Ho appena iniziato a lavorare per una piccola azienda che ha un sito web Wordpress con account utente. Ogni account utente ha un nome di accesso, il nome visualizzato, il nome effettivo, l'email, la password e il resto.
Ho scavato e trovato una pagina con un elenco di tutti gli utenti registrati (che mostra solo i nomi visualizzati, ma nessuna informazione personale), nonché un numero totale di utenti registrati.
Questo porta al mio fianco una bandiera rossa molto puzzolente, in primo luogo perché l'azienda non ne ha bisogno, ma è anche sbagliato esporre questa grande quantità di dati. Eppure non riesco a vedere comunque perché possa essere manipolato.
Qualcuno può dirmi se questi dati possono essere utilizzati per effettuare un attacco sul sito web o su un utente specifico?
Grazie