È un difetto di sicurezza?
È difficile da dire!
Potrebbe essere una mossa intenzionale da parte di un'azienda per migliorare l'esperienza utente per l'accesso. So che Facebook lo fa per amore dell'esperienza utente, che è stato ha chiesto informazioni su in modo diverso.
Ci sono alcuni articoli su Facebook che fanno questo, ma non sono riuscito a trovare nulla da Facebook. L'unica cosa che ho riuscito a trovare era questo articolo che menziona la richiesta a un ingegnere di Facebook.
Questo è abbastanza difficile da eseguire in modo sicuro, perché l'accettazione di password che non sono la tua password effettiva è quasi garantita a scapito della sicurezza, come discusso qui .
In caso affermativo, cosa devo fare con queste informazioni?
Se non riesci a trovare alcuna informazione online sulla società che fa questo genere di cose (anche se dalla tua enfasi sulla dimensione dell'azienda mi sembra che potrebbe essere Facebook?), consiglio di contattarle. Se sono considerevoli, è stato chiesto loro in precedenza e dovrebbero essere in grado di risponderti in modo relativamente semplice. Alcune aziende hanno pubblicato le cassette postali dei team di sicurezza a cui dovresti essere in grado di inviare questa domanda.
La risposta di @orbuculum ha alcune buone risorse su come gestire il lato "cosa dovrei fare" di questo. È una zona delicata perché entrambi gli estremi (cioè esagerare e punire il reporter contro la scarsità di risposte e ignorare le comunicazioni) appaiono almeno dalle relazioni online per essere abbastanza comuni nelle aziende. Se la società è grande e popolare come dici tu, dovrebbe esserci meno preoccupazione in merito.
NB:
Mentre ero giù nella tana del coniglio mi sono imbattuto anche in hashing sensibile alla località che discute i metodi per farlo all'interno dell'hash funzione stessa.