Presupposto che è la pagina di accesso effettiva:
Sì, questo è molto insicuro per gli standard moderni, e ancora di più per tutto ciò che riguarda transazioni monetarie effettive.
C'è sempre la sottile possibilità che la pagina venga caricata su HTTP, ma che poi venga inoltrata a un server protetto da HTTPS. Sarebbe ancora male, ma sarebbe almeno "migliore". Tuttavia, ho confermato che ciò non accade. Sono sicuro che sai che questo consentirebbe a chiunque nella tua rete locale (o ovunque tra te e il loro server) di leggere il tuo nome utente e password.
Inoltre non esiste una protezione CSRF sull'endpoint di accesso: questo può introdurre molte altre debolezze di sicurezza più sottili (anche se non altrettanto gravi quanto la mancata crittografia delle credenziali di accesso).
Lo scenario migliore qui è che la pagina in cui ti trovi non è supposta come pagina di accesso principale, ma sei finito lì per sbaglio e hanno dimenticato di rimuoverlo e dirigere le persone alla pagina di accesso che è effettivamente sicura.
Ho eseguito il sito web descrivendo la loro sicurezza tramite google translate. Ovviamente non sarà perfetto, ma sicuramente dà i punti salienti:
- Non abbiamo mai avuto una breccia prima - niente di cui preoccuparsi!
- Abbiamo un firewall super sicuro
- Utilizziamo la crittografia SSL!
- Puoi cambiare la password!
- Puoi negare l'accesso al tuo account da tutti i dispositivi tranne uno
- Puoi vedere quando / dove hai effettuato l'ultimo accesso
- Puoi ricevere un messaggio di testo ogni volta che qualcuno accede
- Anche se qualcuno dovesse effettuare il login i tuoi soldi sarebbero al sicuro perché non permettiamo i trasferimenti su account non specificati da te e indicati nel tuo contratto
Non prenderei tutto ciò molto sul serio, specialmente alla luce della loro incapacità di fornire la crittografia SSL sulla pagina di accesso, che è probabilmente la pagina più importante da proteggere. Date le loro pratiche rilassanti qui assumerei che abbiano buchi di sicurezza altrove nel loro sistema. Indipendentemente dal fatto che abbiano mai avuto una violazione è qualcosa che nessuno saprà mai - ciò che dovrebbe dire è:
If we've ever had a breach we at least don't know about it! We promise we're not lying!
Se davvero non hanno mai avuto una breccia, probabilmente perché nessuno si è mai preoccupato di cercare di bersagliarli, e non a causa di buone pratiche di sicurezza. Non prenderei seriamente il punto 8. Sareste sorpresi dal modo in cui le persone parlano dei tecnici di supporto all'account, e anche se un utente malintenzionato non può rubare attivamente i vostri soldi, ciò non significa che non possano causarvi gravi danni se entrano nel vostro account.