Recentemente, ho scoperto un difetto di sicurezza in un sito web aziendale. Questo sito Web ha una "Area partner" protetta da password e, come molti siti Web, fornisce un modulo per reimpostare la password dell'utente.
Quando un utente chiede la reimpostazione della password per il suo nickname, viene inviata una nuova password al suo indirizzo e-mail e tale password diventa immediatamente effettiva. Il problema è (se questo non era già un problema) che la nuova password è fissa, per tutti gli utenti. Quindi un utente malintenzionato può facilmente accedere a qualsiasi account.
Ora, le sole operazioni che un utente può eseguire all'interno dell'area dei partner sono:
- Visualizza / cambia l'indirizzo email
- Cambia password
- Scarica alcuni manuali e utilità (sicuramente non sono roba classificata)
- Compila un modulo di riparazione (quindi il processo continuerà per email)
- Scarica loghi e immagini per scopi di marketing
Le uniche cose che vedo per un aggressore malintenzionato da sfruttare sono:
- Impedisci l'accesso futuro a un utente legittimo (che probabilmente sarà in grado di eseguire nuovamente subito dopo una telefonata)
- Scopri le informazioni su chi sono i clienti dell'azienda (indovinando i soprannomi casuali e guardando il loro indirizzo email). Ad ogni modo, non è qualcosa che qualcuno manterrebbe un segreto.
Anche se sono sempre molto turbato da cose come queste, in questo caso devo ammettere che potrebbe non essere un grosso problema. Sono difetti come questo accettabili compromessi, in un contesto in cui non si possono causare danni?
Poiché penso che qualcuno abbia frainteso un dettaglio: quel sito web appartiene a un'azienda esterna. Non ho alcun ruolo nello sviluppo di quel sito web, e nessun controllo su alcuna decisione a riguardo.