Conseguir que un empleador asegure su sitio web inmediatamente

4

Soy empleado como consultor en una consultora de tecnología grande. Recientemente noté una falla importante en su sitio web, me enviaron mis credenciales de inicio de sesión en texto sin formato a través de HTTP. Verifiqué esto haciendo una captura de paquete saliente y he aquí que mis credenciales estaban a la vista para que cualquiera las viera. Lo que es peor, las credenciales se enviaron de nuevo por el cable una vez más en texto sin formato si el inicio de sesión fallaba.

En el lado positivo, no se ven afectados por el sangrado del corazón porque ni siquiera permiten el tráfico HTTPS ...

He leído Informe de sitios vulnerables y similar, pero creo que esta pregunta es un poco diferente como primer lugar, estoy personalmente afectado y obligado a usar el sitio regularmente, ya que soy empleado de la empresa propietaria del sitio (aunque no sea responsable).

He informado al departamento de TI y recibí una respuesta en el formulario

  

Antes de que su correo electrónico haya contratado a una empresa de seguridad que ha realizado una   prueba de la pluma extensa y entre otras cosas encontró su vulnerabilidad reportada.   Estamos evaluando la situación y tomaremos medidas en breve.

Lo que para mí significa:

  

Hola, sabemos que estamos filtrando tus contraseñas y podríamos repararlo en las próximas   meses o tal vez el próximo año. Mientras tanto, ¿por qué no vas a la iglesia y rezas?   que nadie vacía tu cuenta de paypal.

Motivado por el hecho de que simplemente pude estacionar mi teléfono celular en wifi fuera de su oficina con el cable de conexión para obtener las credenciales de la mayoría de las personas en la oficina. Para mí, su respuesta no es lo suficientemente buena. Además, todo lo que tienen que hacer es forzar el HTTPS para todo el tráfico como una brecha. Esto no toma más que unas pocas horas para un administrador del sistema que sabe lo que están haciendo. Y no tiene un impacto negativo que no sea el rendimiento (siempre que hayan afectado a OpenSSL si están afectados).

Mi pregunta es, ¿cómo puedo hacer que primero habiliten HTTPS para todo el tráfico de manera inmediata y luego informen a todas las partes afectadas que sus credenciales de nombre de usuario / contraseña pueden estar comprometidas y que necesitan cambiarlas en todos los lugares donde usan esa combinación? . Sin perder mi trabajo.

Para el registro, sí, ya he cambiado mis contraseñas. Y, para empezar, tenía una contraseña aleatoria de 128 bits en su sitio porque tenía la sensación de que era poco fiable desde el principio.

    
pregunta Emily L. 13.04.2014 - 12:08
fuente

1 respuesta

3

Debe haber una entidad responsable de la seguridad, como un (jefe) oficial de seguridad de la información. Por lo general, su trabajo es tomar informes como el suyo y encontrar la manera más rápida de resolver el problema sin comprometer el negocio. Dárselo al departamento de TI a menudo lo convierte en una "solicitud de soporte sin partes interesadas", lo que significa que aún puede trabajar, por lo que no es tan malo desde su punto de vista.

Si no tiene eso, debe escribir un correo amigable a la administración en el C-Level e informarles sobre el riesgo empresarial que plantean problemas como este si no reciben atención de inmediato. Pueden otorgar la función de vigilar estos problemas a un empleado que ya trabaja en el departamento de TI, por lo que no necesariamente tienen que contratar a alguien.

Funcionó para mí ;-)

    
respondido por el mohrphium 13.04.2014 - 15:51
fuente

Lea otras preguntas en las etiquetas