No es tanto una vulnerabilidad técnica, sino una práctica de seguridad descuidada por parte de una consultora de diseño web. Utilizan un CMS que han aumentado con un inicio de sesión de administrador. A medida que sucede, los usuarios administradores se almacenan en una tabla y el campo de la contraseña es de texto simple.
Habiendo visto qué nombre de usuario / contraseña usaron para el sitio de mi cliente, estoy 99% seguro de que es la misma contraseña en otros sitios que han diseñado. Una docena de su cartera tiene un formulario de inicio de sesión de administrador idéntico, pero obviamente no puedo probar legalmente si el sitio es vulnerable, porque la única forma de hacerlo sería intentar iniciar sesión.
¿Sería un curso de acción razonable contactar a estos sitios individualmente, informarles sobre mi sospecha y sugerir cómo pueden solucionarlo?
Y lo que es más importante, ¿me estoy poniendo en riesgo al hacerlo? Los propietarios más inteligentes se darán cuenta de que si son vulnerables, también lo son los otros sitios de la cartera, y podrían hacer cosas desagradables, al mismo tiempo que les digo a esos sitios que saben cómo acceder a sus áreas de administración. Suena como si los dedos pudieran apuntarme hacia mí. ¿Alguna sugerencia?