Pytanie:
Co zrobić, jeśli utkniesz na stronie, która ma słabe zabezpieczenia?
DasBeasto
2016-03-16 18:44:49 UTC
view on stackexchange narkive permalink

Mam konto pożyczki studenckiej w firmie, która nie jest największą firmą, ale jest na tyle duża, że ​​powinni wspólnie działać. Dzisiaj nie mogłem sobie przypomnieć hasła do logowania się do panelu konta. Kliknąłem „zapomniałem hasła” i zadali mi 5 pytań. Imię, nazwisko, ostatni 4-cyfrowy numer PESEL, data urodzenia i kod pocztowy. Wszystkie informacje, które można łatwo zdobyć, jeśli się wystarczająco starasz, nie wspominając o wszystkich informacjach zawartych w ich okresowych wiadomościach e-mail o płatnościach. Po wpisaniu informacji witryna odpowiada, że ​​zostałem uwierzytelniony i podaje mi hasło w postaci zwykłego tekstu.

Teraz nie tylko niezwykle łatwo jest odzyskać utracone dane hasła, ale nawet nie wysyłaj go na swój adres e-mail, po prostu wyświetlają go na ekranie, a ponadto przechowują hasło w postaci zwykłego tekstu w bazie danych. To jest konto, na którym znajdują się szczegóły mojej wielotysięcznej pożyczki, a także moje dane bankowe dotyczące płatności automatycznych. Na szczęście jedyny nie podany szczegół to moja nazwa użytkownika, która jest moim pełnym numerem PESEL, więc jest to ostatni wątek bezpieczeństwa; jeśli jednak przechowują niezaszyfrowane hasła, jestem pewien, że mój numer PESEL też nie jest, co jest jeszcze gorsze.

Moje pytanie brzmi, biorąc pod uwagę, że jest to pożyczka, której nie mogę po prostu zaciągnąć i zostawić, istnieją / jakie są jakieś środki ostrożności lub kroki, które mogę podjąć, aby uczynić to potencjalnie bardziej bezpiecznym? Czy warto byłoby wysłać do nich e-mail i nakłonić ich do ulepszenia zabezpieczeń, czy też powinienem po prostu zapłacić tak szybko, jak to możliwe i wyjść? Jeśli ich ostrzeżę, na jakie typy zagrożeń powinienem powiedzieć, że są podatni w nadziei, że wystraszą ich w łatce?

[Publiczne zawstydzanie] (http://plaintextoffenders.com/) może być dobrym rozwiązaniem. Jak na ironię obsługiwane tylko przez http;)
Poinformuj swoją firmę, że otrzymujesz pożyczkę, aby zebrać siły. Jeśli statek zatonie i twoje informacje wyciekną, możesz zadzwonić na policję w celu uzyskania skradzionych informacji i zatrudnić prawnika, który zastosuje metodę, w której został skradziony. (Strona była niepewna, więc ostatecznie to wina firmy).
Użyj unikalnego hasła do tej witryny. Nie jestem też pewien, czy używają HTTPS, ale biorąc pod uwagę inne luki w zabezpieczeniach, które mają, nie zdziwię się, jeśli brakuje SSL. W takim przypadku upewnij się, że zawsze uzyskujesz dostęp do witryny ze stosunkowo zaufanej sieci, w której nie są zainstalowane żadne sniffery. To prawda, że ​​ludzie, którzy są właścicielami sieci lub korzystają z routerów dostawców usług internetowych, nadal mogą uzyskać wszystkie informacje w postaci zwykłego tekstu przez HTTP, ale jest to najlepsze, co możesz teraz zrobić.
Mogą przechowywać hasło zaszyfrowane zamiast w postaci zwykłego tekstu; co jest nieznacznie mniej złe. Pozwala uniknąć trywialnego wycieku zwykłego tekstu z samego zrzutu bazy danych lub wstrzyknięcia SQL. Nadal nie jest to dobra praktyka, ponieważ jeśli serwer został skompromitowany, osoba atakująca prawdopodobnie będzie w stanie wyodrębnić klucz odszyfrowywania przy odrobinie dodatkowej pracy.
Komentarze nie służą do rozszerzonej dyskusji; ta rozmowa została [przeniesiona do czatu] (http://chat.stackexchange.com/rooms/37189/discussion-on-question-by-dasbeasto-what-to-do-if-stuck-with-website-that- has-po).
Dla każdego, kto się zastanawia, prawie rok później i żadnych odpowiedzi na moje e-maile, skargi w witrynie ani skargi do FTC.I ten sam problem jest nadal obecny na stronie internetowej.
Ponowna aktualizacja: w końcu przenieśli się do zupełnie nowej witryny.Chociaż nowa strona jest okropna i zepsuta, nie ma tego samego problemu.
Pięć odpowiedzi:
Emmet
2016-03-17 02:08:09 UTC
view on stackexchange narkive permalink

Instytucje finansowe w Stanach Zjednoczonych są zobowiązane na mocy ustawy Gramm-Leach-Bliley do zapewnienia bezpieczeństwa i poufności danych osobowych. To, co opisujesz, jest rażącym naruszeniem zasady zabezpieczeń FTC.

Natychmiast złożyłbym skargę do FTC.

+1 Bardzo interesujące znalezisko, myślę, że liczą się jako instytucja finansowa, a jeśli tak, to z pewnością naruszałoby. Dzięki za prowadzenie.
Prawie na pewno by się liczyli; jak mówi powiązany dokument FTC, „instytucje finansowe” są szeroko rozumiane dla celów Ustawy GLB.
Ach tak, wygląda na to, że zgodnie z podaną definicją z pewnością liczą się z wykluczeniem jakiejś biurokratycznej luki. Poczekam na ich odpowiedź na moje wiadomości, abym mógł omówić obie strony tej historii, ale nie mogę przewidzieć ścieżki, która nie wymagałaby złożenia jednej z tych skarg.
Dokument tak naprawdę nie określa nic na temat zaszyfrowanych haseł. Wydaje się, że pośrednio sugeruje, że powinny one dotyczyć haseł pracowników („Trudne do złamania hasła wymagają użycia…”), ale poza tym mówi tylko, że firma musi wdrożyć pisemny plan bezpieczeństwa; nie wspomina, że ​​musi być dobry. Czy jest jakiś zewnętrzny nadzór nad czymś takim? Poza sekcją o pracownikach wydaje się dość niejasna.
Tobi Nary
2016-03-16 19:01:07 UTC
view on stackexchange narkive permalink

Jeśli obawiasz się o prywatność swojego hasła, a tym samym swojego konta (co powinno mieć miejsce), powinieneś spróbować przeszkolić obsługę klienta. Często zadawane pytania dla programistów z publicznego projektu zawstydzania tego rodzaju lekkomyślności zawiera kilka dobrych punktów, z którymi warto się zapoznać.

Ponadto należy zwrócić uwagę, że czujesz się niepewnie i przegrywasz ufają firmie i uczynią ją odpowiedzialną za wszelkie problemy wynikające z tego zakazu.

Powinieneś także udokumentować to zachowanie i spróbować uzyskać pisemną wycenę z ich punktu widzenia, jeśli nie widzą powód, żeby to naprawić. Tak więc, jeśli pojawią się jakiekolwiek problemy, ułatwi to wszystko z prawnego punktu widzenia.

Poza tym, przesyłając witrynę do przestępców wykorzystujących zwykły tekst, przedstaw punkt widzenia innej firmy, który może pomóc w Twoim przypadku.

Zakładam też, że używasz bezpiecznego, unikalnego hasła do tej witryny i miejmy nadzieję, że zawsze to robiłeś.

Jeśli nie, traktuj to jako zwykły wyciek , zmieniając wszystkie swoje hasła (i przy tej okazji upewnij się, że używasz unikalnych haseł dla każdej usługi)

Komentarze nie służą do rozszerzonej dyskusji;ta rozmowa została [przeniesiona do czatu] (http://chat.stackexchange.com/rooms/38003/discussion-on-answer-by-smokedispenser-what-to-do-if-stuck-with-website-that-ma).
Alex KeySmith
2016-03-18 23:07:06 UTC
view on stackexchange narkive permalink

Możesz zgłosić to administratorom witryny, ale w przypadku prawdopodobnego odebrania wiadomości e-mail przez obsługę klienta jest mało prawdopodobne, że zostanie ona zrozumiana.

Mam nadzieję, że zostanie podniesiony do zespół programistów, który miejmy nadzieję to zrozumie.

Jednak możesz zalecić ostrożność, jakbyś był rażąco źle zrozumiany, że nie chcesz być oskarżony o włamanie.

Alternatywnie, na przykład w Wielkiej Brytanii „ustawa o ochronie danych” to prawodawstwo chroniące przed takim niewłaściwym postępowaniem. Reklamacje rozpatruje „biuro komisarzy ds. Informacji”. W szczególności na stronie gov.uk znajduje się oświadczenie, aby skontaktować się z ICO, jeśli:

Złóż skargę

Jeśli uważasz, że Twoje dane został niewłaściwie wykorzystany lub że organizacja, która go posiada, nie zapewniła bezpieczeństwa, powinieneś skontaktować się z nimi i powiedzieć im.

Jeśli nie jesteś zadowolony z ich odpowiedzi lub potrzebujesz porady, skontaktuj się z Biurem Komisarza ds.Informacji (ICO ).

https://www.gov.uk/data-protection/make-a-complaint

ICO to przydatne źródło: https://ico.org.uk/

Wielka Brytania jest szczególnie dobra i podejrzewam, że inne kraje mają podobne przepisy, ale z pewnością inne kraje nie w przyszłości.

Cieszę się, że wspomniałeś o możliwości, że może to zostać zinterpretowane jako włamanie. Mój kolega z klasy w college'u wykonał kilka prostych tras śledzenia w sieci szkół i zauważył wąskie gardło, które poważnie obniżyło wydajność. Zabrał informacje do administratorów sieci i został oskarżony o włamanie i ledwo uniknął wyrzucenia (zabrali mu sieć w jego pokoju na pozostałe lata, zwolnili go z pracy w laboratoriach komputerowych itp.). Nierzadko zdarza się, że osoby, które nie znają kwestii technicznych, postrzegają osoby spoza ich pracowników, którzy mają informacje techniczne, jako zagrożenie.
Neil McGuigan
2016-03-16 23:38:14 UTC
view on stackexchange narkive permalink

Czy możesz zaktualizować dowolne z tych danych osobowych i podać im fałszywe nieco zmienione, ale nadal prawidłowe wartości? Na przykład podaj im kod pocztowy znajdujący się bardzo blisko (najlepiej 9-cyfrowy), który listonosz mógłby nadal znaleźć, aby dostarczyć Ci pocztę. Lub „błędnie wpisałeś moje nazwisko, to DasBeesto nie DasBeasto”

Czy możesz zmienić swoją nazwę użytkownika na coś bardzo losowego?

Upewnij się, że używasz długiego, unikalnego hasła do tej witryny , które nie ma absolutnie żadnego związku z hasłami używanymi w innych witrynach (nie na przykład rAnD0m-sitex )

Nie jestem pewien, skąd wzięli kod pocztowy, który mógł zostać podany przy ubieganiu się o pożyczkę, ale zobaczę, czy można je zmienić. Niestety nazwa użytkownika to mój numer SSN, więc nie mogę go zmienić na coś losowego. Ponieważ jest to pożyczka federalna, tj. Linia kredytowa, zmiana tych wartości na fałszywe może zostać uznana za oszustwo, ale nie mam pewności.
Jaka byłaby korzyść z podania fałszywych danych osobowych? Informacje te można najprawdopodobniej uzyskać innymi sposobami, w przeciwieństwie do rzeczywistych danych dotyczących długu, które prawdopodobnie są tutaj większym problemem.
@SmokeDispenser:, aby „odzyskać” hasło do konta DasBeasto, osoba atakująca musiałaby podać ten sam błąd pisowni.
Masz całkowitą rację. Jestem oczywiście zmęczony. Dobranoc;)
Użytkownik @SmokeDispenser threat: chce zalogować się do mojego konta. Znajduje moje prawdziwe nazwisko, kod pocztowy itp. Na LinkedIn i innych miejscach. Resetuje moje hasło. Wyświetla moje konto. Jeśli zip jest fałszywy, nie mogą tego zrobić
Nie zmieniłbym Twoich danych osobowych na fałszywe. To są ludzie, którym jesteś winien pieniądze. Nawet jeśli ich bezpieczeństwo jest nieodpowiedzialnym śmieciem, nie chcesz ryzykować wniesienia sprawy przeciwko tobie, jeśli staniesz po ich złej stronie.
@jpmc to kompromis. rozważ ryzyko, że ktoś z łatwością włamie się na Twoje konto pożyczkowe i sieją spustoszenie lub firma pożyczkowa pozwie Cię za posiadanie nieznacznie błędnego kodu pocztowego
Ben Voigt
2016-03-20 06:26:13 UTC
view on stackexchange narkive permalink

Zamiast podawać swoje dane bankowe administratorowi pożyczki, podaj dane rachunku pożyczki do swojego banku obsługującego płatności rachunków.

Jest to ogólnie dobry pomysł - umieszczanie mniej zagrażających informacji pod opieką bardziej wartościowe konto pozwala uniknąć problemu „eskalacji uprawnień”.

Ponadto, jeśli nie masz pewności, że administrator pożyczki faktycznie wyczyścił dane bankowe, które mu wcześniej podałeś, poinformuj swój bank o sytuacji. Wydadzą ci nowe numery kont i unieważnią te znane niezabezpieczonej witrynie, a także prawdopodobnie wywierają presję na administratora pożyczki, aby uporządkował swoje działania.



To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...