sono sicuro che nemmeno il mio SSN lo è, il che peggiora ulteriormente.
Quindi la mia domanda è, dato che questo è un prestito che non posso semplicemente alzarmi e lasciare ci / quali sono le precauzioni o i passaggi che posso adottare per renderlo potenzialmente più sicuro? Varrebbe la pena inviarli via email e tormentarli per aggiornare la loro sicurezza o dovrei semplicemente pagare il più velocemente possibile e uscire? Se li avverto, a quali tipi di minacce dovrei dire che sono vulnerabili nella speranza di spaventarli in una patch?