La escuela de mi hijo utiliza un tercero para manejar los pagos de matrícula y cuotas. Recientemente me he dado cuenta de que fallan completamente en el área de seguridad de contraseña.
- El mes pasado enviaron una declaración a mi casa. Incluida con la declaración había una carta que tenía mi nombre de usuario y mi contraseña .
- ¡OH NOES! ¡No cifran sus contraseñas!
- Tuve algunos problemas para iniciar sesión, así que hice clic en el enlace "Olvidé mi contraseña". Me enviaron por correo electrónico mi nombre de usuario y mi contraseña .
- ¡YIKES! ¿Simplemente lo envían a través de un correo electrónico sin cifrar de esa manera?
- Inicié sesión y fui a cambiar mi contraseña. Después de enviar mi nueva contraseña, la siguiente pantalla mostró mi nombre de usuario y la nueva contraseña en la pantalla.
- YOWZER !!! ¿No saben que hay una razón por la cual el campo de contraseña muestra esos pequeños puntos en lugar de las letras que escribe el usuario?
Dado que la compañía tiene información personal (números de tarjetas de crédito, números de cuentas bancarias, etc.), esto es increíblemente preocupante. Si se equivocaron, ¿qué más se han equivocado? Apuesto a que hay una vulnerabilidad de inyección SQL allí esperando a ser explotada.
Ahora me gustaría un consejo sobre qué hacer. He enviado un correo electrónico a la empresa infractora, explicando qué están haciendo mal en términos de seguridad de contraseña.
Voy a hablarlo con la escuela, pero me temo que cualquier discusión sobre la importancia de la seguridad de la contraseña se encontrará con miradas confusas y miradas en blanco. Pero si puedo decirles "Esta compañía está violando la regulación X para la protección de la información financiera del consumidor", entonces podrían entender lo que estoy tratando de decir.
¿Existen leyes / regulaciones que protejan a las personas de este tipo de prácticas de seguridad negligentes? Especialmente con compañías que manejan información financiera del consumidor.
Si no responden y mejoran su seguridad, ¿hay alguna agencia de supervisión a la que pueda informarles?
¿Alguna otra recomendación sobre lo que puedo o debo hacer?
Editar:
Yo, el tercero y la escuela están ubicados en los EE. UU.
Esta tercera parte es una empresa que ofrece un servicio de 'gestión de matrículas', que (según su sitio web) es utilizado por más de 2000 escuelas. En lugar de enviar pagos a la escuela, enviamos nuestros pagos a esta compañía. Se ocupan del depósito, contabilidad y cobro de la escuela. Para los padres, puede revisar su factura y enviar pagos en línea, además de simplemente enviarles un cheque.
Espero que la escuela en sí no sea responsable de nada, ya que la falla es totalmente de esta otra compañía.
Editar # 2:
Gracias a todos por las sugerencias.
La escuela tiene un contrato con la compañía que prohíbe a la escuela aceptar pagos directamente. Pagué la matrícula 2011-2012 antes de que el contrato entrara en vigor, por lo que pude pagar con cheque a la escuela.
La escuela requiere que todos tengan una cuenta con la tercera parte. Afortunadamente para mí, la única información personal mía que tiene la empresa es mi nombre y dirección de correo, y lo que solía ser una contraseña muy buena :-(
En este punto, no hay ninguna manera jodida que pagaré con tarjeta de crédito o giro bancario a través de esta empresa. Pagar con cheque es una opción, pero no está claro si mi cheque el próximo año puede extenderse a la escuela o si tiene que pasar por la tercera parte.