¿Es este un fallo de seguridad?
¡Es difícil de decir!
Podría ser un movimiento intencional por parte de una empresa mejorar la experiencia del usuario para iniciar sesión. Sé que Facebook hace esto por la experiencia del usuario, que ha sido preguntado antes de una manera diferente.
Hay algunos artículos sobre Facebook que hacen esto, pero no he podido encontrar nada en Facebook. Lo único que logré encontrar fue esto artículo que menciona preguntar a un ingeniero de Facebook al respecto.
Esto es bastante difícil de realizar de manera segura, ya que casi se garantiza que cualquier aceptación de contraseñas que no sean su contraseña real será en detrimento de la seguridad, como se explica aquí .
Si es así, ¿qué debo hacer con esta información?
Si no puede encontrar información en línea sobre el hecho de que la compañía esté haciendo este tipo de cosas (aunque, por su énfasis en el tamaño de la empresa, creo que podría ser Facebook), recomiendo comunicarse con ellos. Si son importantes, es probable que se les haya preguntado esto antes y que puedan responderle con relativa facilidad. Algunas compañías han publicado buzones de correo del equipo de seguridad a los que debería poder enviar esta pregunta.
La respuesta de @orbuculum tiene algunos buenos recursos sobre cómo manejar el lado de "qué debo hacer" de esto. Es un área difícil porque ambos extremos (es decir, reaccionar de forma exagerada y castigar al reportero en comparación con una reacción insuficiente e ignorar sus comunicaciones) parecen ser bastante comunes en las empresas, al menos en los informes en línea. Si la empresa es tan grande y popular como usted dice, no debería preocuparse por esto.
N.B:
Mientras estaba en el agujero del conejo, también me topé con el hashing sensible a la localidad que analiza los métodos para hacer esto dentro del hash. función en sí misma.