Come dovrei rispondere alla scarsa sicurezza della password?

25

La scuola di mio figlio utilizza una terza parte per gestire le tasse scolastiche e i pagamenti delle tasse. Recentemente mi sono reso conto che falliscono completamente nell'area della sicurezza delle password.

  • Il mese scorso hanno inviato una dichiarazione a casa mia. Incluso nella dichiarazione c'era una lettera con il mio nome utente e password .
    • OH NOES! Non crittografano le loro password!
  • Ho avuto qualche problema nell'accedere, quindi ho fatto clic sul link "Ho dimenticato la password". Hanno inviato per email il mio nome utente e la password .
    • YIKES! Lo spediscono tramite e-mail non crittografati in questo modo?
  • Connesso e andato a cambiare la mia password. Dopo aver inviato la mia nuova password, la schermata successiva mostrava il mio nome utente e la nuova password sullo schermo.
    • yowzer !!! Non sanno che c'è una ragione per cui il campo della password mostra quei puntini al posto delle lettere che l'utente digita?

Dato che l'azienda ha informazioni personali (numeri di carte di credito, numeri di conto bancario, ecc.), questo è incredibilmente preoccupante. Se hanno sbagliato, cos'altro hanno sbagliato? Scommetto che c'è una vulnerabilità di SQL injection che aspetta solo di essere sfruttata.

Ora vorrei qualche consiglio su cosa fare. Ho inviato un'email alla società incriminata, spiegando cosa stanno facendo di sbagliato in termini di sicurezza della password.

Ho intenzione di parlarne con la scuola, ma temo che qualsiasi discussione sull'importanza della sicurezza delle password sarà soddisfatta con sguardi confusi e sguardi indiscreti. Ma se posso dire loro "Questa azienda sta violando il regolamento X per la protezione delle informazioni finanziarie dei consumatori", allora potrebbero capire cosa sto cercando di dire.

Esistono leggi / regolamenti che proteggono le persone da questo tipo di pratiche di sicurezza negligenti? Soprattutto con le aziende che gestiscono le informazioni finanziarie dei consumatori.

Se non rispondono e migliorano la loro sicurezza, c'è un'agenzia di monitoraggio a cui posso riferire?

Qualche altro consiglio su cosa posso o dovrei fare?

Modifica

I, la terza parte e la scuola si trovano tutti negli Stati Uniti.

Questa terza parte è un'azienda che offre un servizio di 'gestione delle tasse scolastiche', che (secondo il loro sito web) è utilizzato da oltre 2000 scuole. Invece di inviare pagamenti alla scuola, inviamo i nostri pagamenti a questa azienda. Si occupano del deposito, della contabilità e delle collezioni per la scuola. Per i genitori, puoi rivedere il tuo conto e inviare i pagamenti online, oltre a spedire loro semplicemente un assegno.

Spero che la scuola stessa non sia responsabile di nulla, dal momento che il fallimento è interamente con questa altra società.

Modifica # 2:

Grazie a tutti per i suggerimenti.

La scuola ha un contratto con l'azienda che vieta alla scuola di accettare direttamente i pagamenti. Ho pagato la retta del 2011-2012 prima che il contratto entrasse in vigore, quindi ho potuto pagare con assegno alla scuola.

La scuola richiede a tutti di avere un account con la terza parte. Fortunatamente per me, l'unica mia informazione personale è il mio nome e indirizzo postale, e quella che era una buona password: - (

A questo punto c'è no freaking pagherò con la carta di credito o il bonifico bancario attraverso questa società. Pagare con assegno è un'opzione, ma non è chiaro se il mio assegno l'anno prossimo possa essere intestato alla scuola, o se debba passare per la terza parte.

    
posta leedm777 14.11.2011 - 18:50
fonte

4 risposte

16

Non elenchi da dove vieni, quindi queste risposte presumono che tu viva negli Stati Uniti.

I processori di carte di credito sono tenuti a rispettare qualcosa chiamato PCI-DSS (standard di sicurezza dei dati dell'industria delle carte di pagamento). Descrive il modo in cui i dati devono essere gestiti e archiviati, e (alcuni davvero grandi) sanzioni per il fallimento. Le aziende più grandi (come le catene di vendita al dettaglio) vengono sottoposte a verifica: i gruppi più piccoli possono ottenere delle esenzioni. La chiave per le discussioni qui è che tutti i numeri di carte di credito (e alcune informazioni aggiuntive), così come le password per (almeno) gli amministratori di sistema, devono essere mantenute criptate il più possibile (specialmente in archivio).

Tuttavia, la scuola potrebbe gestire la tua carta di credito in modo sicuro, gestendo al meglio il resto della sicurezza. Si prega di prendere in considerazione:

  • Sei in grado di vedere il tuo numero completo di carta di credito? Se è così, sarei allarmato, anche se la compagnia potrebbe aver bisogno di un modo per invertire la decrittazione per gestire cose come inversioni.
  • Oltre a pagare le tasse scolastiche di tuo figlio, che altro si può fare su questo sito? È improbabile che tu sia in grado di acquistare qualcosa su Ebay da lì, quindi una password non sicura potrebbe essere un non-problema (basta usare una password diversa).

Quindi potrebbero avere problemi di sicurezza, oppure potrebbe essere deliberatamente rilassato per consentire un sistema più "amichevole". Dato il comportamento del sistema, fa ha una legittima causa per chiedere a loro di farlo. Se le loro risposte indicano una sicurezza inadeguata / inesistente, dovresti chiedere una contabilità, almeno facendo in modo che portino il sito offline e segnalandoli se necessario (tieni presente che ciò aumenterà i costi di iscrizione se vengono inflitte ammende).

EDIT:

Se la scuola non gestisce direttamente il numero della carta di credito, o in effetti una qualsiasi delle informazioni di pagamento correlate, sono non responsabili per le violazioni PCI (di cui sono a conoscenza). Questo è uno dei tanti motivi per cui molti siti web scaricano pagamenti a servizi come Paypal - non sono più responsabili (la conformità è HARD ). I vorremmo sostenere che fanno hanno l'obbligo di selezionare un processore sicuro e affidabile, ma non so che li farei mai causa per questo - è il pagamento responsabilità dell'azienda di agire in modo appropriato (questo è il servizio che stanno fornendo).

Memorizzare le password degli utenti finali in testo semplice è disturbante, ma questo potrebbe essere ancora un problema. Invia loro una e-mail / lettera che faccia riferimento a questo fatto (in particolare il fatto che ti hanno inviato una lettera con la password in testo semplice), e chiedi cosa succede. Di nuovo, se i tuoi dati di pagamento non sono (completamente) visibili a te, potrebbe essere gestito in modo sicuro (se è visualizzato, segnalarli). Altrimenti, dato il dominio finanziario (probabilmente estremamente limitato), non è probabile che un utente malintenzionato possa fare con le informazioni - pagare per la propria iscrizione sarebbe qualcosa di un regalo morto, se è anche possibile .

Se sei ancora preoccupato, rimuovi tutte le tue informazioni, paga con assegno e notifica alla tua scuola i tuoi dubbi.

    
risposta data 14.11.2011 - 19:14
fonte
9

Innanzitutto, non utilizzare mai la tua carta di debito su quel sito. Usa solo una carta di credito, se devi assolutamente usare quel sito. Con le carte di credito, sei protetto da transazioni fraudolente e spesso non hai responsabilità, o molto poco ($ 50). Con le carte di debito, potresti riavere i tuoi soldi alla fine, ma sei ancora senza soldi finché non lo fai ...

Non fornire dati a quel sito che non è assolutamente necessario. Prendi tutti i dettagli bancari da quel sito. Un sito che non è sicuro, stai chiedendo un vero problema se qualcuno riceve il tuo nome utente / password (che sembra plausibile), e poi hanno il tuo nome, indirizzo, informazioni CC, informazioni bancarie, ecc.

Se il sito Web memorizza il tuo numero CCV dopo l'autorizzazione, allora questa è una violazione. Se stanno solo memorizzando il numero e le altre informazioni, potrebbero rientrare nei limiti della conformità PCI.

Buona lettura del requisito n. 3 dello standard PCI, per vedere se si notano violazioni. Tuttavia, PCI riguarda davvero i dati relativi a carte e titolari di carta e la gestione / conservazione di tali dati, e non ritengo che abbia requisiti relativi alle password dei siti Web.

@ X-Zero ha già menzionato la conformità PCI, qui ci sono gli URL e gli indirizzi e-mail per ciascuno dei principali marchi che è possibile inviare via e-mail per chiedere la propria opinione su un sito che esegue anche numeri di carte di credito. C'è una buona probabilità che se la tua password non è criptata, nessuna delle altre informazioni sul sito è.

American Express

  • link
  • Email per il Nord America: AmericanExpressDataSecurity at aexp.com

Scopri

  • link
  • Email: askdatasecurity at discover.com

JCB

  • link
  • Email: riskmanagement at jcbati.com

MasterCard

  • link
  • Email: sdp at mastercard.com

Visto Stati Uniti

  • link
  • Email: cisp at visa.com

Visa mantiene anche un elenco di processori di pagamento conformi allo standard PCI, in modo che tu possa incoraggiare la scuola a scegliere un fornitore da tale elenco, se il gestore non è già presente su di esso.

Se ti senti ancora a disagio nel trattare con questo processore, puoi iniziare a scrivere assegni o usare il servizio di pagamento delle fatture della tua banca per tagliare i controlli, se è il tipo di processore di pagamento che useranno e chiarire a la scuola che non sei d'accordo con la scelta del fornitore e che ti senti estremamente a disagio con la gestione da parte dell'organizzazione di quelle che dovrebbero essere informazioni riservate.

Sfortunatamente ci sono molte persone coinvolte in aree di gestione delle informazioni in cui non hanno le competenze per farlo correttamente, e in alcuni casi non sono nemmeno consapevoli che ci sono linee guida e best practice da seguire, ma Conoscono qualcuno che conosce qualcuno, hanno una macchina per la elaborazione delle carte di credito, hanno creato un sito web e hanno concluso un contratto per elaborare i pagamenti per una scuola.

È un mondo spaventoso là fuori se passi troppo tempo a pensarci.

    
risposta data 14.11.2011 - 20:29
fonte
6

In pratica: allontanati . Presumo che tu non sia in qualche modo obbligato a utilizzare questa azienda: puoi inviare un assegno via posta anziché utilizzare il sito web della società di elaborazione delle tasse scolastiche.

La ragione per cui dico di andarmene è che le procedure di gestione delle password sono probabilmente solo un sintomo di una mancanza di sicurezza più profonda. (Se non riescono a ottenere le password corrette, quanto siete disposti a scommettere non esiste una vulnerabilità di SQL injection che consentirebbe a qualcuno di accedere a tutto il database, inclusi numeri di carte e dettagli personali? Non è una domanda ipotetica: i tuoi soldi sono in linea.)

Prima di cancellare il tuo account:

  • Elimina i dettagli della tua carta di credito o modificali in qualcosa di falso.
  • Scramble le tue informazioni personali: modifica il tuo indirizzo, numero di telefono, email, a qualcosa di falso.

Se sei disposto a fare qualche (forse molto) sforzo in più, spiega ai funzionari della scuola che hai cancellato il tuo account, dì loro perché, e offri loro di aiutarli a selezionare un altro fornitore quando il contratto con l'attuale il provider scade.

    
risposta data 14.11.2011 - 22:26
fonte
2

Adoro la risposta di X-Zero. Tutto si riduce a - quali dati sono protetti dal sistema utilizzando male le password, rispetto al sistema di altre parti. Esistono leggi che proteggono le informazioni sulle carte di credito, come menzionato da X-Zero. Ci sono anche leggi diverse in diversi stati che proteggono "informazioni personali" - come il tuo indirizzo, la data di nascita e altri dettagli personali. Diventa complicato in quanto la società che fornisce il servizio non può trovarsi nello stesso stato in cui si trova e la scuola - e le variazioni nella copertura legale in termini di posizione del servizio (server dell'azienda) rispetto alla sede della violazione ( la tua casa, la posta, ecc.) possono rendere l'applicazione di ogni tipo di sfida. Quindi - nel senso pratico - sì, ci sono delle leggi, ma se non sei interessato a investire un sacco di soldi in questo sforzo, è improbabile che tu possa ottenere una protezione semplice ed economica da queste leggi.

Fallback in un senso più pratico:

  • l'estremo - esamina altri sistemi di lezioni scolastiche e sposta una scuola che prende più sul serio la tua privacy. Sembra per me estremo, ma è probabile che sia il modo più efficace per riportare a casa il punto.

  • meno estremo: insistere sulla fatturazione su carta o qualsiasi altro meccanismo che implichi la mancata registrazione di un account online.

  • meno estremo - lamentarsi sia della scuola che dell'azienda. Con la compagnia, spiega in dettaglio e leggi di riferimento che ritieni siano state violate. Con la scuola, sminuire il problema e raccomandare alternative. È stata la mia esperienza che i sistemi educativi stanno facendo del male a persone con tecnologia smart, e puoi fare le cose a modo tuo se fai volontariato per aiutare e prendere possesso del problema.

  • concentrarsi sulla protezione: stabilire una carta di credito con un limite basso che puoi utilizzare esclusivamente per questo. Ci sono cose come numeri "temporanei" e altre protezioni offerte dalle società di carte di credito che limitano il danno dello sfruttamento del numero di carte. Se non riesci a sistemare il sistema, limita il danno.

  • mantieni i tuoi dati in buona forma - controlla regolarmente le fatture sulle carte di credito esposte, controlla il tuo rapporto di credito, ecc. Buona roba di tipo di controllo per la salute dei consumatori che ti avvantaggia indipendentemente dalla debolezza della sicurezza dei sistemi che sei utilizzando.

risposta data 14.11.2011 - 22:15
fonte

Leggi altre domande sui tag