Se elaborano i pagamenti tramite carta di credito, devono mantenere la conformità PCI-DSS. Puoi sempre segnalare una violazione . Potrebbero potenzialmente inviare un auditor e insistere sulle riparazioni. L'intero processo richiederebbe probabilmente un anno o più. Non mi sorprende se ci stanno già lavorando, supponendo che tu abbia trovato un problema in buona fede.

Se una società ti invia i dettagli di accesso in testo normale, sia quelli esistenti che quelli nuovi, puoi pubblicizzarli pubblicamente.

Plain Text Offenders è un sito in cui puoi pubblicare la loro stupidità semplicemente inviando uno screenshot dell'email offendente. Fai attenzione a non inserire dettagli sensibili. È un sito che vale la pena tenere d'occhio, quindi sai quali aziende evitare di utilizzare.

Sembra che Western Digital non abbia un team di sicurezza che puoi contattare direttamente sulle vulnerabilità. Infatti, ho trovato un post sul loro sito di supporto in cui si chiedeva esplicitamente perché non ci fosse un indirizzo email o una chiave PGP da usare per le vulnerabilità e nessuno da WD ha risposto.

Ciò che ho trovato è che qualcuno ha affermato che era necessario segnalare una vulnerabilità e una persona di supporto ha risposto che avrebbe inviato un messaggio privato alla persona. Ti suggerisco di fare altrettanto.

Penso che questo probabilmente rientra nella divulgazione responsabile. Ci sono alcuni passi da fare che sono già stati citati in isolamento, ma dovrebbero probabilmente essere presi come parte di un approccio olistico al problema.

La prima cosa che dovresti fare è segnalare il problema al team di supporto.

Descrivi i passaggi da eseguire per replicare il problema (ad esempio recupera la password, ricevi la password in formato testo) e includi informazioni su ciò che rivela su come gestiscono le password e perché questa è una cattiva idea.

Includerei anche alcune notizie su problemi di simmer in passato per fornire un contesto, ad esempio questo su PlusNet .

Spiegherei loro che se non hanno risolto il problema con x giorni (90 giorni mi sembrano ragionevoli) intendete agire.

Di 'loro che cos'è questa azione. Ad esempio, si ritiene che stiano elaborando le carte di credito, quindi si intende segnalare una violazione PCI. Spiega chiaramente che se il problema non viene risolto, intendi rivelare pubblicamente il problema. (Post sul blog, social media, segnalando i media specializzati, i siti 'shaming' ecc.)

Un paio di cose da ricordare è che, anche se sono in errore, impiegheranno un po 'di tempo per implementare il cambiamento (sebbene siano dubbi) potrebbero non fare attenzione al problema a causa della mancanza di investimenti e / o abilità nell'IT squadra, quindi agisci in buona fede e concedi loro una quantità ragionevole di tempo per effettuare il cambiamento.

La seconda cosa che dovresti fare è seguire oltre quanto sopra.

Il problema qui ovviamente è che questa stessa domanda è saltata direttamente alla divulgazione pubblica.

Dato che, includerei un collegamento a questa domanda, visto che un gruppo di professionisti della sicurezza che discutono sul problema sicuramente affideranno la mente del sysadmin (e se così non fosse, Western Digital dovrebbe cercare un nuovo amministratore di sistema)

Le password in chiaro non sono il tuo problema (= utente)

Dovresti considerare la password come un segreto condiviso - supponiamo che sia tu che WD lo sappiate. Dopotutto, ogni volta che accedi al loro sito, dici "Ciao, mi chiamo Douglas Gaskell e la mia password è Correct Horse Battery Staple, per favore fammi entrare". Se i cattivi hackerano il loro sito, non hanno bisogno della tua password - probabilmente hanno comunque accesso ai tuoi dati. Ashley Madison ha fatto le password degli hash degli utenti, ma questa non è stata una grande consolazione dopo la violazione dei dati.

I proprietari dei siti non devono archiviare le password in chiaro a causa dei pericoli del riutilizzo delle password, ma in primo luogo non dovresti riutilizzare le tue password. Scegli password forti e uniche per ogni sito . In questo modo, le password memorizzate in testo non sono un problema. Se ha riutilizzato la tua password WD su altri siti, modificala su WD e su ogni altro sito, se possibile.

Non perdere tempo

Gli utenti non possono controllare se le loro password sono sottoposte a hash o no. Le grandi aziende hanno motivi per archiviare le password in forma recuperabile (il che non implica necessariamente un testo in chiaro), o fingere di averne una o semplicemente non le interessa. Il loro sistema di password è probabilmente usato da più servizi, alcuni di essi potrebbero essere dei mainframe terribilmente legacy. È improbabile che cambi la loro politica sulla password.

A proposito

La memorizzazione della password in forma recuperabile non implica l'archiviazione in testo in chiaro. Potrebbe essere crittografato.

TL; DR: Usa password complesse, non riutilizzarle, tenerle in buone password, abilitare Two Factor Authentication per account che sono preziosi per te e non preoccuparti di cose che non puoi controllare.