Abbiamo avuto un incidente in cui alcuni dei nostri manager hanno ricevuto password per le persone che supervisionavano utilizzando un particolare sito web aziendale. Apparentemente è stato fatto in modo che i gestori potessero controllare gli utenti e vedere che stanno facendo ciò che sono stati diretti a fare con questo sito web di terze parti.
Quando ho scoperto che un elenco delle password è stato stampato e consegnato ai gestori, ho immediatamente pensato che le password sul sito Web commerciale non venivano archiviate in modo sicuro e avvisavano gli utenti che dovevano immediatamente modificare qualsiasi password che quasi coincidevano con i loro account "usa e getta"; Ho anche paura che, essendo umani tipici, ci sia un numero di persone che usa la stessa password su quel sito che usano con il nostro sistema di password interno, quindi non hanno bisogno di ricordare più di una password. Sono rimasto scioccato dal fatto che gli utenti non siano stati avvertiti che le loro password sarebbero state distribuite ad altre persone / supervisori.
Sono andato al sito Web in questione e ho fatto clic sul link relativo alla privacy policy; ha restituito un errore 404.
-
Ero paranoico?
-
Quali sono le possibilità che il sito Web commerciale stia memorizzando le proprie password in chiaro se un manager è in grado di recuperare a elenco di password in chiaro?