Tengo una cuenta única para un sitio web muy popular. Noté que ciertas variaciones de mi contraseña configurada me iniciarán con éxito. He probado las variaciones en 3 navegadores separados y todos tienen el mismo comportamiento.
Esta no es una pregunta hipotética. Intencionalmente no describí las variaciones que inician sesión correctamente porque es un sitio web muy conocido que muchas personas usan.
¡Es difícil de decir!
Podría ser un movimiento intencional por parte de una empresa mejorar la experiencia del usuario para iniciar sesión. Sé que Facebook hace esto por la experiencia del usuario, que ha sido preguntado antes de una manera diferente.
Hay algunos artículos sobre Facebook que hacen esto, pero no he podido encontrar nada en Facebook. Lo único que logré encontrar fue esto artículo que menciona preguntar a un ingeniero de Facebook al respecto.
Esto es bastante difícil de realizar de manera segura, ya que casi se garantiza que cualquier aceptación de contraseñas que no sean su contraseña real será en detrimento de la seguridad, como se explica aquí .
Si no puede encontrar información en línea sobre el hecho de que la compañía esté haciendo este tipo de cosas (aunque, por su énfasis en el tamaño de la empresa, creo que podría ser Facebook), recomiendo comunicarse con ellos. Si son importantes, es probable que se les haya preguntado esto antes y que puedan responderle con relativa facilidad. Algunas compañías han publicado buzones de correo del equipo de seguridad a los que debería poder enviar esta pregunta.
La respuesta de @orbuculum tiene algunos buenos recursos sobre cómo manejar el lado de "qué debo hacer" de esto. Es un área difícil porque ambos extremos (es decir, reaccionar de forma exagerada y castigar al reportero en comparación con una reacción insuficiente e ignorar sus comunicaciones) parecen ser bastante comunes en las empresas, al menos en los informes en línea. Si la empresa es tan grande y popular como usted dice, no debería preocuparse por esto.
N.B: Mientras estaba en el agujero del conejo, también me topé con el hashing sensible a la localidad que analiza los métodos para hacer esto dentro del hash. función en sí misma.
¿Es este un fallo de seguridad? ¡Sí!
Si es así, ¿qué debo hacer con esta información?
Ponerse en contacto con su departamento de TI es una buena idea. Quiere darles tiempo para parchar la vulnerabilidad (dos semanas es el estándar). Si el departamento de TI no responde o soluciona el problema, luego comuníquese con otras personas de la empresa; , por ejemplo, la alta gerencia. Llegar a ellos por teléfono es probablemente la opción más eficiente, pero yo personalmente tomaría la ruta electrónica porque la documentación es importante cuando se trata de estos asuntos.
Si, después de todo esto, todavía , no han realizado ninguna acción para solucionarlo, tienes la opción de hacerlo público. Este documento debe explicar que ha intentado comunicarse con la empresa pero sus intentos pasaron desapercibidos. Algunos ven salir a bolsa como una responsabilidad social y ética, pero solo debes hacer esto como tu último paso. Querrás ponerte en contacto con ellos privadamente al principio por los motivos que se indican.
Aquí hay algunos documentos adicionales que debe leer antes de continuar:
Según su información, no se puede decir con seguridad si se trata de un problema de seguridad o no. La respuesta, en cambio, depende del tipo exacto de variaciones posibles, pero usted no proporciona esta información.
Por ejemplo, si un sitio está eliminando espacios en blanco de su contraseña, si ignora la mayúscula de las letras o si acorta la contraseña, podría considerarse lo suficientemente seguro siempre y cuando esta transformación no simplifique la contraseña hasta una seguridad. nivel que haría prácticamente factibles ataques como la fuerza bruta.
Si, por el contrario, el sitio, por ejemplo, solo compara tantos caracteres como ingresó como en la vulnerabilidad reciente en la autenticación Intel AMT o en este error en el intercambio de archivos de Windows desde 2000 entonces definitivamente sería un problema.
Lea otras preguntas en las etiquetas passwords disclosure ethics exploit password-cracking