Sto lavorando in un nuovo sistema client e assegnano automaticamente le autorizzazioni in base al nome del dominio per l'indirizzo email in cui è stato creato l'account (richiedono la convalida tramite e-mail).
Controllano che l'e-mail termini con @somedomain.tld
. Per grandi società bancarie. Se disponi del nome di dominio appropriato, avrai pieno accesso a storie di lavoro, cronologie degli indirizzi, SSN ecc. Per un milione di persone. Si tratta di domini di terze parti (che vengono utilizzati per gli indirizzi e-mail), non hanno alcun controllo sul suddetto client che gestisce questo sistema. E sono gli indirizzi email dell'azienda di chi possiede quei domini. Ci sono ~ 500 domini i cui indirizzi email hanno accesso in questo modo.
Ci sono dei problemi di sicurezza con questo? Esistono exploit che sono stati utilizzati per aggirare tali sistemi?
Il mio obiettivo è fare un po 'di diligenza poiché a prima vista sembra un modo fragile di autorizzare l'accesso a tali informazioni. Ma non ho la consapevolezza di dire se lo è o non lo è. Vorrei anche sapere, al di fuori dello scopo dello scenario sopra, se ci sono problemi e problemi con questo tipo di installazione, indipendentemente dal tipo di ruolo o rischio.