Estoy preocupado porque mi universidad les pide a los estudiantes que confirmen su número de tarjeta de crédito, ubicación, SSN y nombre completo al registrarse. ¿Qué debo hacer?

4

Cuando un usuario inicia sesión con su nombre de usuario (su número de identificación pública) y una contraseña (su fecha de nacimiento, de manera predeterminada) se le envía su nombre, número de seguro social completo, número de tarjeta de crédito parcial / Fecha de caducidad y dirección de facturación. Se le pide al usuario que confirme que la información es correcta; Esto sucede cada vez que intentan agregar clases.

Tengo la sensación de que esto es un riesgo masivo de seguridad, aunque se envíe a través de HTTPS, pero solo soy un estudiante aquí. ¿Qué hago?

(También se envía información menos crítica, como números de teléfono)

    
pregunta Joan D 09.12.2014 - 09:31
fuente

2 respuestas

1

Cuando dices enviado, ¿qué quieres decir? ¿Se le presenta esta información y luego tiene que verificarla o también solicitar esta información, así como sus credenciales de inicio de sesión regulares (nombre de usuario, contraseña) de las cuales verifica si las credenciales (SSN, etc.) has introducido son correctos?

Porque hay a los lados de la moneda de seguridad por así decirlo, con esta situación. Como utilizar varios factores de autenticación antes de que un estudiante pueda agregar una nueva clase es una buena idea, ya que el hecho subyacente es que es difícil para un atacante reunir toda esa información en una sola persona, a menos que sea realmente torpe con sus credenciales. o tu atacante es un buen perfilador. Sin embargo, mantener esa cantidad de datos en una persona posiblemente no sea lo mejor que se puede hacer si las universidades no están tan reforzadas.

-¡Disminuyendo las cosas de HTTPS antes de continuar demasiado! - En materia de uso de HTTPS. Es realmente tan bueno como su implementación. Hay un montón de agujeros y soluciones si no se ha implementado correctamente. Aunque no debería preocuparme por eso, sino por la integridad del AP que está utilizando para enviar esa información.

Pero si tiene alguna inquietud, debe hablar con un conferencista o una persona superior en Administración y siempre use una VPN o, si es posible, un Túnel SSH.

    
respondido por el Oavatog 09.12.2014 - 14:37
fuente
1

Iniciar sesión con su número de identificación pública y fecha de nacimiento suena como un gran riesgo de seguridad.

Si la identificación es pública como usted dice, la fecha de nacimiento de la persona asociada con esa identificación se puede descubrir fácilmente. Sería trivial saberlo (si el posible atacante conoce a la víctima, ya que es un sistema localizado), recuperar (por ejemplo, a través de las redes sociales), suponer o forzar la fecha de nacimiento. Brute forzar la fecha de nacimiento en todas las cuentas si las ID son secuenciales sería fácil ya que solo se requeriría un rango de fechas estrecho, asumiendo que la mayoría de los estudiantes nacen aproximadamente el mismo año para un rango dado de ID.

Por supuesto, los estudiantes pueden cambiar sus contraseñas a otra cosa, pero si el sistema no los requiere, el riesgo no se reduce significativamente. Supongo que la mayoría de los usuarios no se molestarán en cambiar su contraseña, ya que su DOB se recuerda fácilmente.

El uso de HTTPS es bueno, aunque no tiene idea de cómo se almacena y asegura la información en sus sistemas de back-end.

Debe hablar con un profesor o con alguien de la universidad con sus inquietudes, aunque a menudo estas inquietudes pueden caer en oídos sordos. Sin embargo, no intentaría probar ninguna vulnerabilidad, ya que hay todas demasiadas historias como esta . Sin embargo, si tiene alguna prueba, podría ser mejor enviarla a la universidad de forma anónima en un papel impreso impreso en una impresora pública para evitar la impresión de La esteganografía te identifica.

    
respondido por el SilverlightFox 10.12.2014 - 13:52
fuente

Lea otras preguntas en las etiquetas