Soy empleado como consultor en una consultora de tecnología grande. Recientemente noté una falla importante en su sitio web, me enviaron mis credenciales de inicio de sesión en texto sin formato a través de HTTP. Verifiqué esto haciendo una captura de paquete saliente y he aquí que mis credenciales estaban a la vista para que cualquiera las viera. Lo que es peor, las credenciales se enviaron de nuevo por el cable una vez más en texto sin formato si el inicio de sesión fallaba.
En el lado positivo, no se ven afectados por el sangrado del corazón porque ni siquiera permiten el tráfico HTTPS ...
He leído Informe de sitios vulnerables y similar, pero creo que esta pregunta es un poco diferente como primer lugar, estoy personalmente afectado y obligado a usar el sitio regularmente, ya que soy empleado de la empresa propietaria del sitio (aunque no sea responsable).
He informado al departamento de TI y recibí una respuesta en el formulario
Antes de que su correo electrónico haya contratado a una empresa de seguridad que ha realizado una prueba de la pluma extensa y entre otras cosas encontró su vulnerabilidad reportada. Estamos evaluando la situación y tomaremos medidas en breve.
Lo que para mí significa:
Hola, sabemos que estamos filtrando tus contraseñas y podríamos repararlo en las próximas meses o tal vez el próximo año. Mientras tanto, ¿por qué no vas a la iglesia y rezas? que nadie vacía tu cuenta de paypal.
Motivado por el hecho de que simplemente pude estacionar mi teléfono celular en wifi fuera de su oficina con el cable de conexión para obtener las credenciales de la mayoría de las personas en la oficina. Para mí, su respuesta no es lo suficientemente buena. Además, todo lo que tienen que hacer es forzar el HTTPS para todo el tráfico como una brecha. Esto no toma más que unas pocas horas para un administrador del sistema que sabe lo que están haciendo. Y no tiene un impacto negativo que no sea el rendimiento (siempre que hayan afectado a OpenSSL si están afectados).
Mi pregunta es, ¿cómo puedo hacer que primero habiliten HTTPS para todo el tráfico de manera inmediata y luego informen a todas las partes afectadas que sus credenciales de nombre de usuario / contraseña pueden estar comprometidas y que necesitan cambiarlas en todos los lugares donde usan esa combinación? . Sin perder mi trabajo.
Para el registro, sí, ya he cambiado mis contraseñas. Y, para empezar, tenía una contraseña aleatoria de 128 bits en su sitio porque tenía la sensación de que era poco fiable desde el principio.