Sì, questo è un problema di sicurezza legittimo, ma meno grave della maggior parte. Considera queste circostanze:
-
Qualsiasi utente con le prime 5 password più comuni è brindisi. Ad esempio, Password1!
di un utente pigro potrebbe essere la password più probabile per soddisfare i requisiti di sicurezza della password di questa azienda.
-
I dati aggiuntivi potrebbero essere associati a nomi utente noti.
Ad esempio, se il mio nome utente è examplesmith
e trovi [email protected]
, ci sono buone probabilità che si tratti della stessa persona.
Inoltre, puoi cercare online e molto probabilmente trovare il nome completo di questa persona, o anche il cellulare e l'indirizzo postale.
Con ulteriori informazioni associate (avanzate), puoi inviare e-mail di phishing piuttosto convincenti. Per lo meno è possibile includere il nome utente (semplice) nell'e-mail di Phishing per renderlo più convincente.
Anche gli attacchi di phishing non riusciti possono ridurre la fiducia degli utenti nel sistema dell'azienda.
Quindi, come puoi vedere, sapere quali nomi utente sono validi non è grave da solo, ma può essere utile per eseguire altri tipi di attacchi al sistema.
Come afferma @Marcel , OWASP lo riconosce come legittimo problema.
Indipendentemente dal fatto che questo particolare problema sia accettabile dipende dalla natura dei servizi di questa azienda. (Ok per siti di giochi semplici, ma mai per i servizi bancari online)