Segnalazione di violazione

Naviga le tue risposte
3

Sono un membro dello staff di un grande sito fanfic, ma non l'amministratore principale con il controllo sul sito stesso.

Recentemente, abbiamo avuto una violazione della sicurezza e sono stati copiati i database, che includevano i nomi utente, le e-mail e gli hash delle password degli utenti. Abbiamo messo un avviso in prima pagina che dice alla gente che siamo stati violati e che dovrebbero cambiare le loro password in qualsiasi altro posto dove usano la stessa password.

Tuttavia, durante una riunione del personale, abbiamo avuto la possibilità di esaminare la struttura del backend. Risulta che tutto era MD5, con lo stesso sale per ogni utente.

Ho cercato di convincere il resto della squadra che questa è una situazione molto brutta. Non credo che capiscano quanto sia facile per qualcuno rompere la maggior parte di queste password in un breve lasso di tempo nonostante tutto quello che ho fatto per spiegare le basi della salatura e perché MD5 è troppo veloce per essere una buona protezione della password (ho stato consigliato bcrypt). Se gli utenti compromessi utilizzano le stesse password su altri siti, sono a rischio di essere compromessi anche lì.

Ma la cosa più importante è che li ho implorati di mandare email agli utenti, perché pubblicare semplicemente un breve avviso in prima pagina non arriverà a tutti. I loro principali argomenti contrari:

  1. Abbiamo una capacità limitata di inviare molte e-mail dal nostro server, quindi raggiungere tutti non è fattibile. (Ho quindi consigliato Mailchimp, ma questo era "troppo costoso" e che sto chiedendo loro di fare "più di quanto farebbero le grandi aziende, che hanno più risorse").

  2. Se la password di qualcuno è abbastanza debole da essere violata così velocemente, non c'è motivo di inviarli via email perché l'aggressore li avrebbe già compromessi.

  3. Il nostro obiettivo principale è rattoppare la sicurezza in futuro, senza preoccuparci del passato.

Ho cercato di contrastare questi argomenti perché penso che non siano scuse responsabili o giustificate, ma sembra che stia fallendo. Sembra un grosso rischio avere una perdita di informazioni come questa quando la sicurezza era così scarsa, e quindi non informare adeguatamente i tuoi utenti (direttamente via email) di aver bisogno di cambiare le loro password. Mettere un avviso sulla pagina principale o fare affidamento sul passaparola, per me, non è sufficiente e non necessariamente raggiungere utenti inattivi che hanno ancora account sul sito (che sono molti, se non di più).

Sto esagerando? Mi aspetto troppo da loro? È irragionevole per me aspettarmi che invii email a tutti? Sto sopravvalutando la gravità della situazione?

Che altro posso fare o dire in questa situazione?

    
posta user49749 22.06.2014 - 17:01
fonte

2 risposte

1

Non stai esagerando affatto. È COMPLETAMENTE irresponsabile rifiutarsi di fare altro. Anche se un utente è inattivo, ha bisogno che il suo account sia sicuro.

Il tuo capo chiaramente non capisce la gravità di questa situazione. Con MD5 non salato, la maggior parte delle password sono già memorizzate in una tabella arcobaleno insieme agli hash corrispondenti. Puoi, in questo momento, Google un hash MD5 e trovare la password corrispondente.

Se hai la funzionalità di reimpostazione della password tramite e-mail, perché non richiedere agli utenti di cambiare la password al prossimo accesso? Quindi, chiunque tenti di utilizzare un account compromesso avrà bisogno dell'account e-mail dell'utente per dimostrare che sono quelli a cambiare la password. Poiché hai già hash di password e potresti non essere in grado di ottenere l'originale, richiedere agli utenti di cambiare la loro password è probabilmente la soluzione migliore in quanto puoi semplicemente creare nuovi hash di bcrypt.

Se la maggior parte dei tuoi utenti non è attiva, questa è un'ottima soluzione in quanto non dovrai inviare centinaia di migliaia di email in un giorno. Puoi inviarli nel tempo.

Se non vuoi preoccuparti che ti torni in futuro, notifica agli utenti dopo una certa quantità di inattività (forse 1 anno) che devono cambiare la loro password o il loro account verrà eliminato. Puoi diffonderlo nel tempo. E non fare tutto il giorno esattamente tra un anno. Invece, distribuiscilo per circa un mese.

    
risposta data 22.06.2014 - 17:58
fonte
1

Cosa fare da un punto di vista etico e cosa fare da un punto di vista legale è completamente diverso. Prima di tutto dovresti aver eseguito una risposta agli incidenti. Una delle cose più importanti apprese dalla risposta all'incidenza è sapere:

  • Che cosa è successo
  • Quando è successo
  • Come è successo
  • Come possiamo impedirlo nella funzione

La tua compagnia ovviamente si è fermata al 3 ° punto e non c'è alcuna cura per andare avanti. Anche il tuo staff non è un team di comunicazione, è anche negligente nei confronti di determinati requisiti legali. Non sono sicuro di dove vivi, ma all'interno della EU lì sono già in vigore leggi e precedenti che possono essere utilizzati in tribunale se uno dei tuoi utenti decide di sporgere denuncia per perdite di dati personali. Se la tua azienda non ha comunicato questo ai propri utenti né alla polizia, allora c'è la possibilità che la tua azienda e anche la sua gestione possano essere ritenuti responsabili:

The Commission has put in place new specific rules to ensure that personal data breaches in the EU telecoms sector are notified in the same way in each Member State. The 2002 ePrivacy Directive requires telecoms operators and Internet service providers to keep personal data confidential and secure. However, sometimes data is stolen or lost or accessed by unauthorised persons. These cases are known as 'personal data breaches'. Under the revised ePrivacy Directive (2009/136/EC), when a personal data breach occurs, the provider has to report this to a specific national authority. Also, the provider has to inform the concerned subscriber directly when the breach is likely to adversely affect personal data or privacy. To ensure consistent implementation of the data breach rules across Member States, the Commission has adopted "technical implementing measures" – practical rules to complement the existing legislation – on the circumstances, formats and procedures for the notification requirements. These rules will help ensure ensure that all customers receive equivalent treatment across the EU in case of a data breach, and that businesses can take a pan-EU approach to these problems if they operate in more than one country.

Per gli Stati Uniti le leggi sono anche molto chiare , mentre è dipendente dallo stato, un esempio per la California può essere trovato sotto:

The first such law, the California data security breach notification law SB 1386, Cal. Civ. Code 1798.82 and 1798.29, was enacted in 2002 and became effective on July 1, 2003.2 As related in the bill statement, law requires "a state agency, or a person or business that conducts business in California, that owns or licenses computerized data that includes personal information, as defined, to disclose in specified ways, any breach of the security of the data, as defined, to any resident of California whose unencrypted personal information was, or is reasonably believed to have been, acquired by an unauthorized person." In addition the law permits delayed notification "if a law enforcement agency determines that it would impede a criminal investigation." The law also requires any entity that licenses such information to notify the owner or licensee of the information of any breach in the security of the data.

Anche se una notifica è tecnicamente anche "in forma scritta", probabilmente arriverà ad una discussione se ciò dovesse accadere in un tribunale. Il giudice dovrà quindi decidere se ha agito di conseguenza per conformarsi alla legge. Se viene trasmesso, si hanno gli indirizzi e-mail, quindi molto probabilmente si deciderà di non aver rispettato la legge e le sanzioni civili e penali potrebbero essere seguite per la propria azienda e la sua gestione. Se il vostro personale è parte avvantaggiato in questo numero, sarà considerato come un dirigente.

    
risposta data 22.06.2014 - 19:01
fonte

Leggi altre domande sui tag

Come si fa a sniffare un dato da un router upstream? In che modo Network Discovery OFF protegge il mio computer?