In che modo Glassdoor sa qual è la mia password ... su altri siti web non correlati?

1

Ho appena provato ad accedere a Glassdoor e ho ricevuto questo messaggio:

We have temporarily disabled your account. We have identified that your password matches one you have used on an unrelated website that has experienced a security breach.

Ho controllato qui e l'unica violazione di cui facevo parte era la violazione "Forum Hack": un forum in cui la mia password era totalmente diversi da quelli che uso regolarmente perché ... sono i forum hack e non mi sono fidato di questo.

C'è qualcosa di strano qui? Come mai Glassdoor potrebbe saperlo?

    
posta AmagicalFishy 23.10.2017 - 15:54
fonte

2 risposte

3

Vedo tre possibilità:

  • Glassdoor sa di una violazione che haibeenpwned.com non conosce.
  • Glassdoor non sta dicendo la verità. Forse hanno trovato la tua email solo in una breccia e non nella tua password. Potrebbe essere un errore onesto, o forse vogliono sembrare più serio e urgente giustificare il lavoro extra che ti costringono a fare.
  • La tua memoria è sbagliata e in effetti hai utilizzato la stessa password ad un certo punto nel tempo (non necessariamente ora).

Solo un modo per scoprire quale è chiedere a Glassdoor.

    
risposta data 23.10.2017 - 16:25
fonte
2

Glassdoor probabilmente sta facendo in modo proattivo esattamente ciò che fanno i cattivi, per intercettare preventivamente il riutilizzo della password e proteggere il tuo account.

Le password di altri siti compromessi sono a volte pubblicamente trapelate (in una forma di testo in chiaro o in un modulo che è debolmente immagazzinato e facilmente violato). Sembra che Glassdoor abbia esaminato tali perdite e ne abbia correlato almeno una con il tuo account (probabilmente cercando il tuo indirizzo email in quelle perdite, quindi controllando se la password in quella perdita corrisponde alla tua password di Glassdoor).

Di solito, puoi usare un sito come Sono stato pwned per verificare quali perdite (se ce ne sono) hanno contenuto l'indirizzo e-mail che usi con Glassdoor. Ma sembra che non sia il caso, quindi Glassdoor potrebbe aver acquisito una perdita che non è ancora presente su HIBP.

Inoltre, poiché HIBP non fornisce le password stesse, l'unico modo in cui Glassdoor potrebbe farlo è se hanno ottenuto direttamente le perdite pubbliche e hanno eseguito la correlazione. Come ha detto Anders, è possibile che l'abbiano acquistato direttamente o da un'altra fonte.

Al valore nominale, Glassdoor sta facendo una buona cosa qui. I cattivi attori sanno che gli utenti spesso condividono la stessa password su tutti i siti, quindi scaricano la fuga pubblica e quindi provano le combinazioni email / password su altri siti comuni. Glassdoor sta contrastando proattivamente questo. Questo è positivo per la sicurezza dell'utente e un buon segno che sanno cosa stanno facendo.

    
risposta data 23.10.2017 - 16:34
fonte

Leggi altre domande sui tag