web-dev-qa-db-ja.com

雇用主は私が人事機能のために私が安全でないと信じているウェブサイトを使用させます。何をすべきか?

私の仕事で、給与、休暇時間、人事データを自分で表示できるようにするには、サードパーティのWebサイトにログインする必要があります。

私は決してセキュリティのエキスパートやエキスパートのプログラマではありませんが、ロックアウトされることなく間違ったパスワードを試し続けることができると(単に試すだけで)わかるでしょう。 (総当たり:実行可能)

ログイン後、最初の車のナンバープレート(車を3/7所有していない)、配偶者の2番目名前(配偶者を持たない3/6)、最初の子供の2番目の名前(子供を持たない3/5)、生年月日、私の高校の名前、好きなペット、好きな映画または好きな音楽。

私のFacebookから得ることができるこれらのほとんどのもの(私は注意すべきですが、何年も更新されていません!)は、基本的なセキュリティプラクティスに対する明確な理解の欠如を示しています。

私はまた、彼らが信じられないほど古いソフトウェアを使用している開発者ツールを通してサイトを見ていることからも感じています

A JavaScript implementation of the RSA Data Security, Inc. MD5 Message
* Digest Algorithm, as defined in RFC 1321.
* Version 2.1 Copyright (C) Paul Johnston 1999 - 2002.

私は会社を通じてこれを報告しましたが、上司はそれほど興味を示していないようです。

どうすればいいですか:

A.このサイトが本当に安全かどうかは、私が思っているほどわかりませんか?

B. trueの場合:これを会社自体に(できれば匿名で)適切な方法で伝達する

64
A. Nony-Mous

簡単なビットから始めましょう。質問への回答として実際の情報を入力する必要はありません。ランダムな文字列は、本当に偏執的で、パスワードと同じようにパスワードマネージャーに格納する場合に最適です。

残りの部分(ブルートフォース保護なし、潜在的に古いソフトウェア)は残念ですが、セキュリティの観点からは何もできません。人事/給与について問題を提起し、調査するように依頼します。ヨーロッパにいる場合は、DPOに連絡して、「データプロセッサ」が調査が必要な問題のあるアカウントセキュリティ慣行を持っていることを提案することもできます。

それ以外の場合、これは内部のオフィスの政治問題です。

106
schroeder

私にとって、これはあなたがそれが安全でないと自信を持って言うほど十分に調査していないと言います。特定の直接的な悪用を示したり、実際に彼らのシステムを掘り起こしたりはしていません(ハッキングではなく、一種の方法で突っ込んでいます)。このことの直接の証拠がないため、上司は興味がないかもしれません。

例として、私の仕事では休暇をスケジュールするためにサードパーティのサイトを使用していますが、正確なパスワードを電子メールでプレーンテキストで送り返すことで自分のパスワードを「回復」できることがわかりました。これは、私ができる問題の直接の証拠です報告する。同様に、一部のITサービス(SIPトランク)に使用されるサイトには、URLのIDを変更し、(驚いたことに)他の人のアカウント情報をもう一度表示できるという別の直接的な証拠があるという問題がありました。現在、あなたは疑いを持っており、明白なものはありません。

余談ですが、パスワードのリセットに関するすべてのセキュリティの質問は、共通の情報に依存しているため、安全ではありません。他の人が示唆しているように、ここには偽の答え(まだ覚えていることができます)または完全にランダムに生成された文字列を入れることができます。セキュリティの質問は、最も一般的な意味での「文字列」から「文字列」へのセキュリティの課題と考えることができます。

29

どうすればいいですか:

A.このサイトが本当に安全かどうかは、私が思っているほどわかりませんか?

具体的で悪用可能な問題を目撃しない限り、実際にはできません。それがinfosec企業が行うことであり、彼らは積極的にシステムを破壊しようとします(所有者の同意を得て)。彼らは、HTTPSの代わりにHTTPを使用する、Cookieの安全でない使用法、XSS、SQLインジェクションなどの単純なものから、そのようなアプリケーションを体系的に採用するための多くの手順とテクニックを知っています。順番に試してみてください)、ブラウザでのみ確認されているもの(簡単に偽造されたものなど)などです。

また、ブラックボックスアプローチとホワイトボックスアプローチを組み合わせることができます(つまり、ハッカー/クラッカーが行うように、外から見たり、実際にソースコードを調べたり、提供されたアカウントでサーバーに入力したりするなど)。

あなたはそれをすべて自分で行うことができますが、あなたが尋ねているように、あなたは明らかに方法が本当にわかりません。しかし、主な問題は、最初に同意を得ずにそれを行った場合、完全に法律に違反していなくても、少なくとも灰色の領域にいることです。

B. trueの場合:これを会社自体に(できれば匿名で)適切な方法で伝達する

あなたは(匿名で、少なくとも)できません。専用のCISOがある場合は、彼が最初の攻撃ラインになります。それを除けば、特に小規模な企業では、経営陣がそれをすくめるだけではできることはほとんどありません。

特定の政府機関が関心を持つ可能性がある特定の状況があると思います。たとえば、あなたの会社がfor厳格なセキュリティ要件のある地域の政府で働いている場合です。その後、明らかにあなたはどこかに匿名のメッセージを送ろうとするかもしれませんが、なぜ彼らはあなたの人事情報を気にかけますか...

しかし、一般的に、恣意的な企業には、「運命はないが、私たち自身のために何をするか」という言葉が当てはまるでしょう。

6
AnoE

推測しなければならないのであれば、このサービスは、関連する負荷を処理するためにプロビジョニングが不十分であるという単純な利点により、ブルートフォース攻撃に対しても回復力があると思います。推測が速すぎると、サーバーがフォールオーバーし、何が起こっているかを管理者に警告します。遅すぎると、妥当な期間で成功を期待できるほど速く推測することができません。

これを他の人からの提案に加えて、虚偽の情報を使用するようにしてください。注意しても、サービスはまったく脆弱ではありません。 「私は」と言ったことに注意してください。残念なことに、あなたが暗示したように、裏で他に何があるのか​​についての自信が持てないようです。

私自身は実際にそれ以上テストするつもりはありませんが、これが他の多くの会社で使用されている製品である場合は、実際のセキュリティ研究の耳にバグを入れてみてください。倫理的な方法で、法的な放射性降下物に対処する準備を整えます。あなたが自分の地域で唯一の技術志向の人である場合は、サービスを「安全に」使用する方法について同僚に警告することもできます。

1
Joel Coehoorn

私はあなたが正しいと思います-それはおそらく、サイトは潜在的にかなり安全ではないようです。それらはいくつかの赤旗であり、全体は少し臭いに聞こえます。 MD5は暗号的に安全でないと広く考えられています。

そうは言っても、「私は何をしますか?」多くのセキュリティ関連のシナリオを悩ませているものです。実行するアクションにはコストとメリットがあり、アクションの正しい選択は、環境と個々のシナリオのニュアンスに大きく依存します。どんな業界で働いていますか?システムに保存している情報はどのくらい価値がありますか?おそらく最も重要なこととして、あなたの会社はセキュリティ慣行の変化をどのように受け入れますか?

これらはすべて、あなたが答える必要のある関連する質問であり、Internet™の私たちの誰もが助けることができないものです。安全でない慣行を含む状況にどのように対処するかというあらゆる質問において、企業環境の微妙さ-個人の作業履歴、会社のつながりの性質、関係を悪化させるリスクのレベル-を知ることは、次に何をすべきかを定義します。

私が得ようとしていることは、私たちの誰もあなたにこれに答える資格を本当に持っていないようです。潜在的なオプションは無限にあり、最善の行動は、実際にはここでは伝えられない詳細レベルでの状況に依存します。

幸運を!

1
securityOrange