Suponiendo que es la página de inicio de sesión real:
Sí, esto es muy inseguro según los estándares modernos, y más aún si se trata de transacciones monetarias reales.
Siempre existe la posibilidad de que la página se cargue en HTTP, pero luego se envíe a un servidor protegido por HTTPS. Eso aún sería malo, pero al menos sería "mejor". Sin embargo, confirmé que esto no sucede. Como estoy seguro de que sabe, esto permitiría que cualquier persona en su red local (o en cualquier lugar entre usted y su servidor) lea su nombre de usuario y contraseña.
Tampoco hay protección CSRF en el punto final de inicio de sesión; esto puede introducir muchas otras debilidades de seguridad más sutiles (aunque no tan graves como no cifrar sus credenciales de inicio de sesión).
El mejor de los casos es que la página en la que estás no se supone que sea la página de inicio de sesión principal, pero terminaste ahí por accidente y se olvidaron de eliminarla y dirigir a las personas a la página de inicio de sesión que es realmente segura.
Ejecuté el sitio web describiendo su seguridad a través de google translate. Obviamente, no será perfecto, pero ciertamente ofrece los aspectos más destacados:
- Nunca hemos tenido una brecha antes, ¡no hay nada de qué preocuparse!
- Tenemos un firewall super seguro
- ¡Usamos cifrado SSL!
- ¡Puedes cambiar tu contraseña!
- Puede denegar el acceso a su cuenta desde todos los dispositivos excepto uno
- Puede ver cuándo / dónde se conectó por última vez
- Puede recibir un mensaje de texto cada vez que alguien inicie sesión
- Incluso si alguien ingresara su dinero estaría seguro porque no permitimos transferencias a ninguna cuenta que usted no haya especificado e indicado en su contrato
No me tomaría muy en serio nada de eso, especialmente en vista de su incapacidad para proporcionar el cifrado SSL en la página de inicio de sesión, que es probablemente la página más importante de todas. Dadas sus prácticas laxas, supongo que tienen agujeros de seguridad en otras partes de su sistema. Que alguien haya tenido una violación o no es algo que nadie sabrá, lo que debería decir es:
Si alguna vez hemos tenido una infracción, al menos no lo sabemos. ¡Prometemos que no estamos mintiendo!
Si realmente nunca han tenido una violación, es probable que nadie se haya molestado en intentar atacarlos, y no debido a las buenas prácticas de seguridad. Ni siquiera me tomaría en serio el punto # 8. Se sorprendería de lo que la gente dice que los técnicos de soporte de cuenta hacen, e incluso si un atacante no puede robar su dinero de forma activa, esto no significa que no puedan causarle daños graves si ingresan a su cuenta.