Si procesan los pagos con tarjeta de crédito, deben mantener el cumplimiento con PCI-DSS. Siempre puede informar una violación . Podrían enviar un auditor e insistir en remediarlo. Todo el proceso tomaría probablemente un año o más. No me sorprendería si ya estuvieran trabajando en ello, suponiendo que haya encontrado un problema de buena fe.

Si una empresa le envía sus datos de inicio de sesión en texto sin formato, ya sea uno existente o uno nuevo, puede avergonzarlos públicamente.

Delincuentes de texto simple es un sitio en el que puedes publicar su estupidez simplemente enviando una captura de pantalla del correo electrónico ofensivo. Tenga cuidado de borrar cualquier detalle sensible. Es un sitio que vale la pena vigilar, para que sepa qué compañías evitar usar.

Parece que Western Digital no tiene un equipo de seguridad con el que se pueda contactar directamente sobre vulnerabilidades. De hecho, encontré una publicación en su sitio de soporte que preguntaba específicamente por qué no había una dirección de correo electrónico o una clave PGP para usar para las vulnerabilidades y nadie de WD respondió.

Lo que encontré es que alguien dijo que necesitaba informar una vulnerabilidad y una persona de apoyo respondió que enviaría un mensaje privado a la persona. Te sugiero que hagas lo mismo.

Creo que esto probablemente cae bajo la divulgación responsable. Hay algunos pasos que debe tomar que ya se han mencionado de forma aislada, pero probablemente deberían tomarse como parte de un enfoque holístico del problema.

Lo primero que debes hacer es informar el problema al equipo de soporte.

Detalle los pasos a seguir para replicar el problema (es decir, recuperar la contraseña, recibir la contraseña en texto sin formato) e incluir información sobre lo que esto revela acerca de cómo manejan las contraseñas y por qué es una mala idea.

También incluiría algunas noticias sobre problemas a fuego lento en el pasado para proporcionar contexto, por ejemplo esta sobre PlusNet .

Les explicaría que si no han resuelto el problema con x días (90 días parece razonable para mí), usted tiene la intención de actuar.

Dígales qué es esta acción. Por ejemplo, usted cree que están procesando tarjetas de crédito, por lo que tiene la intención de informar una violación de PCI. Explique claramente que si el problema no se resuelve, tiene la intención de divulgarlo públicamente. (Publicación de blog, redes sociales, informes sobre medios especializados, sitios 'vergonzosos', etc.)

Un par de cosas para recordar es que, aunque tienen la culpa, les tomará algún tiempo implementar el cambio (aunque sea dudoso), es posible que no tengan cuidado con el problema debido a la falta de inversión y / o habilidad en TI. equipo, actúe de buena fe y deles un tiempo razonable para hacer el cambio.

Lo segundo que debes hacer es seguir adelante con lo anterior.

El problema aquí, por supuesto, es que esta misma pregunta se ha saltado directamente a la divulgación pública.

Teniendo en cuenta eso, incluiría un enlace a esta pregunta, ya que ver a un grupo de profesionales de la seguridad que discuten el tema sin duda sacará partido a la mente del administrador de sistemas (y si no lo hace, Western Digital debería buscar un nuevo administrador de sistemas)

Las contraseñas de texto simple no son su problema (= usuario)

Debe considerar que la contraseña es un secreto compartido, es decir, suponga que tanto usted como WD lo saben. Después de todo, cada vez que inicias sesión en su sitio, dices "Hola, mi nombre es Douglas Gaskell y mi contraseña es Correct Horse Battery Staple, déjame entrar". Si los malos piratean su sitio, no necesitan su contraseña, es probable que tengan acceso a sus datos de todos modos. Ashley Madison hizo hash de las contraseñas de los usuarios, pero eso no fue un gran consuelo después de la violación de datos.

Los propietarios del sitio no deben almacenar contraseñas de texto simple debido a los peligros de la reutilización de las contraseñas, pero, en primer lugar, no debe reutilizar sus contraseñas. Elija contraseñas seguras y únicas para cada sitio . De esa manera, las contraseñas almacenadas en texto plano no son realmente su problema. Si hizo reutilizó su contraseña de WD en otros sitios, cámbiela en WD y en cualquier otro sitio, si es posible.

No pierdas tu tiempo

Los usuarios no pueden controlar si sus contraseñas están hasheadas o no. Las grandes empresas tienen razones para almacenar contraseñas en forma recuperable (lo que no necesariamente implica texto sin formato), o pretenden tener una o simplemente no les importa. Es posible que su sistema de contraseñas sea utilizado por múltiples servicios, algunos de ellos pueden ser mainframes muy antiguos. Es poco probable que cambie su política de contraseña.

Por cierto

Almacenar la contraseña en forma recuperable no implica almacenarla en texto plano. Puede estar encriptado.

TL; DR: Use contraseñas seguras, no las reutilice, manténgalas en un buen administrador de contraseñas, habilite Autentificación de dos factores para cuentas que son valiosas para usted y no se preocupan por cosas que no puede controlar.