¿Qué puedo / debo hacer con respecto a la falta de seguridad de TI en otra empresa?

1

Hace un par de años solía iniciar sesión en un determinado sitio web. Recientemente recibí un correo electrónico que sugería que debía renovar mi membresía, y ese correo electrónico incluía mi contraseña anterior. Así es, mi antigua contraseña fue enviada por correo electrónico para ser literalmente a través de SMTP.

Eso implicaba dos cosas:

  1. Almacenan contraseñas como texto no cifrado en lugar de hashes de una sola vía, lo que hace que la información de todos los miembros actuales y antiguos sea muy vulnerable.

  2. Envían esas contraseñas en correos electrónicos sin cifrar, lo que hace que la información de sus miembros sea extremadamente vulnerable.

Así que fui a su sitio web para ver a quién contactar para corregir estos errores de seguridad y, para mi sorpresa, ¡encontré estos enormes agujeros de seguridad por diseño! Específicamente, hice clic en el botón para recordarme mi contraseña y recibí este correo electrónico:

Usted, o alguien que se hace pasar por usted, ha solicitado un recordatorio de contraseña para su membresía en la lista de correo "el sitio web".

....

Está suscrito con la dirección: "mi correo electrónico, sin cifrar"

Su contraseña "del sitio web" es: "mi contraseña anterior, sin cifrar"

Por lo tanto, envié un correo electrónico al webmaster que figura en el sitio; Desafortunadamente, el correo electrónico se recuperó como imposible de entregar. No estoy empleado en ese sitio, pero me parece difícil ignorar el problema porque eso dejaría a miles de usuarios actuales y antiguos muy vulnerables. El sitio web no es una tienda general local, pertenece a un conocido laboratorio (entre ingenieros de software) en una universidad importante y puede tener miles de cuentas de usuario.

Por lo tanto, la pregunta: ¿qué pasos adicionales puedo / debo tomar para mejorar la seguridad de TI?

    
pregunta Michael 17.02.2017 - 18:31
fuente

0 respuestas

Lea otras preguntas en las etiquetas