Sono impiegato come consulente presso una grande società di consulenza tecnologica. Di recente ho notato un grosso difetto nel loro sito Web, che inviano le mie credenziali di accesso in testo normale su HTTP. Ho verificato questo facendo una cattura del pacchetto in uscita ed ecco che c'erano le mie credenziali in chiaro per chiunque potesse vederle. Quel che è peggio, le credenziali sono state rimandate indietro sul filo ancora una volta in chiaro se l'accesso non è riuscito.
Sul lato positivo, non sono influenzati dall'emorragia perché non consentono nemmeno il traffico HTTPS ...
Ho letto Segnalazione di siti vulnerabili e simili, ma credo che questa domanda sia un po 'diversa come prima cosa sono personalmente interessato e costretto a utilizzare regolarmente il sito perché sono assunto dalla società proprietaria del sito (anche se non è responsabile).
Ho informato il reparto IT e ho ricevuto una risposta nel modulo
We have prior to your e-mail contracted a security firm that has done an extensive pen-test and among other things found your reported vulnerability. We're assessing the situation and will take action shortly.
Che per me significa:
Hi we know we're leaking your passwords and we might patch it up in the coming months or maybe next year. Meanwhile, why don't you go down to the church and pray that no one empties your paypal account.
Motivato dal fatto che potevo semplicemente parcheggiare il cellulare sul wifi fuori dal loro ufficio con il filo spinato in esecuzione per afferrare le credenziali della maggior parte delle persone in ufficio. Per me, la loro risposta non è abbastanza buona. Inoltre, tutto ciò che devono fare è forzare l'HTTPS per tutto il traffico come stop-gap. Questo non richiede più di qualche ora per un amministratore di sistema che sa cosa stanno facendo. E non ha un impatto negativo se non per alcune prestazioni (a patto che abbiano applicato patch OpenSSL se sono interessate).
La mia domanda è, come faccio a farli prima abilitare immediatamente HTTPS per tutto il traffico e poi informare tutte le parti interessate che le loro credenziali username / password potrebbero essere state compromesse e che devono cambiarle in tutti i punti in cui usano quella combinazione . Senza perdere il lavoro.
Per la cronaca, sì, ho già cambiato le mie password. E ho avuto una password 128 bit casuale sul loro sito per cominciare, perché ho avuto la sensazione che fosse dubbia dal primo sguardo.