La scuola di mio figlio utilizza una terza parte per gestire le tasse scolastiche e i pagamenti delle tasse. Recentemente mi sono reso conto che falliscono completamente nell'area della sicurezza delle password.
- Il mese scorso hanno inviato una dichiarazione a casa mia. Incluso nella dichiarazione c'era una lettera con il mio nome utente e password .
- OH NOES! Non crittografano le loro password!
- Ho avuto qualche problema nell'accedere, quindi ho fatto clic sul link "Ho dimenticato la password". Hanno inviato per email il mio nome utente e la password .
- YIKES! Lo spediscono tramite e-mail non crittografati in questo modo?
- Connesso e andato a cambiare la mia password. Dopo aver inviato la mia nuova password, la schermata successiva mostrava il mio nome utente e la nuova password sullo schermo.
- yowzer !!! Non sanno che c'è una ragione per cui il campo della password mostra quei puntini al posto delle lettere che l'utente digita?
Dato che l'azienda ha informazioni personali (numeri di carte di credito, numeri di conto bancario, ecc.), questo è incredibilmente preoccupante. Se hanno sbagliato, cos'altro hanno sbagliato? Scommetto che c'è una vulnerabilità di SQL injection che aspetta solo di essere sfruttata.
Ora vorrei qualche consiglio su cosa fare. Ho inviato un'email alla società incriminata, spiegando cosa stanno facendo di sbagliato in termini di sicurezza della password.
Ho intenzione di parlarne con la scuola, ma temo che qualsiasi discussione sull'importanza della sicurezza delle password sarà soddisfatta con sguardi confusi e sguardi indiscreti. Ma se posso dire loro "Questa azienda sta violando il regolamento X per la protezione delle informazioni finanziarie dei consumatori", allora potrebbero capire cosa sto cercando di dire.
Esistono leggi / regolamenti che proteggono le persone da questo tipo di pratiche di sicurezza negligenti? Soprattutto con le aziende che gestiscono le informazioni finanziarie dei consumatori.
Se non rispondono e migliorano la loro sicurezza, c'è un'agenzia di monitoraggio a cui posso riferire?
Qualche altro consiglio su cosa posso o dovrei fare?
Modifica
I, la terza parte e la scuola si trovano tutti negli Stati Uniti.
Questa terza parte è un'azienda che offre un servizio di 'gestione delle tasse scolastiche', che (secondo il loro sito web) è utilizzato da oltre 2000 scuole. Invece di inviare pagamenti alla scuola, inviamo i nostri pagamenti a questa azienda. Si occupano del deposito, della contabilità e delle collezioni per la scuola. Per i genitori, puoi rivedere il tuo conto e inviare i pagamenti online, oltre a spedire loro semplicemente un assegno.
Spero che la scuola stessa non sia responsabile di nulla, dal momento che il fallimento è interamente con questa altra società.
Modifica # 2:
Grazie a tutti per i suggerimenti.
La scuola ha un contratto con l'azienda che vieta alla scuola di accettare direttamente i pagamenti. Ho pagato la retta del 2011-2012 prima che il contratto entrasse in vigore, quindi ho potuto pagare con assegno alla scuola.
La scuola richiede a tutti di avere un account con la terza parte. Fortunatamente per me, l'unica mia informazione personale è il mio nome e indirizzo postale, e quella che era una buona password: - (
A questo punto c'è no freaking pagherò con la carta di credito o il bonifico bancario attraverso questa società. Pagare con assegno è un'opzione, ma non è chiaro se il mio assegno l'anno prossimo possa essere intestato alla scuola, o se debba passare per la terza parte.