¿Cómo debo responder a una seguridad de contraseña deficiente?

25

La escuela de mi hijo utiliza un tercero para manejar los pagos de matrícula y cuotas. Recientemente me he dado cuenta de que fallan completamente en el área de seguridad de contraseña.

  • El mes pasado enviaron una declaración a mi casa. Incluida con la declaración había una carta que tenía mi nombre de usuario y mi contraseña .
    • ¡OH NOES! ¡No cifran sus contraseñas!
  • Tuve algunos problemas para iniciar sesión, así que hice clic en el enlace "Olvidé mi contraseña". Me enviaron por correo electrónico mi nombre de usuario y mi contraseña .
    • ¡YIKES! ¿Simplemente lo envían a través de un correo electrónico sin cifrar de esa manera?
  • Inicié sesión y fui a cambiar mi contraseña. Después de enviar mi nueva contraseña, la siguiente pantalla mostró mi nombre de usuario y la nueva contraseña en la pantalla.
    • YOWZER !!! ¿No saben que hay una razón por la cual el campo de contraseña muestra esos pequeños puntos en lugar de las letras que escribe el usuario?

Dado que la compañía tiene información personal (números de tarjetas de crédito, números de cuentas bancarias, etc.), esto es increíblemente preocupante. Si se equivocaron, ¿qué más se han equivocado? Apuesto a que hay una vulnerabilidad de inyección SQL allí esperando a ser explotada.

Ahora me gustaría un consejo sobre qué hacer. He enviado un correo electrónico a la empresa infractora, explicando qué están haciendo mal en términos de seguridad de contraseña.

Voy a hablarlo con la escuela, pero me temo que cualquier discusión sobre la importancia de la seguridad de la contraseña se encontrará con miradas confusas y miradas en blanco. Pero si puedo decirles "Esta compañía está violando la regulación X para la protección de la información financiera del consumidor", entonces podrían entender lo que estoy tratando de decir.

¿Existen leyes / regulaciones que protejan a las personas de este tipo de prácticas de seguridad negligentes? Especialmente con compañías que manejan información financiera del consumidor.

Si no responden y mejoran su seguridad, ¿hay alguna agencia de supervisión a la que pueda informarles?

¿Alguna otra recomendación sobre lo que puedo o debo hacer?

Editar:

Yo, el tercero y la escuela están ubicados en los EE. UU.

Esta tercera parte es una empresa que ofrece un servicio de 'gestión de matrículas', que (según su sitio web) es utilizado por más de 2000 escuelas. En lugar de enviar pagos a la escuela, enviamos nuestros pagos a esta compañía. Se ocupan del depósito, contabilidad y cobro de la escuela. Para los padres, puede revisar su factura y enviar pagos en línea, además de simplemente enviarles un cheque.

Espero que la escuela en sí no sea responsable de nada, ya que la falla es totalmente de esta otra compañía.

Editar # 2:

Gracias a todos por las sugerencias.

La escuela tiene un contrato con la compañía que prohíbe a la escuela aceptar pagos directamente. Pagué la matrícula 2011-2012 antes de que el contrato entrara en vigor, por lo que pude pagar con cheque a la escuela.

La escuela requiere que todos tengan una cuenta con la tercera parte. Afortunadamente para mí, la única información personal mía que tiene la empresa es mi nombre y dirección de correo, y lo que solía ser una contraseña muy buena :-(

En este punto, no hay ninguna manera jodida que pagaré con tarjeta de crédito o giro bancario a través de esta empresa. Pagar con cheque es una opción, pero no está claro si mi cheque el próximo año puede extenderse a la escuela o si tiene que pasar por la tercera parte.

    
pregunta leedm777 14.11.2011 - 18:50
fuente

4 respuestas

16

No enumera de dónde es, por lo que estas respuestas asumen que vive en los EE. UU.

Los procesadores de tarjetas de crédito deben respetar algo llamado PCI-DSS (Normas de seguridad de datos de la industria de tarjetas de pago). Establece cómo se supone que los datos se deben manejar y almacenar, y (algunos realmente grandes) penalizaciones por fallas. Las empresas más grandes (como las cadenas minoristas) se auditan, los grupos más pequeños pueden obtener exenciones. La clave de las discusiones aquí es que todos los números de tarjetas de crédito (y alguna información adicional), así como las contraseñas de los administradores del sistema (como mínimo), deben mantenerse encriptados tanto como sea posible (especialmente en el almacenamiento).

Sin embargo, la escuela podría estar manejando su tarjeta de crédito de manera segura, mientras maneja el resto de la seguridad de manera deficiente. Por favor considere:

  • ¿Puedes ver el número completo de tu tarjeta de crédito? Si es así, me alarmaría, aunque la compañía podría necesitar alguna forma de revertir el descifrado para manejar cosas como las reversas.
  • Además de pagar la matrícula de su hijo, ¿qué más se puede hacer en este sitio? Es poco probable que pueda comprar algo en Ebay desde allí, por lo que una contraseña insegura puede no ser un problema (solo use una contraseña diferente).

Por lo tanto, pueden tener problemas de seguridad, o se pueden relajar deliberadamente para permitir un sistema "más amigable". Dado el comportamiento del sistema, usted tiene tiene una causa legítima para preguntárselo. Si sus respuestas indican una seguridad inadecuada / inexistente, usted debería solicitar una contabilidad, como mínimo, haciendo que el sitio web esté fuera de línea e informándolos si es necesario (tenga en cuenta que esto aumentará los costos de matrícula si se imponen multas).

EDITAR:

Si la escuela no está manejando directamente el número de la tarjeta de crédito o cualquier información de pago relacionada, no es responsable de las infracciones de PCI (de las que tengo conocimiento). Esta es una de las muchas razones por las que muchos sitios web descargan pagos a servicios como Paypal: ya no son responsables (el cumplimiento es HARD ). Yo diría que tienen la obligación de seleccionar un procesador seguro y confiable, pero no sé si alguna vez los demandaría por eso, es el pago responsabilidad de la empresa de actuar adecuadamente (ese es el servicio que están proporcionando).

El almacenamiento de las contraseñas de los usuarios finales en texto sin formato es molesto, pero esto puede no ser un problema. Envíeles un correo electrónico / carta que haga referencia a este hecho (especialmente el hecho de que le enviaron una carta con la contraseña de texto sin formato), y pregunte qué ocurre. Nuevamente, si su información de pago no es (completamente) visible para usted, puede aún ser manejada de manera segura (si se muestra, informe). De lo contrario, dado el dominio financiero restringido (probablemente extremadamente), es poco probable que un atacante pueda hacer con la información; pagar su propia matrícula sería una especie de sorteo, si es posible. .

Si todavía está preocupado, elimine toda su información, pague con cheque y notifique a su escuela sobre sus inquietudes.

    
respondido por el Clockwork-Muse 14.11.2011 - 19:14
fuente
9

Primero, nunca use su tarjeta de débito en ese sitio. Solo use una tarjeta de crédito, si es absolutamente necesario usar ese sitio. Con las tarjetas de crédito, usted está protegido contra transacciones fraudulentas y, a menudo, no tiene responsabilidad, o muy poca ($ 50). Con las tarjetas de débito, es posible que recupere su dinero eventualmente, pero aún estará fuera de su bolsillo hasta que lo haga ...

No proporcione ningún dato a ese sitio que no sea absolutamente necesario. Tome cualquier información bancaria de ese sitio. Un sitio que es inseguro, está pidiendo problemas reales si alguien obtiene su nombre de usuario / contraseña (lo que parece plausible), y luego tiene su nombre, dirección, información de CC, información bancaria, etc.

Si el sitio web almacena su número CCV después de la autorización, eso es una violación. Si solo están almacenando el número y su otra información, pueden estar dentro de los límites del cumplimiento de PCI.

Tenga una buena lectura del requisito # 3 del estándar PCI, para ver si observa alguna violación de eso. Sin embargo, PCI realmente tiene que ver con los datos de la tarjeta y el titular de la tarjeta, y el manejo / retención de esos datos, y no creo que tenga ningún requisito relacionado con las contraseñas de los sitios web.

@ X-Zero ya mencionó el cumplimiento de PCI, aquí están las direcciones URL y de correo electrónico para cada una de las principales marcas a las que podría enviar un correo electrónico para solicitar su opinión de un sitio que también alberga números de tarjetas de crédito. Existe una buena posibilidad de que si su contraseña no está encriptada, tampoco lo sea ninguna otra información en el sitio.

American Express

  • enlace
  • Correo electrónico para América del Norte: AmericanExpressDataSecurity at aexp.com

Descubrir

  • enlace
  • Correo electrónico: askdatasecurity at discover.com

JCB

  • enlace
  • Correo electrónico: riskmanagement at jcbati.com

MasterCard

  • enlace
  • Correo electrónico: sdp at mastercard.com

Visa Estados Unidos

  • enlace
  • Correo electrónico: cisp at visa.com

Visa también mantiene una lista de procesadores de pago compatibles con PCI, por lo que podría alentar a la escuela a que elimine a un proveedor de esa lista, si el manejador no está en ella.

Si aún se siente incómodo al tratar con este procesador, puede comenzar a escribir cheques, o usar el servicio de pago de facturas de su banco para recortar cheques, a la escuela si ese es el tipo de procesador de pagos que van a usar, y dejar claro que la escuela con la que no está de acuerdo con la elección del proveedor y que se siente extremadamente incómodo con el manejo de la organización de lo que debería ser información confidencial.

Desafortunadamente, hay muchas personas involucradas en áreas de manejo de información en las que realmente no tienen la experiencia para hacerlo correctamente, y en algunos casos ni siquiera son conscientes de que hay pautas y mejores prácticas que seguir, pero conocen a alguien que conoce a alguien, y obtuvieron una máquina procesadora de tarjetas de crédito, crearon un sitio web y terminaron con un contrato para procesar los pagos de una escuela.

Es un mundo aterrador si pasas demasiado tiempo pensando en ello.

    
respondido por el Tim Kennedy 14.11.2011 - 20:29
fuente
6

Hablando en la práctica: aléjate . Supongo que no está obligado de alguna manera a usar esta empresa, puede enviar un cheque en lugar de usar el sitio web de la compañía de procesamiento de matrículas.

La razón por la que digo que simplemente se marcha es porque los procedimientos de manejo de contraseñas deficientes son probablemente un síntoma de una falta de idea de seguridad más profunda. (Si no pueden obtener las contraseñas correctas, ¿cuánto está dispuesto a apostar para que no exista una vulnerabilidad de inyección SQL que permita a alguien acceder a toda la base de datos, incluidos los números de tarjeta y los datos personales? No es una pregunta hipotética: su dinero está en la línea.)

Antes de cancelar su cuenta:

  • Borre los detalles de su tarjeta de crédito, o edítelos en algo falso.
  • Mezcla tu información personal: edita tu dirección, número de teléfono, correo electrónico, a algo falso.

Si está dispuesto a realizar un esfuerzo adicional (posiblemente mucho), explique a los funcionarios escolares que canceló su cuenta, explíqueles por qué y ofrézcales ayuda para seleccionar otro proveedor cuando el contrato con el actual el proveedor expira.

    
respondido por el bstpierre 14.11.2011 - 22:26
fuente
2

Me encanta la respuesta de X-Zero. Todo se reduce a: qué datos están protegidos por el sistema con contraseñas mal, en comparación con el sistema de otra parte. Hay leyes que protegen la información de la tarjeta de crédito, como lo mencionó X-Zero. También existen diferentes leyes en diferentes estados que protegen la "información personal", como su dirección, fecha de nacimiento y otros datos personales. Se complica ya que la compañía que brinda el servicio puede no estar ubicada en el mismo estado que usted y la escuela, y las variaciones en la cobertura legal en términos de la ubicación del servicio (los servidores de la compañía) en comparación con la ubicación de la infracción ( Su casa, el correo, etc. pueden hacer que la ejecución sea todo un desafío. Entonces, en el sentido práctico, sí, hay leyes, pero a menos que esté interesado en invertir mucho dinero en este esfuerzo, es poco probable que obtenga una protección fácil y barata de estas leyes.

Fallbacks en un sentido más práctico:

  • el extremo: inspecciona otros sistemas de matrícula escolar y mueve una escuela que tome más en serio tu privacidad. A mí me parece extremo, pero es probable que sea la forma más contundente de hacer entender este punto.

  • menos extremo: insista en la facturación en papel o cualquier otro mecanismo que implique no tener una cuenta en línea.

  • menos extremo: se queja tanto de la escuela como de la empresa. Con la compañía, explique en detalle y haga referencia a las leyes que cree que están siendo violadas. Con la escuela, calmar el problema y recomendar alternativas. Según mi experiencia, los sistemas educativos están perjudicando a la gente de tecnología inteligente, y usted puede hacer las cosas a su manera si se ofrece voluntariamente para ayudar y hacerse cargo del problema.

  • enfoque en la protección: establezca una tarjeta de crédito con un límite bajo que pueda usar únicamente para esto. Hay cosas tales como los números "temporales" y otras protecciones ofrecidas por las compañías de tarjetas de crédito que limitan el daño de la explotación del número de tarjeta. Si no puede reparar el sistema, limite el daño.

  • mantenga sus datos en buena forma: revise regularmente las facturas de las tarjetas de crédito expuestas, verifique su informe de crédito, etc. utilizando.

respondido por el bethlakshmi 14.11.2011 - 22:15
fuente

Lea otras preguntas en las etiquetas