¿Qué hacer si me quedo con un sitio web que tiene poca seguridad?

154

Tengo una cuenta de préstamo estudiantil con una compañía, no la compañía más grande pero lo suficientemente grande como para que puedan actuar juntos. Hoy no pude recordar mi contraseña para iniciar sesión en el panel de mi cuenta. Hice clic en "Olvidé mi contraseña" y me pidieron 5 preguntas. Nombre, Apellido, SSN pasado de 4 dígitos, cumpleaños y código postal. Toda la información que sea fácilmente adquirible si se esfuerza lo suficiente, sin mencionar toda la información que se incluye en sus correos electrónicos periódicos sobre pagos. Al ingresar la información, el sitio responde diciendo que he sido autenticado y me da mi contraseña en texto sin formato.

Así que ahora no solo es increíblemente fácil recuperar los detalles de la contraseña perdida, sino que ni siquiera la envían a su correo electrónico, solo la muestran en la pantalla, además de que almacenan la contraseña en texto sin formato en la base de datos. Esta es una cuenta que tiene los detalles de mi préstamo de miles de dólares, así como los detalles de mi banco para pagos automáticos. Afortunadamente, el único detalle que no se proporciona es mi nombre de usuario, que es mi SSN completo, por lo que es el último hilo de seguridad; sin embargo, si almacenan las contraseñas sin daños, estoy seguro de que mi SSN tampoco lo está haciendo, lo que es aún peor.

Entonces, mi pregunta es que, dado que este es un préstamo que no puedo dejar de lado, ¿cuáles son las precauciones o pasos que puedo tomar para hacer que esto sea más seguro? ¿Valdría la pena enviarles un correo electrónico y acosarlos para mejorar su seguridad o debería pagar lo más rápido posible y salir? Si les advierto, ¿a qué tipo de amenaza debo decir que son vulnerables con la esperanza de asustarlos en un parche?

    
pregunta DasBeasto 16.03.2016 - 14:44
fuente

5 respuestas

90

Si le preocupa la privacidad de su contraseña y, por lo tanto, su cuenta (que debería ser el caso), debe tratar de educar al servicio al cliente. Las preguntas frecuentes del desarrollador del proyecto público de avergonzar para este tipo de imprudencia enumera algunos puntos buenos y vale la pena leerlos.

Además, debe señalar que se siente inseguro y perder la confianza en la empresa y los hará responsables de cualquier problema que surja de esta prohibición.

También debe documentar ese comportamiento e intentar obtener una cotización por escrito sobre su punto de vista si no ven una razón para solucionar este problema. Por lo tanto, si surge algún problema, le facilitará todo el proceso desde un punto de vista legal.

Además de eso, al enviar el sitio a infractores de texto simple , proporcionará un punto de vista de terceros, que podría ayudar a su caso.

Además, asumo que usa una contraseña única segura para ese sitio y espero que siempre lo haya hecho.

Si no, trata esto como una fuga regular , cambiando todas tus contraseñas (y en esa ocasión, asegúrate de usar contraseñas únicas para cada servicio)

    
respondido por el Tobi Nary 16.03.2016 - 15:01
fuente
118

Las instituciones financieras en los Estados Unidos están obligadas por la Gramm-Leach-Bliley Act a garantizar la seguridad y confidencialidad de la información personal. Lo que describe es una violación flagrante de las Regla de salvaguardias .

Inmediatamente presentaría una queja ante la FTC .

    
respondido por el Emmet 16.03.2016 - 22:08
fuente
6

Puede informar de esto a los administradores del sitio, pero en el caso probable de que el correo electrónico sea recogido por los servicios al cliente, es poco probable que se entienda.

Esperemos que sea elevado a un equipo de desarrollo que esperemos lo entienda.

Sin embargo, es posible que desee instar a la cautela, ya que si no se le entiende bien, no quiere ser acusado de piratería.

Alternativamente en el Reino Unido, por ejemplo, la "ley de protección de datos" es una legislación para proteger contra tal mal manejo. La "oficina de comisionados de información" maneja las quejas. En particular, hay una declaración en el sitio gov.uk para contactar al ICO si:

  

Presentar una queja

     

Si cree que sus datos han sido mal utilizados o que la   La organización que lo posee no lo ha mantenido seguro, debe comunicarse con ellos.   y diles.

     

Si no está conforme con su respuesta o si necesita algún consejo,   debe ponerse en contacto con la Oficina del Comisionado de Información (ICO).

enlace

El ICO es un recurso útil: enlace

El Reino Unido es particularmente bueno y sospecho que otros países tienen legislaciones similares en vigor, sin embargo, ciertamente otros países no son tan próximos.

    
respondido por el Alex KeySmith 18.03.2016 - 19:07
fuente
3

¿Puede actualizar cualquiera de esa información personal y darles fake ligeramente alterados pero aún valores válidos? Dales un código postal muy cercano (preferiblemente el número 9) que el cartero aún podría descifrar para entregarte el correo. O "escribiste mal mi apellido, es DasBeesto no DasBeasto"

¿Puedes cambiar tu nombre de usuario a algo altamente aleatorio?

Asegúrese de usar una contraseña larga y exclusiva para ese sitio, que no tenga ninguna relación con las contraseñas que usa en otros sitios (no rAnD0m-sitex por ejemplo)

    
respondido por el Neil McGuigan 16.03.2016 - 19:38
fuente
2

En lugar de proporcionar sus datos bancarios al administrador del préstamo, proporcione los datos de la cuenta del préstamo a su servicio de pago bancario.

En realidad, esta es una buena idea en general: colocar información menos comprometida bajo el cuidado de una cuenta más valiosa evita el problema de la "escalada de privilegios".

Además, si no está seguro de que el administrador del préstamo realmente borró los datos bancarios que les proporcionó anteriormente, informe a su banco sobre la situación. Le emitirán nuevos números de cuenta y revocarán los conocidos por el sitio inseguro, y posiblemente también presionarán al administrador del préstamo para que limpie su acta.

    
respondido por el Ben Voigt 20.03.2016 - 02:26
fuente

Lea otras preguntas en las etiquetas