Il datore di lavoro mi fa usare quello che ritengo essere un sito web insicuro per le funzioni delle risorse umane. Cosa fare?

Naviga le tue risposte
64

Nel mio lavoro, per poter visualizzare i miei assegni, le ore di ferie e i dati relativi alle risorse umane su me stesso, devo accedere a un sito Web di terze parti.

Non sono affatto un esperto di sicurezza o un programmatore esperto ma potrei dire (semplicemente provando) che potrei continuare a provare password errate senza essere bloccato. (forza bruta: vitale)

Dopo l'accesso sono stato costretto a selezionare 3 domande di sicurezza predeterminate in caso di reimpostazione della password (su un totale di 8!) come la targa della mia prima auto (mai posseduta un'auto 3/7), Il secondo nome del mio coniuge (non ho un coniuge 3/6), 2 ° nome del mio primo figlio (non ho figli 3/5), data di nascita, nome del mio liceo, animale domestico preferito, film preferito o brano musicale preferito .

La maggior parte di queste cose che puoi semplicemente ottenere dal mio facebook, (che, dovrei notare, non è stata aggiornata per anni!) mostra ancora una netta mancanza di comprensione nelle pratiche di sicurezza di base.

Ho anche la sensazione che, guardando il sito attraverso gli strumenti di sviluppo, utilizzino software incredibilmente obsoleti 

A JavaScript implementation of the RSA Data Security, Inc. MD5 Message
* Digest Algorithm, as defined in RFC 1321.
* Version 2.1 Copyright (C) Paul Johnston 1999 - 2002.

L'ho segnalato tramite la mia compagnia, ma i miei superiori non sembrano così interessati.

Come andrei su:

A. Scoprire se questo sito è davvero insicuro come penso sia?

B. se è vero: comunicare questo in modo appropriato alla società stessa (preferibilmente in modo anonimo)

    
posta A. Nony-Mous 15.11.2018 - 11:50
fonte

6 risposte

104

Per iniziare con la parte più semplice: non è necessario inserire informazioni reali come risposte alle domande. Le stringhe casuali funzionano meglio se sei veramente paranoico e le memorizzi in un gestore di password proprio come una password.

Il resto (nessuna protezione bruta della forza, software potenzialmente obsoleto) è un peccato, ma non c'è nulla che tu possa fare, dal punto di vista della sicurezza. Vorrei sollevare il problema con HR / Payroll e chiedere loro di indagare. Se sei in Europa, puoi anche parlare con il tuo responsabile della protezione dei dati per suggerire che il loro "elaboratore di dati" abbia delle pratiche problematiche di sicurezza dell'account che devono essere esaminate.

Altrimenti, questo è più un problema di politica interna dell'ufficio.

    
risposta data 15.11.2018 - 12:00
fonte
29

Per me questo dice che non hai indagato abbastanza per dire con sicurezza che è insicuro. Non hai mostrato alcun particolare exploit diretto, né hai veramente scavato nel loro sistema (in un modo non hacking, che si aggira in un certo senso). I tuoi superiori potrebbero non essere interessati a causa della mancanza di prove dirette di ciò.

Ad esempio, il mio lavoro utilizza un sito di terze parti per pianificare le vacanze, ho scoperto che mi permette di "recuperare" la mia password inviando la mia password esatta in chiaro via e-mail, che è una prova diretta di un problema che posso segnalare. Allo stesso modo, un sito utilizzato per alcuni servizi IT (SIP Trunk) aveva un problema in cui potevo cambiare l'ID nell'URL e (con mia sorpresa) visualizzare le informazioni sull'account di altre persone, ancora una volta, un'altra linea diretta di prove. In questo momento, hai solo sospetti, e non ovvi.

Per inciso, tutte le domande di sicurezza per reimpostare le password non sono sicure, poiché si basano su informazioni comuni. Come altri hanno suggerito, puoi inserire risposte false qui (che puoi ancora ricordare) o stringhe generate interamente casualmente. Puoi pensare alle domande di sicurezza come una sfida di sicurezza "String" a "String" nel senso più generico.

    
risposta data 15.11.2018 - 16:10
fonte
6

How would I go about:

A. Finding out if this site is really as insecure as I think it is?

Davvero non puoi, a meno che tu non sia testimone di un problema concreto e sfruttabile. Questo è ciò che fanno le aziende infosec, cercano di rompere attivamente i sistemi (con il consenso dei proprietari). Conoscono molte procedure e tecniche per prendere sistematicamente un'applicazione del genere, da cose semplici come l'uso di HTTP invece di HTTPS, l'uso insicuri di cookie, XSS, SQL injection, ma anche altre cose come gli ID che sono ovviamente semplicemente contati (il che significa che puoi provali solo in sequenza), roba che viene controllata solo sul browser (facilmente falsificata), e così via e così via.

Possono anche combinare blackbox- con approcci whitebox (cioè, solo guardando dall'esterno, come farebbe qualsiasi hacker / cracker, o effettivamente studiando il codice sorgente, inserendo i server con gli account forniti e così via).

Potresti fare tutto da solo, ma come stai chiedendo, ovviamente non sai come. Ma il problema principale è che se lo facessi, senza prima aver ottenuto il consenso, saresti almeno in territorio grigio, se non addirittura violando la legge.

B. if true: communicating this in an appropriate manner to the company itself (preferably in an anonymous fashion)

Non puoi (in modo anonimo, almeno). Se c'è un CISO dedicato, sarebbe la tua prima linea di attacco; ma a parte questo, specialmente nelle aziende più piccole, c'è poco che puoi fare se la tua gestione si limita a scrollarle di dosso.

Immagino che possano esserci circostanze specifiche in cui alcune agenzie governative potrebbero essere interessate - ad esempio se la tua azienda lavora per il governo in un'area che ha severi requisiti di sicurezza; quindi, ovviamente, potresti cercare di ottenere un messaggio anonimo da qualche parte, ma perché dovrebbero preoccuparsi delle informazioni sulle risorse umane ...

Ma in generale, per le società arbitrarie, si applicherebbe il detto "Non c'è destino ma quello che facciamo per noi stessi".

    
risposta data 16.11.2018 - 00:24
fonte
1

Se dovessi indovinare, scommetto che il servizio è anche resiliente agli attacchi di forza bruta, per il semplice fatto di essere sottopagato per gestire il carico coinvolto. Vai troppo veloce con le ipotesi, e il server cadrà, avvisando gli amministratori di cosa sta succedendo. Vai troppo lento e non stai indovinando abbastanza velocemente da aspettarti il successo in un ragionevole periodo di tempo.

Aggiungi questo al suggerimento degli altri per usare false informazioni, e il servizio non è affatto vulnerabile se stai attento ... almeno, non nei modi riportati finora. Nota ho detto, "Se". Sembra un design sfortunato che, come hai accennato, non crea confidenza in quello che potrebbe essere dietro le quinte.

Non proverei a testare nulla di più da solo, ma se questo è un prodotto che viene utilizzato da molte altre aziende, potresti provare a mettere un bug nell'orecchio di una vera ricerca sulla sicurezza, che saprà come testarlo in modo etico ed essere meglio preparati ad affrontare eventuali ricadute legali. Se sei l'unica persona tecnicamente motivata nella tua zona al lavoro, potresti anche avvisare i colleghi di come utilizzare il servizio "in sicurezza".

    
risposta data 16.11.2018 - 21:19
fonte
1

Penso che tu abbia ragione - sembra che, probabilmente, il sito sia potenzialmente piuttosto insicuro. Quelle sono alcune bandiere rosse, e il tutto sembra un po 'puzzolente. MD5 è ampiamente considerato crittograficamente insicuro.

Detto questo, la domanda su "cosa faccio?" è uno che affligge un sacco di scenari legati alla sicurezza. C'è un costo e un vantaggio per ogni azione che intraprendi e la giusta scelta di azioni dipende in gran parte dal tuo ambiente e dalle sfumature del tuo scenario individuale. In che tipo di industria lavori? Quanto sono preziose le informazioni che stai memorizzando nel sistema? Forse la cosa più importante è quanto sia ricettiva la tua azienda a cambiare le pratiche di sicurezza?

Queste sono tutte le domande rilevanti a cui puoi rispondere e quelle che nessuno di noi qui su Internet ™ è in grado di fornire. In ogni domanda su come gestire una situazione che coinvolge pratiche insicure, conoscendo le sottigliezze di un ambiente aziendale - le storie di lavoro degli individui, la natura delle loro connessioni aziendali, il livello di rischio di relazioni di souring - definisce cosa fare dopo.

Quello che sto cercando di ottenere è che a me sembra che nessuno di noi sia veramente qualificato per rispondere a questo per te. Esiste una gamma infinita di potenziali opzioni e la migliore linea d'azione dipende veramente dalla tua situazione con un livello di dettaglio che non è realmente trasmissibile qui.

Buona fortuna!

    
risposta data 17.11.2018 - 02:02
fonte
-2

Se sei un professionista IT puoi leggere il ACM Code of Ethics , che è l'etica più completa codice in IT oggi.

La sezione 1.2 dice: "Un professionista informatico ha l'obbligo aggiuntivo di segnalare qualsiasi segno di rischio del sistema che potrebbe causare danni. Se i leader non agiscono per ridurre o mitigare tali rischi, potrebbe essere necessario" fischiare "per ridurre i potenziali danni. la segnalazione capricciosa o fuorviante dei rischi può essere di per sé dannosa: prima di segnalare i rischi, un professionista informatico dovrebbe valutare attentamente gli aspetti rilevanti della situazione. "

    
risposta data 15.11.2018 - 15:43
fonte

Leggi altre domande sui tag

I moduli di consenso sui cookie dell'UE sono sicuri? [chiuso] Sicurezza popolare "Culti del carico"