web-dev-qa-db-ja.com

大企業の不適切なパスワードセキュリティポリシーに対処する方法

Western Digitalのパスワードをリセットしに行ったところ、オンラインフォームでパスワードを変更する代わりに、プレーンテキストのパスワードがメールで送られてきました。サイトがドライブの支払いを受け入れ/処理するので、これは本当に心配です。以前にこのサイトで支払いを行ったことがあります。

その対策として、当サイトで使用しているパスワードを漏洩したように扱い、使用した他のすべてのサイトで一意の新しいパスワードを確保しています。念のために。

パスワードポリシーを修正するように彼らを成功裏に奨励する可能性が最も高い方法でこれに対処する最良の方法は何ですか?

98
Douglas Gaskell

クレジットカードで支払いを処理する場合、PCI-DSSコンプライアンスを維持する必要があります。いつでも 違反を報告 できます。彼らは監査人を派遣し、是正を要求する可能性があります。プロセス全体にはおそらく1年以上かかります。彼らがすでにそれに取り組んでいるとしても、あなたが善意の問題を見つけたとしても、私は驚かないでしょう。

86
John Wu

会社からログインの詳細がプレーンテキストで送信されてきた場合は、既存のものか新しいものかを公に恥じることができます。

プレーンテキストの違反者 は、問題の電子メールのスクリーンショットを送信するだけで愚かさを投稿できるサイトです。機密情報を空白にしないように注意してください。目を離さない価値のあるサイトなので、どの会社を使うのを避けるべきか知っています。

38
Chenmunka

Western Digitalには、脆弱性について直接連絡できるセキュリティチームがないようです。実際、私は彼らのサポートサイトに、脆弱性に使用する電子メールアドレスやPGPキーがなく、WDの誰も応答しなかった理由を具体的に尋ねる投稿を見つけました。

私が見つけたのは 脆弱性を報告する必要があると誰かが言った であり、サポート担当者がその人にプライベートメッセージを送ると答えた。同様に行うことをお勧めします。

34
Swashbuckler

これはおそらく責任ある開示に該当すると思います。あなたが取るべきいくつかのステップがあります。それらはすでに分離して述べられていますが、おそらく問題への全体的なアプローチの一部として取られるべきです。

最初にすべきことは、サポートチームに問題を報告することです。

問題を再現するために実行する手順の詳細(パスワードの回復、プレーンテキストでのパスワードの受信)と、パスワードの処理方法について明らかになった情報、およびこれが悪い考えである理由を含めます。

これはPlusNetに関するもの など、コンテキストを提供するために過去のこれまでの煮沸問題に関するいくつかのニュース記事も含めます。

x日(私にとっては90日間の継ぎ目)で問題が解決しない場合は、アクションを実行するつもりであることを説明します。

このアクションとは何かを伝えます。たとえば、クレジットカードを処理していると信じているため、PCI違反を報告しようとしているとします。問題が解決しない場合は、問題を公開するつもりであることを明確に説明してください。 (ブログの投稿、ソーシャルメディア、専門のメディアの報告、サイトの「共有」など)

覚えておかなければならないのは、彼らが責任を負っていない場合でも、変更の実装にはしばらく時間がかかることです(ただし、疑わしいことですが)、ITチームの投資やスキルが不足しているため、問題に気付かない可能性があります。誠実に行動し、変更を行うための妥当な時間を彼らに与えます。

secondあなたがしなければならないことは、上記に従っていることです。

もちろん、ここでの問題は、この質問そのものが公の開示に直接スキップされたことです。

それを踏まえて、この問題へのリンクを含めます。問題について話し合っているセキュリティ専門家の束を見ることは間違いなくシステム管理者の心を鋭くするので(そしてそれができない場合、Western Digitalは新しいシステム管理者を探すべきです)

12
TheJulyPlot