L'azienda di servizi pubblici non ha password di hash nel database

Negli Stati Uniti, qualsiasi sistema che gestisce un determinato volume di dettagli del metodo di pagamento del cliente (numeri di carte di credito / debito, numeri di conto bancario, ecc.) deve essere conforme PCI per operare legalmente. Se il sistema che descrivi ha i tuoi dati bancari / bancari e ti consente di visualizzarli attraverso tale interfaccia web, potresti avere validi motivi per segnalarli per non conformità.

In alternativa, se il sito Web memorizza determinati dettagli o una combinazione di dettagli relativi alla propria identità personale, potrebbe essere richiesto di attenersi ad altre normative relative alla memorizzazione di Informazioni di identificazione personale (PII). In alcuni casi, anche solo il tuo nome e cognome possono essere considerati PII. (Esempio: il nome "John Smith" memorizzato separato da altri dettagli personali non è PII, ma "Joachim Schlichenmeier" * sarebbe.)

Non sono personalmente a conoscenza delle procedure per riportare tali violazioni a qualsiasi entità che sia in grado di agire su di esse, quindi per questo suggerirei di consultare un avvocato. Ovviamente, avrai un caso molto migliore se a un certo punto sei soggetto a furto d'identità e la causa principale può essere ricondotta alle cattive pratiche della tua società di servizi.

Oltre a ciò, ti suggerisco di seguire le raccomandazioni che altri hanno pubblicato qui. Utilizza password lunghe e complesse per tutti i siti web e amp; applicazioni e non riutilizzare le password su qualsiasi sito web e amp; applicazioni. Inoltre, limita le informazioni che fornisci a questi siti web e amp; applicazioni solo a ciò che è assolutamente necessario per loro al servizio del loro scopo.

Se non è davvero necessario che il sito memorizzi in modo permanente i dettagli della carta di credito, lascia la casella "Ricorda questa" non spuntata. Soprattutto segui questo per luoghi che conosci non sono affidabili, come la tua azienda di servizi pubblici. Se puoi effettuare pagamenti per telefono o tramite posta ordinaria, ti suggerirei di estrarre tutte le tue informazioni di pagamento dal tuo profilo sul sito web (se è presente) e passare a uno dei metodi della vecchia scuola.

* Nota: il nome "Joachim Schlichenmeier" è destinato ad essere immaginario. Qualsiasi relazione con una persona reale, vivente o morta, è puramente casuale.

Ci sono due lati di questo problema:

• Implicazioni sulla sicurezza per te

Fondamentalmente, l'unica soluzione efficace è quella di utilizzare una password diversa per ogni account che possiedi (e quindi, utilizzare un gestore di password come KeePass, 1Password, ecc. per memorizzarli)

• Per la società di servizi

Le password di hashing aggiungono sicurezza. Sfortunatamente, aggiunge anche dei costi: per implementarlo, per testare, ecc. La procedura di recupero della password cambierà, ecc. Ecc. Ecc.

Fondamentalmente, devi essere un buon venditore per spiegare i loro rischi a loro e mostrare loro che le potenziali perdite (reputazione, ecc.) sono peggiori del costo dell'hashing - se lo è davvero.

Quindi, per farlo, devi entrare in contatto sia con il CISO (o CIO, o CTO), e poi, dopo averlo convinto :) - avvicinati a quelli che sborseranno i soldi per questo.

Invialo a autori di testo in chiaro ?

Passare a un'altra società di servizi?

Incarica i tuoi politici locali di approvare la legislazione secondo cui le aziende che non utilizzano hash sicuri (ad es., bcrypt o almeno hash salati) sui loro dati di password sono responsabili per i furti di identità derivanti da qualsiasi compromissione dei loro sistemi?

Il fatto è che, come utente finale, non puoi supporre che i siti gestiscano correttamente le tue password e non tenteranno di usarlo maliziosamente , quindi non devi mai riutilizzare le password su sistemi che non gestisci personalmente. Non c'è modo di sapere che i tuoi dati vengono gestiti in modo sicuro senza che ci sia lavoro o facendo un hacking illegale (sconsigliato a meno che non ti dia esplicitamente il permesso di tentare di compromettere i loro sistemi), anche quando non sono abbastanza stupidi da inviarti la tua password in testo semplice.

Contatta il marketing. Di 'loro, che perderai le informazioni, quanto seriamente assumono i loro doveri.

Btw .: Qual è il nome dell'azienda? Se non pensano che sia un problema, dovremmo parlarne allo scoperto. :)

La maggior parte dei clienti non conoscono i problemi di sicurezza e usa la loro password non solo lì, ma anche in altri luoghi. Non dovrebbero solo cancellarlo, ma anche salarlo.

Suggerisco Divulgazione responsabile . Contatta l'azienda, offri di mantenere la vulnerabilità silenziosa per un periodo di tempo limitato, dando loro l'opportunità di risolverlo.

Nel frattempo, assicurati di non utilizzare la password compromessa da nessun'altra parte, assicurati di non avere alcuna informazione preziosa memorizzata sui loro sistemi e, se puoi permetterti, cancella il tuo account.