Ottenere un datore di lavoro per proteggere immediatamente il loro sito web

Naviga le tue risposte
4

Sono impiegato come consulente presso una grande società di consulenza tecnologica. Di recente ho notato un grosso difetto nel loro sito Web, che inviano le mie credenziali di accesso in testo normale su HTTP. Ho verificato questo facendo una cattura del pacchetto in uscita ed ecco che c'erano le mie credenziali in chiaro per chiunque potesse vederle. Quel che è peggio, le credenziali sono state rimandate indietro sul filo ancora una volta in chiaro se l'accesso non è riuscito.

Sul lato positivo, non sono influenzati dall'emorragia perché non consentono nemmeno il traffico HTTPS ...

Ho letto Segnalazione di siti vulnerabili e simili, ma credo che questa domanda sia un po 'diversa come prima cosa sono personalmente interessato e costretto a utilizzare regolarmente il sito perché sono assunto dalla società proprietaria del sito (anche se non è responsabile).

Ho informato il reparto IT e ho ricevuto una risposta nel modulo

We have prior to your e-mail contracted a security firm that has done an extensive pen-test and among other things found your reported vulnerability. We're assessing the situation and will take action shortly.

Che per me significa:

Hi we know we're leaking your passwords and we might patch it up in the coming months or maybe next year. Meanwhile, why don't you go down to the church and pray that no one empties your paypal account.

Motivato dal fatto che potevo semplicemente parcheggiare il cellulare sul wifi fuori dal loro ufficio con il filo spinato in esecuzione per afferrare le credenziali della maggior parte delle persone in ufficio. Per me, la loro risposta non è abbastanza buona. Inoltre, tutto ciò che devono fare è forzare l'HTTPS per tutto il traffico come stop-gap. Questo non richiede più di qualche ora per un amministratore di sistema che sa cosa stanno facendo. E non ha un impatto negativo se non per alcune prestazioni (a patto che abbiano applicato patch OpenSSL se sono interessate).

La mia domanda è, come faccio a farli prima abilitare immediatamente HTTPS per tutto il traffico e poi informare tutte le parti interessate che le loro credenziali username / password potrebbero essere state compromesse e che devono cambiarle in tutti i punti in cui usano quella combinazione . Senza perdere il lavoro.

Per la cronaca, sì, ho già cambiato le mie password. E ho avuto una password 128 bit casuale sul loro sito per cominciare, perché ho avuto la sensazione che fosse dubbia dal primo sguardo.

    
posta Emily L. 13.04.2014 - 12:08
fonte

1 risposta

3

Dovrebbe esserci un'entità responsabile della sicurezza, come un (capo) responsabile della sicurezza delle informazioni. Di solito è il loro lavoro prendere report come il tuo e trovare il modo più veloce per risolvere il problema senza compromettere il business. Dandole al dipartimento IT spesso diventa una "richiesta di supporto senza stakeholder", il che significa che puoi ancora lavorare, quindi non è così male dal loro POV.

Se non lo hai, dovresti scrivere una mail amichevole alla direzione al livello C e informarli del rischio commerciale che problemi come questo pongono se non ricevono attenzione immediatamente. Possono dare quel ruolo di controllo di questi problemi a un dipendente che sta già lavorando nel reparto IT, in modo da non dover necessariamente assumere qualcuno.

Ha funzionato per me; -)

    
risposta data 13.04.2014 - 15:51
fonte

Leggi altre domande sui tag

Cosa accade se il mio ISP mi fornisce un indirizzo IP già in uso [chiuso] Quanto è sicura la crittografia offerta dal Finder di Mac OS X?