Question:
Que faire si vous êtes coincé avec un site Web dont la sécurité est médiocre?
DasBeasto
2016-03-16 18:44:49 UTC
view on stackexchange narkive permalink

J'ai un compte de prêt étudiant dans une entreprise, pas la plus grande, mais suffisamment grande pour qu'elles devraient agir ensemble. Aujourd'hui, je ne me souviens plus de mon mot de passe pour me connecter au tableau de bord de mon compte. J'ai cliqué sur "mot de passe oublié" et ils m'ont posé 5 questions. Prénom, nom, SSN à 4 chiffres, date de naissance et code postal. Toutes les informations qui sont facilement accessibles si vous essayez assez dur, sans parler de toutes les informations incluses dans leurs e-mails périodiques sur les paiements. En tapant les informations, le site répond en disant que j'ai été authentifié et me donne mon mot de passe en texte clair.

Donc maintenant, non seulement il est incroyablement facile de récupérer les détails du mot de passe perdu, mais ils ne l'envoyez même pas à votre courrier électronique, ils l'afficheront simplement à l'écran, en plus de cela, ils stockent le mot de passe en texte clair dans la base de données. Il s'agit d'un compte qui contient les détails de mon prêt de plusieurs milliers de dollars ainsi que mes coordonnées bancaires pour les paiements automatiques. Heureusement, le seul détail qui n'est pas donné est mon nom d'utilisateur, qui est mon SSN complet, donc c'est le dernier fil de sécurité; cependant, s'ils stockent les mots de passe sans hachage, je suis sûr que mon SSN ne l'est pas non plus, ce qui aggrave encore la situation.

Ma question est donc, étant donné que c'est un prêt que je ne peux pas simplement Y a-t-il / quelles précautions ou mesures puis-je prendre pour rendre cela potentiellement plus sûr? Vaut-il la peine de leur envoyer un e-mail et de les harceler pour améliorer leur sécurité ou devrais-je simplement payer le plus vite possible et sortir? Si je les préviens, à quels types de menaces devrais-je dire qu'ils sont vulnérables dans l'espoir de leur faire peur dans un patch?

[La honte publique] (http://plaintextoffenders.com/) pourrait être une voie à suivre. Ironiquement servi http uniquement;)
Dites à votre entreprise que vous obtenez le prêt pour se ressaisir. Si le navire tombe en panne et que vos informations sont divulguées, n'hésitez pas à appeler la police pour obtenir les informations volées et à engager un avocat pour la méthode par laquelle elles ont été volées.
Utilisez un mot de passe unique pour ce site. De plus, je ne sais pas s'ils utilisent HTTPS, mais compte tenu des autres failles de sécurité dont ils disposent, je ne serai pas surpris si SSL est également absent. Dans ce cas, assurez-vous de toujours accéder au site à partir d'un réseau relativement fiable où aucun renifleur n'est installé. Certes, les personnes qui possèdent le réseau ou qui utilisent les routeurs des FAI peuvent toujours obtenir toutes les informations en texte clair sur HTTP, mais c'est le mieux que vous puissiez faire pour le moment.
Ils pourraient stocker le mot de passe chiffré plutôt qu'en texte clair; ce qui est légèrement moins mauvais. Cela évite une fuite de texte en clair triviale à partir d'un simple vidage de base de données ou d'une injection SQL. Ce n'est toujours pas une bonne pratique car si le serveur est compromis, l'attaquant sera probablement en mesure d'extraire la clé de déchiffrement avec un peu de travail supplémentaire.
Les commentaires ne sont pas destinés à une discussion approfondie; cette conversation a été [déplacée vers le chat] (http://chat.stackexchange.com/rooms/37189/discussion-on-question-by-dasbeasto-what-to-do-if-stuck-with-website-that- has-po).
Pour quiconque se demande, près d'un an plus tard et aucune réponse à aucun de mes e-mails, plaintes sur le site Web ou plaintes à la FTC.Et le même problème est toujours présent sur le site.
Re update: Ils ont finalement migré vers un tout nouveau site.Bien que le nouveau site soit horrible et cassé, il n'a pas le même problème.
Cinq réponses:
Emmet
2016-03-17 02:08:09 UTC
view on stackexchange narkive permalink

Les institutions financières aux États-Unis sont tenues par le Gramm-Leach-Bliley Act d'assurer la sécurité et la confidentialité des informations personnelles. Ce que vous décrivez est une violation flagrante de la règle de sauvegarde de la FTC.

Je voudrais immédiatement déposer une plainte auprès de la FTC.

+1 Découverte très intéressante, je pense qu'ils comptent comme une institution financière et si tel est le cas, ils seraient certainement en violation. Merci pour le plomb.
Ils compteraient presque certainement; comme l'indique le document FTC lié, l'expression «institutions financières» est interprétée au sens large aux fins de la Loi GLB.
Ah oui, il semble que oui, selon leur définition fournie, ils comptent certainement exclure une sorte d'échappatoire bureaucratique. J'attendrai leur réponse à mes messages pour avoir les deux côtés de l'histoire, mais je ne peux pas prévoir un chemin qui n'implique pas de déposer une de ces plaintes.
Le document ne spécifie vraiment rien sur les mots de passe hachés. Cela semble impliquer indirectement qu'ils devraient être pour les mots de passe des employés ("Les mots de passe difficiles à déchiffrer nécessitent l'utilisation de ...") mais à part cela, il indique simplement que l'entreprise doit mettre en œuvre un plan de sécurité écrit; il ne dit pas qu'il doit être bon. Y a-t-il une sorte de surveillance externe pour quelque chose comme ça? Cela semble assez vague à part la section sur les employés.
Tobi Nary
2016-03-16 19:01:07 UTC
view on stackexchange narkive permalink

Si vous êtes préoccupé par la confidentialité de votre mot de passe et donc de votre compte (ce qui devrait être le cas), vous devriez essayer de sensibiliser le service client. La FAQ destinée aux développeurs du projet de honte publique pour ce type d'insouciance énumère quelques bons points et mérite une lecture.

De plus, vous devez signaler que vous vous sentez en insécurité et perdez confiance en l'entreprise et les rendra responsables de tout problème résultant de cette interdiction.

Vous devriez également documenter ce comportement et essayer d'obtenir une citation écrite sur leur point de vue s'ils ne voient pas une raison pour résoudre ce problème. Ainsi, si des problèmes surviennent, cela vous facilitera la tâche d’un point de vue juridique.

De plus, en soumettant le site à des contrevenants en texte clair, vous fournir un point de vue tiers, ce qui pourrait vous aider.

De plus, je suppose que vous utilisez un mot de passe unique et sécurisé pour ce site et, espérons-le, vous l'avez toujours fait.

Si non, considérez cela comme une fuite régulière , en modifiant tous vos mots de passe (et à cette occasion, assurez-vous d'utiliser des mots de passe uniques pour chaque service)

Les commentaires ne sont pas destinés à une discussion approfondie;cette conversation a été [déplacée vers le chat] (http://chat.stackexchange.com/rooms/38003/discussion-on-answer-by-smokedispenser-what-to-do-if-stuck-with-website-that-a).
Alex KeySmith
2016-03-18 23:07:06 UTC
view on stackexchange narkive permalink

Vous pouvez le signaler aux administrateurs du site, mais dans l'éventualité probable où l'e-mail serait récupéré par le service client, il est peu probable qu'il soit compris.

J'espère qu'il sera élevé à une équipe de développement qui espérons le comprendre.

Cependant, vous voudrez peut-être inciter à la prudence, car si elle est grossièrement mal comprise, vous ne voulez pas être accusé de piratage.

Au Royaume-Uni, par exemple, la «loi sur la protection des données» est une législation visant à protéger contre de telles erreurs. Le «bureau des commissaires à l'information» traite les plaintes. En particulier, il y a une déclaration sur le site gov.uk pour contacter l'ICO si:

Faire une réclamation

Si vous pensez que vos données ont a été mal utilisé ou que l'organisation qui le détient ne l'a pas gardé en sécurité, vous devez les contacter et leur dire.

Si vous n'êtes pas satisfait de leur réponse ou si vous avez besoin de conseils, vous devez contacter le Bureau du Commissaire à l'information (ICO ).

https://www.gov.uk/data-protection/make-a-complaint

L'ICO est un ressource utile: https://ico.org.uk/

Le Royaume-Uni est particulièrement bon et je soupçonne que d'autres pays ont des législations similaires en place, mais d'autres pays ne le sont certainement pas comme à venir.

Je suis heureux que vous ayez mentionné la possibilité que cela puisse être interprété à tort comme du piratage. Un de mes camarades de classe à l'université a fait quelques traceroutes simples sur le réseau des écoles et a remarqué un goulot d'étranglement qui dégradait gravement les performances. Il a apporté les informations aux administrateurs du réseau et a été accusé de piratage informatique, et a à peine évité d'être expulsé (ils ont emporté le réseau dans sa chambre pendant ses années restantes, l'ont licencié de son travail dans les laboratoires informatiques, etc.). Il n'est pas rare que des personnes ignorant les questions techniques considèrent quiconque en dehors de leur emploi avec des informations techniques comme une menace.
Neil McGuigan
2016-03-16 23:38:14 UTC
view on stackexchange narkive permalink

Pouvez-vous mettre à jour certaines de ces informations personnelles et leur donner des valeurs fausses légèrement modifiées mais toujours valides? Par exemple, donnez-leur un code postal très proche (de préférence un numéro 9) que le facteur pourrait encore comprendre pour vous livrer le courrier. Ou "vous avez mal orthographié mon nom de famille, c'est DasBeesto pas DasBeasto"

Pouvez-vous changer votre nom d'utilisateur en quelque chose de très aléatoire?

Assurez-vous d'utiliser un mot de passe long et unique pour ce site , qui n'a absolument aucun rapport avec les mots de passe que vous utilisez sur d'autres sites (pas rAnD0m-sitex par exemple)

Je ne sais pas d'où ils ont obtenu les informations zip qui ont pu être fournies lors de la demande de prêt, mais je vais voir si cela est modifiable. Malheureusement, le nom d'utilisateur est mon SSN, je ne peux donc pas le changer en quelque chose de aléatoire. De plus, étant donné qu'il s'agit d'un prêt fédéral, c'est-à-dire d'une marge de crédit, les changer en de fausses valeurs peut être considéré comme une fraude, mais je n'en suis pas sûr.
De plus, quel serait l'avantage de fournir de fausses informations personnelles? Cette information peut très probablement être obtenue par d'autres moyens, contrairement aux données réelles sur la dette, ce qui est probablement le plus préoccupant ici.
@SmokeDispenser: afin de "récupérer" le mot de passe du compte DasBeasto, un attaquant devrait fournir la même faute d'orthographe.
Vous avez tout à fait raison. Je suis fatigué, évidemment. Bonne nuit;)
L'utilisateur @SmokeDispenser threat: veut se connecter à mon compte. Trouve mon vrai dob, code postal, etc. sur LinkedIn et d'autres endroits. Réinitialise mon mot de passe. Regarde mon compte. Si le zip est faux, ils ne peuvent pas faire ça
Je ne changerais pas vos informations personnelles en quelque chose de faux. Ce sont des gens à qui vous devez de l'argent. Même si leur sécurité est une poubelle irresponsable, vous ne voulez pas risquer de leur porter plainte contre vous si vous êtes de leur mauvais côté.
@jpmc c'est un compromis. peser le risque qu'une personne s'introduise facilement dans votre compte de prêt et fasse des ravages, ou qu'une société de prêt vous poursuive pour avoir un code postal légèrement erroné
Ben Voigt
2016-03-20 06:26:13 UTC
view on stackexchange narkive permalink

Au lieu de fournir vos coordonnées bancaires à l'administrateur du prêt, fournissez les détails du compte de prêt à votre service de paiement de factures bancaires.

C'est en fait une bonne idée en général - placer les informations moins compromettantes sous la responsabilité de un compte plus précieux évite le problème de "l'élévation des privilèges".

De plus, si vous n'êtes pas sûr que l'administrateur du prêt a réellement nettoyé les coordonnées bancaires que vous lui aviez précédemment fournies, informez votre banque de la situation. Ils vous délivreront de nouveaux numéros de compte et révoqueront ceux connus du site non sécurisé, et éventuellement feront pression sur l'administrateur du prêt pour qu'il nettoie son acte.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...