web-dev-qa-db-ja.com

セキュリティが低いウェブサイトで立ち往生している場合はどうしますか?

私は最大の会社ではなく、彼らが一緒に行動すべき場所に十分な大きさの会社の学生ローン口座を持っています。今日、アカウントダッシュボードにログインするためのパスワードを思い出せませんでした。 「パスワードを忘れた」をクリックすると、5つの質問が表示されました。名、姓、最後の4桁のSSN、誕生日、および郵便番号。支払いに関する定期的な電子メールに含まれているすべての情報は言うまでもなく、十分に努力すれば簡単に取得できるすべての情報。情報を入力すると、サイトは「認証された」と応答し、パスワードをプレーンテキストで提供します。

そのため、紛失したパスワードの詳細を簡単に取得できるだけでなく、メールに送信することもありません。画面に表示するだけでなく、データベースにプレーンテキストでパスワードを保存します。これは、私の数千ドルのローンの詳細と自動支払いの銀行の詳細を含むアカウントです。幸い、詳細が示されていないのは私のユーザー名です。これは私の完全なSSNなので、これがセキュリティの最後のスレッドです。ただし、ハッシュ化されていないパスワードを保存している場合は、SSNも正しくないため、これがさらに悪化します。

だから私の質問は、これは私が立ち上げることはできず、去ることができないローンであるということです/これを潜在的により安全にするために私がとることができる予防策や手順は何ですか?彼らにメールを送ってバッジを付けてセキュリティをアップグレードする価値はあるでしょうか、それともできるだけ早く支払いを済ませて外に出るべきでしょうか?それらに警告する場合、それらをパッチに怖がらせるために、どのような種類の脅威に対して脆弱であると言えるでしょうか?

passwordsaccount-securityweb
151
DasBeasto

パスワードのプライバシー、したがってアカウント(そうである必要があります)が心配な場合は、カスタマーサービスの教育を試みてください。 開発者FAQ この種の無謀さに対する公の恥ずかしいプロジェクトのいくつかの良い点がリストされており、一読の価値があります。

また、不安を感じて会社への信頼を失い、この立ち入り禁止に起因する問題に対して責任を負うようになることを指摘しておく必要があります。

また、その動作を文書化し、これを修正する理由が見当たらない場合は、彼らの見解を書面で引用してもらう必要があります。したがって、問題が発生した場合、法的な観点から見ると、全体が簡単になります。

それ以外に、サイトを plaintext offenders に送信することにより、第三者の見解を提供することができます。

また、そのサイトには安全な一意のパスワードを使用していると思います。

そうでない場合、これを定期的なリークとして扱い、すべてのパスワードを変更します(その際、各サービスに固有のパスワードを使用してください)

91
Tobi Nary

米国の金融機関は、個人情報のセキュリティと機密性を確保するためにGramm-Leach-Bliley Actを義務付けられています。あなたが説明するのは、FTCの セーフガードルール の重大な違反です。

私はすぐに FTCに苦情を申し立てます

119
Emmet

これをサイトの管理者に報告することもできますが、電子メールが顧客サービスによってピックアップされる可能性が高い場合は、理解されない可能性があります。

うまくいけば、うまくいけば理解できる開発チームに昇格するでしょう。

ただし、ハッキングの罪に問われたくないのはひどく誤解されているかのように注意を促す必要があるかもしれません。

あるいは、たとえば英国では、「データ保護法」はそのような誤操作から保護するための法律です。 「情報コミッショナーオフィス」は苦情を処理します。特に、gov.ukサイトには、次の場合にICOに連絡する旨の声明があります。

苦情を申し立てる

データが悪用されたと思われる場合、またはデータを保持している組織がデータを安全に保持していないと思われる場合は、データに連絡して通知する必要があります。

それらの応答に不満がある場合、またはアドバイスが必要な場合は、情報コミッショナーのオフィス(ICO)に連絡してください。

https://www.gov.uk/data-protection/make-a-complaint

ICOは便利なリソースです: https://ico.org.uk/

英国は特に優れており、他の国でも同様の法律が制定されているのではないかと思いますが、確かに他の国々はそうではありません。

6
Alex KeySmith

その個人情報を更新して提供できますか  少し変更されましたが、まだ有効な値ですか?同様に、郵便配達員があなたに郵便物を配達するために依然として理解できる非常に近い郵便番号(できれば9桁)を彼らに与えます。または「私の姓のスペルを間違えました。DasBeastoではなくDasBeestoです」

ユーザー名をランダムなものに変更できますか?

そのサイトには、他のサイトで使用しているパスワードとはまったく関係のない長い一意のパスワードを使用してください(たとえば、Rand0m-sitexではありません)。

3
Neil McGuigan

銀行の詳細をローン管理者に提供する代わりに、ローンのアカウント詳細を銀行の請求サービスに提供します。

これは実際には一般的に良いアイデアです。より価値の高いアカウントの管理下に、妥協の少ない情報を配置することで、「特権の昇格」の問題を回避できます。

また、ローン管理者が以前に提供した銀行の詳細を実際にスクラブしたことに自信がない場合は、銀行に状況を伝えてください。彼らはあなたに新しい口座番号を発行し、安全でないサイトで知られているものを取り消すでしょう、そしておそらく彼らの行為を片付けるようローン管理者に圧力をかけるでしょう。

2
Ben Voigt