Hace un par de años solía iniciar sesión en un determinado sitio web. Recientemente recibí un correo electrónico que sugería que debía renovar mi membresía, y ese correo electrónico incluía mi contraseña anterior. Así es, mi antigua contraseña fue enviada por correo electrónico para ser literalmente a través de SMTP.
Eso implicaba dos cosas:
-
Almacenan contraseñas como texto no cifrado en lugar de hashes de una sola vía, lo que hace que la información de todos los miembros actuales y antiguos sea muy vulnerable.
-
Envían esas contraseñas en correos electrónicos sin cifrar, lo que hace que la información de sus miembros sea extremadamente vulnerable.
Así que fui a su sitio web para ver a quién contactar para corregir estos errores de seguridad y, para mi sorpresa, ¡encontré estos enormes agujeros de seguridad por diseño! Específicamente, hice clic en el botón para recordarme mi contraseña y recibí este correo electrónico:
Usted, o alguien que se hace pasar por usted, ha solicitado un recordatorio de contraseña para su membresía en la lista de correo "el sitio web".
....
Está suscrito con la dirección: "mi correo electrónico, sin cifrar"
Su contraseña "del sitio web" es: "mi contraseña anterior, sin cifrar"
Por lo tanto, envié un correo electrónico al webmaster que figura en el sitio; Desafortunadamente, el correo electrónico se recuperó como imposible de entregar. No estoy empleado en ese sitio, pero me parece difícil ignorar el problema porque eso dejaría a miles de usuarios actuales y antiguos muy vulnerables. El sitio web no es una tienda general local, pertenece a un conocido laboratorio (entre ingenieros de software) en una universidad importante y puede tener miles de cuentas de usuario.
Por lo tanto, la pregunta: ¿qué pasos adicionales puedo / debo tomar para mejorar la seguridad de TI?