J'ai un compte de prêt étudiant dans une entreprise, pas la plus grande, mais suffisamment grande pour qu'elles devraient agir ensemble. Aujourd'hui, je ne me souviens plus de mon mot de passe pour me connecter au tableau de bord de mon compte. J'ai cliqué sur "mot de passe oublié" et ils m'ont posé 5 questions. Prénom, nom, SSN à 4 chiffres, date de naissance et code postal. Toutes les informations qui sont facilement accessibles si vous essayez assez dur, sans parler de toutes les informations incluses dans leurs e-mails périodiques sur les paiements. En tapant les informations, le site répond en disant que j'ai été authentifié et me donne mon mot de passe en texte clair.
Donc maintenant, non seulement il est incroyablement facile de récupérer les détails du mot de passe perdu, mais ils ne l'envoyez même pas à votre courrier électronique, ils l'afficheront simplement à l'écran, en plus de cela, ils stockent le mot de passe en texte clair dans la base de données. Il s'agit d'un compte qui contient les détails de mon prêt de plusieurs milliers de dollars ainsi que mes coordonnées bancaires pour les paiements automatiques. Heureusement, le seul détail qui n'est pas donné est mon nom d'utilisateur, qui est mon SSN complet, donc c'est le dernier fil de sécurité; cependant, s'ils stockent les mots de passe sans hachage, je suis sûr que mon SSN ne l'est pas non plus, ce qui aggrave encore la situation.
Ma question est donc, étant donné que c'est un prêt que je ne peux pas simplement Y a-t-il / quelles précautions ou mesures puis-je prendre pour rendre cela potentiellement plus sûr? Vaut-il la peine de leur envoyer un e-mail et de les harceler pour améliorer leur sécurité ou devrais-je simplement payer le plus vite possible et sortir? Si je les préviens, à quels types de menaces devrais-je dire qu'ils sont vulnérables dans l'espoir de leur faire peur dans un patch?