Employer me hace usar lo que creo que es un sitio web inseguro para las funciones de recursos humanos. ¿Qué hacer?

Navega tus respuestas
64

En mi trabajo, para poder ver mis cheques de pago, las horas de vacaciones y los datos de recursos humanos sobre mí mismo, necesito iniciar sesión en un sitio web de terceros.

De ninguna manera soy un experto en seguridad o un programador experto, pero podría decir (simplemente al intentarlo) que podría continuar intentando contraseñas incorrectas sin ser bloqueado. (fuerza bruta: viable)

Después de iniciar sesión, me vi obligado a seleccionar 3 preguntas de seguridad predeterminadas en el caso de un restablecimiento de contraseña (¡de un total de 8!) como la placa de mi primer automóvil (nunca tuve un auto 3/7), el segundo nombre de mi cónyuge (no tengo un cónyuge 3/6), segundo nombre de mi primer hijo (no tengo hijos 3/5), fecha de nacimiento, nombre de mi escuela secundaria, mascota favorita, película favorita o pieza musical favorita .

¡La mayoría de estas cosas que simplemente puede obtener de mi facebook (que, debo señalar, no se han actualizado durante años!) nuevamente, mostrando una clara falta de comprensión en las prácticas de seguridad básicas.

También me da la sensación de haber mirado el sitio a través de las herramientas para desarrolladores que usan software increíblemente obsoleto 

A JavaScript implementation of the RSA Data Security, Inc. MD5 Message
* Digest Algorithm, as defined in RFC 1321.
* Version 2.1 Copyright (C) Paul Johnston 1999 - 2002.

Informé de esto a través de mi compañía, pero mis superiores no parecen tan interesados.

¿Cómo me dirigiría?

A. ¿Averiguar si este sitio es realmente tan inseguro como creo que es?

B. Si es verdadero: comunicar esto de manera adecuada a la propia empresa. (preferiblemente de forma anónima)

    
pregunta A. Nony-Mous 15.11.2018 - 11:50
fuente

6 respuestas

104

Para comenzar con la parte fácil: no es necesario que coloque información real como respuesta a las preguntas. Las cadenas aleatorias funcionan mejor si usted es realmente paranoico y las almacena en un administrador de contraseñas al igual que una contraseña.

El resto (sin protección de fuerza bruta, software potencialmente desactualizado) es una vergüenza, pero no hay nada que pueda hacer, desde una perspectiva de seguridad. Yo plantearía el problema con Recursos Humanos / Nómina y les pediría que investigaran. Si se encuentra en Europa, también puede hablar con su DPO para sugerir que su "Procesador de datos" tiene prácticas de seguridad de cuenta problemáticas que deben investigarse.

De lo contrario, esto es más un problema de política interna de la oficina.

    
respondido por el schroeder 15.11.2018 - 12:00
fuente
29

Para mí, esto dice que no has investigado lo suficiente como para decir con confianza que es inseguro. No ha mostrado ningún exploit directo en particular ni ha incursionado realmente en su sistema (de una forma que no sea de piratería, hurgando). Sus superiores pueden no estar interesados debido a la falta de evidencia directa de esto.

Como ejemplo, mi trabajo utiliza un sitio de terceros para programar vacaciones. Descubrí que me permite "recuperar" mi contraseña enviando mi contraseña exacta de nuevo en texto sin formato por correo electrónico, eso es una prueba directa de un problema. que puedo informar Del mismo modo, un sitio utilizado para algunos servicios de TI (SIP Trunk) tuvo un problema en el que podía cambiar los ID en la URL y (para mi sorpresa) ver la información de la cuenta de otras personas, otra vez, otra línea directa de evidencia. En este momento, solo tienes sospechas, y no obvias.

Además, todas las preguntas de seguridad para restablecer las contraseñas son inseguras, ya que se basan en información común. Como otros lo han sugerido, puedes poner respuestas falsas aquí (que aún puedes recordar) o cadenas generadas de forma totalmente aleatoria. Puede considerar las preguntas de seguridad como un desafío de seguridad "Cadena" a "Cadena" en el sentido más genérico.

    
respondido por el Jarrod Christman 15.11.2018 - 16:10
fuente
6
  

¿Cómo me dirigiría?

     

A. ¿Averiguar si este sitio es realmente tan inseguro como creo que es?

Realmente no puede, a menos que sea testigo de un problema concreto y explotable. Eso es lo que hacen las empresas infosec, intentan romper sistemas activamente (con el consentimiento de los propietarios). Saben muchos procedimientos y técnicas para tomar sistemáticamente una aplicación de este tipo, desde cosas simples como el uso de HTTP en lugar de HTTPS, el uso inseguro de cookies, XSS, inyección de SQL, pero también otras cosas como las identificaciones que obviamente se cuentan simplemente (lo que significa que puede solo inténtelos secuencialmente, las cosas solo se verifican en el navegador (se falsifican fácilmente), y así sucesivamente.

También pueden combinar enfoques de blackbox con whitebox (es decir, mirar desde afuera, como haría cualquier hacker / cracker, o estudiar realmente el código fuente, ingresar a los servidores con las cuentas proporcionadas, etc.). / p>

Puedes hacer todo eso por ti mismo, pero como estás preguntando, obviamente no sabes cómo. Pero el problema principal es que si lo hicieras, sin obtener primero el consentimiento, estarías al menos en territorio gris, si no se rompe la ley.

  

B. si es verdadero: comunicar esto de manera adecuada a la propia compañía (preferiblemente de forma anónima)

No puedes (anónimamente, al menos). Si hay un CISO dedicado, él sería tu primera línea de ataque; pero aparte de eso, especialmente en las empresas más pequeñas, es poco lo que puede hacer si su administración simplemente se encoge de hombros.

Supongo que puede haber circunstancias específicas en las que a alguna agencia gubernamental le interese, por ejemplo, si su empresa trabaja para el gobierno en un área que tiene estrictos requisitos de seguridad; luego, obviamente, podrías intentar enviar un mensaje anónimo a algún lugar, pero ¿por qué les importaría tu información de recursos humanos ...

Pero en general, para las compañías arbitrarias, se aplicará el dicho "No hay suerte, sino lo que hacemos para nosotros mismos".

    
respondido por el AnoE 16.11.2018 - 00:24
fuente
1

Si tuviera que adivinar, apostaría a que el servicio también es resistente a los ataques de fuerza bruta, por el simple hecho de no tener suficiente provisión para manejar la carga involucrada. Vaya demasiado rápido con las conjeturas, y el servidor se caerá, alertando a los administradores sobre lo que está sucediendo. Vaya demasiado lento y no está adivinando lo suficientemente rápido como para esperar el éxito en un período de tiempo razonable.

Agregue esto a la sugerencia de otros para usar información falsa, y el servicio no es vulnerable en absoluto si tiene cuidado ... al menos, no de la manera que se informa hasta ahora. Tenga en cuenta que dije, "si". Parece un diseño desafortunado que, como mencionaste, no genera confianza en lo que podría estar detrás de escena.

No intentaría probar nada más a mí mismo, pero si este es un producto que utilizan muchas otras compañías, podría intentar poner un error en el oído de un verdadero investigador de seguridad, quién sabrá cómo hacerlo. Pruébelo de manera ética y esté mejor preparado para enfrentar cualquier consecuencia legal. Si usted es la única persona con mentalidad técnica en su área de trabajo, es posible que también desee alertar a los compañeros de trabajo sobre cómo utilizar el servicio "de manera segura".

    
respondido por el Joel Coehoorn 16.11.2018 - 21:19
fuente
1

Creo que tienes razón, parece que, probablemente, el sitio es potencialmente bastante inseguro. Esas son algunas banderas rojas, y todo esto suena un poco mal. MD5 es ampliamente considerado criptográficamente inseguro.

Dicho esto, la pregunta "¿qué hago?" es uno que plaga muchos escenarios relacionados con la seguridad. Hay un costo y un beneficio para cualquier acción que tome, y la elección correcta de la acción depende en gran medida de su entorno y los matices de su escenario individual. ¿En qué tipo de industria trabajas? ¿Qué valor tiene la información que está almacenando en el sistema? Quizás lo más importante, ¿qué tan receptivo es su empresa para cambiar las prácticas de seguridad?

Estas son todas las preguntas relevantes para que las responda y con las cuales ninguno de los que estamos aquí en Internet ™ podemos ayudarlo. En cada pregunta sobre cómo manejar una situación que involucra prácticas inseguras, conocer las sutilezas de un entorno corporativo: los historiales de trabajo de los individuos, la naturaleza de sus conexiones de empresa, el nivel de riesgo de las relaciones agrias, define qué hacer a continuación.

A lo que estoy tratando de llegar es, me parece que ninguno de nosotros está realmente calificado para responder esto por ti. Existe una variedad infinita de opciones potenciales, y el mejor curso de acción realmente depende de su situación con un nivel de detalle que no es realmente transferible aquí.

¡Buena suerte!

    
respondido por el securityOrange 17.11.2018 - 02:02
fuente
-2

Si es un profesional de TI, puede leer el ACM Code of Ethics , que es la ética más completa. Código en TI hoy.

La sección 1.2 dice: "Un profesional de la computación tiene la obligación adicional de informar cualquier signo de riesgo del sistema que pueda resultar en daño. Si los líderes no actúan para reducir o mitigar tales riesgos, puede ser necesario" hacer sonar el silbato "para reducir el daño potencial. Sin embargo, El informe caprichoso o mal orientado de los riesgos puede ser dañino. Antes de informar sobre los riesgos, un profesional informático debe evaluar cuidadosamente los aspectos relevantes de la situación ".

    
respondido por el papajony 15.11.2018 - 15:43
fuente

Lea otras preguntas en las etiquetas

Seguridad popular "Cargo Cults" ¿Cómo algunos sitios (por ejemplo, bancos en línea) solo piden caracteres específicos de una contraseña sin almacenarlos como texto sin formato?