Informes de incumplimiento

3

Soy miembro del personal de un gran sitio de fanfics, pero no soy el administrador principal con control sobre el sitio en sí.

Recientemente, tuvimos un fallo de seguridad y las bases de datos se copiaron, lo que incluía los nombres de usuario, correos electrónicos y hashes de contraseña de los usuarios. Pusimos un aviso en la página principal que le dice a la gente que fuimos hackeados y que deberían cambiar sus contraseñas en cualquier otro lugar donde usen la misma contraseña.

Sin embargo, durante una reunión de personal, tuvimos la oportunidad de ver la estructura del servidor. Resulta que todo era MD5, con la misma sal para cada usuario.

He estado tratando de convencer al resto del equipo de que esta es una situación muy mala. No creo que entiendan lo fácil que es para alguien romper la mayoría de esas contraseñas en poco tiempo, a pesar de todo lo que he hecho para explicar los conceptos básicos de la salazón y por qué el MD5 es demasiado rápido para ser una buena contraseña de seguridad. estado recomendando bcrypt). Si los usuarios comprometidos usan las mismas contraseñas en otros sitios, también corren el riesgo de verse comprometidos allí.

Pero lo más importante, les he estado implorando que envíen un correo electrónico a los usuarios, porque simplemente publicar un aviso rápido en la página principal no llegará a todos. Sus principales contraargumentos:

  1. Tenemos una capacidad limitada para enviar tantos correos electrónicos desde nuestro servidor, por lo que no es posible llegar a todos. (Luego recomendé Mailchimp, pero esto era "demasiado caro" y les pido que hagan "más de lo que harían las grandes empresas, que tienen más recursos").

  2. Si la contraseña de alguien es lo suficientemente débil como para ser descifrada tan rápidamente, no tiene sentido enviarla por correo electrónico porque el atacante ya los habría comprometido.

  3. Nuestro objetivo principal es parchear la seguridad en el futuro, no preocuparnos por el pasado.

He estado tratando de contrarrestar estos argumentos porque creo que no son excusas responsables o justificadas, pero parece que estoy fallando. Parece un gran riesgo tener una fuga de información como esta cuando la seguridad es tan pobre, y luego no informar adecuadamente a los usuarios (directamente por correo electrónico) de que necesitan cambiar sus contraseñas. Poner un aviso en la página principal o confiar en el boca a boca, para mí, no es suficiente y no necesariamente llegará a los usuarios inactivos que todavía tienen cuentas en el sitio (que son muchas, si no la mayoría).

¿Estoy exagerando? ¿Estoy esperando demasiado de ellos? ¿No es razonable que espere que envíen un correo electrónico a todos? ¿Estoy sobrestimando la gravedad de la situación?

¿Qué más puedo hacer o decir en esta situación?

    
pregunta user49749 22.06.2014 - 17:01
fuente

2 respuestas

1

No estás exagerando en absoluto. Es COMPLETAMENTE irresponsable negarse a hacer algo más. Incluso si un usuario está inactivo, necesita que su cuenta esté segura.

Su jefe claramente no entiende la gravedad de esta situación. Con MD5 sin sal, la mayoría de las contraseñas ya están almacenadas en una tabla de arco iris junto con los hashes correspondientes. Ahora mismo puedes hacer un hash MD5 en Google y encontrar la contraseña correspondiente.

Si tiene la función de restablecimiento de contraseña a través del correo electrónico, ¿por qué no obliga a los usuarios a cambiar su contraseña la próxima vez que inicien sesión? Entonces, cualquier persona que intente usar una cuenta comprometida necesitará la cuenta de correo electrónico del usuario para probar que son ellos quienes están cambiando la contraseña. Como ya tiene hashes de contraseñas y es posible que no pueda obtener el original, es probable que la mejor solución sea que los usuarios cambien su contraseña, ya que puede crear nuevos hashes de bcrypt.

Si la mayoría de sus usuarios están inactivos, esta es una gran solución ya que no tendrá que enviar cientos de miles de correos electrónicos en un día. Puedes enviarlos a través del tiempo.

Si no quiere tener que preocuparse por esto, esto le retendrá en el futuro, notifique a los usuarios después de cierta cantidad de inactividad (quizás, 1 año) que tienen que cambiar su contraseña o se eliminará su cuenta. Usted puede extender esto a través del tiempo. Y no hacerlo todo en el día exactamente un año a partir de ahora. Pero en lugar de eso, distribúyalo en aproximadamente un mes.

    
respondido por el Phoenix Logan 22.06.2014 - 17:58
fuente
1

Qué hacer desde un punto de vista ético y qué hacer desde un punto de vista legal es completamente diferente. Primero que todo deberías haber realizado la respuesta al incidente. Una de las cosas más importantes que se aprenden de la respuesta a la incidencia es saber:

  • Lo que pasó
  • ¿Cuándo sucedió?
  • ¿Cómo sucedió?
  • ¿Cómo podemos evitar esto en la función?

Su compañía obviamente se detuvo en el tercer punto y no hay ninguna preocupación por avanzar. Además, su personal no es un equipo de comunicaciones, también es negligente con ciertos requisitos legales. No estoy seguro de dónde vive, pero dentro de la EU allí ya existen leyes y precedentes que se pueden utilizar en los tribunales si uno de sus usuarios decide presentar cargos por filtrar datos personales. Si su empresa no se lo comunicó a sus usuarios ni a la policía, existe la posibilidad de que su empresa y también su administración puedan rendir cuentas:

  

La Comisión ha establecido nuevas normas específicas para garantizar que   Las violaciones de datos personales en el sector de las telecomunicaciones de la UE se notifican en el   De igual manera en cada Estado miembro. La Directiva de Privacidad de 2002 requiere   Los operadores de telecomunicaciones y los proveedores de servicios de Internet para mantener personal   Datos confidenciales y seguros. Sin embargo, a veces los datos son robados o   perdido o accedido por personas no autorizadas. Estos casos son conocidos como   'violaciones de datos personales'. Bajo la Directiva de ePrivacy revisada   (2009/136 / EC), cuando se produce una violación de datos personales, el proveedor debe   Informe esto a una autoridad nacional específica. Además, el proveedor tiene   Informar directamente al suscriptor en cuestión cuando sea probable que se produzca la infracción.   Afectar adversamente los datos personales o la privacidad. Para garantizar la coherencia   la aplicación de las normas sobre violación de datos en los Estados miembros,   La Comisión ha adoptado "medidas técnicas de ejecución": prácticas   normas para complementar la legislación existente - sobre las circunstancias,   Formatos y procedimientos para los requisitos de notificación. Estas reglas   ayudará a asegurar que todos los clientes reciban el equivalente   tratamiento en toda la UE en caso de una violación de datos, y que las empresas   pueden adoptar un enfoque paneuropeo de estos problemas si operan en más   de un país.

Para los Estados Unidos, las leyes también son muy claras , mientras que es dependiente del estado, un ejemplo para California se puede encontrar a continuación:

  

La primera ley de este tipo, la notificación de violación de seguridad de datos de California   Ley SB 1386, Cal. Civ. Los códigos 1798.82 y 1798.29, fueron promulgados en 2002.   y entró en vigencia el 1 de julio de 2003. 2 Según se describe en el cuenta   declaración, la ley requiere "una agencia estatal, o una persona o negocio que   Realiza negocios en California, que posee o licencia informatizada.   datos que incluyen información personal, como se define, para revelar en   formas especificadas, cualquier violación de la seguridad de los datos, tal como se define, para   cualquier residente de California cuya información personal no cifrada sea,   o si se cree razonablemente que ha sido adquirido por un no autorizado   "Además, la ley permite la notificación demorada" si una ley   La agencia de ejecución determina que impediría a un criminal   investigación. "La ley también requiere que cualquier entidad que   información para notificar al propietario o licenciatario de la información de cualquier   violación de la seguridad de los datos.

Si bien una notificación es técnicamente también "por escrito", es probable que surja una discusión si esto llega a un tribunal. El juez tendrá que decidir si usted actuó en consecuencia para cumplir con la ley. Si le informan que tiene las direcciones de correo electrónico, lo más probable es que se decida que no cumple con la ley y que se apliquen sanciones civiles y penales para su empresa y su administración. Si su personal es parte de asesoramiento en este tema, se considerará como gerencia.

    
respondido por el Lucas Kauffman 22.06.2014 - 19:01
fuente

Lea otras preguntas en las etiquetas