Sí, este es un problema de seguridad legítimo, pero menos grave que la mayoría. Considere estas circunstancias:
-
Todos los usuarios con las 5 contraseñas más comunes son tostadas. Por ejemplo, Password1!
de un usuario perezoso puede ser la contraseña más probable para cumplir con los requisitos de seguridad de la empresa.
-
Los datos adicionales podrían estar asociados con nombres de usuario conocidos.
Por ejemplo, si mi nombre de usuario es examplesmith
y encuentras [email protected]
, es muy probable que esta sea la misma persona.
Además, puede buscar en línea y posiblemente encontrar el nombre completo de esta persona, o incluso el teléfono celular y la dirección postal.
Con información adicional asociada (avanzada), puede enviar algunos correos electrónicos de Phishing bastante convincentes. Como mínimo, puede incluir el nombre de usuario (simple) en el correo electrónico de Phishing para hacerlo más convincente.
Incluso los ataques de Phishing no exitosos pueden reducir la confianza del usuario en el sistema de la compañía.
Como puede ver, saber qué nombres de usuario son válidos no es algo serio, pero puede ser útil para realizar otros tipos de ataques en el sistema.
Como dice @Marcel states , OWASP reconoce esto como legítimo problema.
Si este problema en particular es aceptable o no, depende de la naturaleza de los servicios de esta compañía. (es decir, está bien para sitios de juegos simples, pero nunca para banca en línea)