Soy miembro del personal de un gran sitio de fanfics, pero no soy el administrador principal con control sobre el sitio en sí.
Recientemente, tuvimos un fallo de seguridad y las bases de datos se copiaron, lo que incluía los nombres de usuario, correos electrónicos y hashes de contraseña de los usuarios. Pusimos un aviso en la página principal que le dice a la gente que fuimos hackeados y que deberían cambiar sus contraseñas en cualquier otro lugar donde usen la misma contraseña.
Sin embargo, durante una reunión de personal, tuvimos la oportunidad de ver la estructura del servidor. Resulta que todo era MD5, con la misma sal para cada usuario.
He estado tratando de convencer al resto del equipo de que esta es una situación muy mala. No creo que entiendan lo fácil que es para alguien romper la mayoría de esas contraseñas en poco tiempo, a pesar de todo lo que he hecho para explicar los conceptos básicos de la salazón y por qué el MD5 es demasiado rápido para ser una buena contraseña de seguridad. estado recomendando bcrypt). Si los usuarios comprometidos usan las mismas contraseñas en otros sitios, también corren el riesgo de verse comprometidos allí.
Pero lo más importante, les he estado implorando que envíen un correo electrónico a los usuarios, porque simplemente publicar un aviso rápido en la página principal no llegará a todos. Sus principales contraargumentos:
-
Tenemos una capacidad limitada para enviar tantos correos electrónicos desde nuestro servidor, por lo que no es posible llegar a todos. (Luego recomendé Mailchimp, pero esto era "demasiado caro" y les pido que hagan "más de lo que harían las grandes empresas, que tienen más recursos").
-
Si la contraseña de alguien es lo suficientemente débil como para ser descifrada tan rápidamente, no tiene sentido enviarla por correo electrónico porque el atacante ya los habría comprometido.
-
Nuestro objetivo principal es parchear la seguridad en el futuro, no preocuparnos por el pasado.
He estado tratando de contrarrestar estos argumentos porque creo que no son excusas responsables o justificadas, pero parece que estoy fallando. Parece un gran riesgo tener una fuga de información como esta cuando la seguridad es tan pobre, y luego no informar adecuadamente a los usuarios (directamente por correo electrónico) de que necesitan cambiar sus contraseñas. Poner un aviso en la página principal o confiar en el boca a boca, para mí, no es suficiente y no necesariamente llegará a los usuarios inactivos que todavía tienen cuentas en el sitio (que son muchas, si no la mayoría).
¿Estoy exagerando? ¿Estoy esperando demasiado de ellos? ¿No es razonable que espere que envíen un correo electrónico a todos? ¿Estoy sobrestimando la gravedad de la situación?
¿Qué más puedo hacer o decir en esta situación?