Ho usato per accedere a un determinato sito un paio di anni fa. Recentemente ho ricevuto un'e-mail che suggeriva di rinnovare la mia iscrizione e che l'e-mail includeva la mia vecchia password. Esatto, la mia vecchia password è stata inviata via email per essere testata su SMTP.
Questo implicava due cose:
-
Memorizzano le password come testo non crittografato piuttosto che come hash unidirezionali, il che rende molto vulnerabili tutte le informazioni dei membri attuali e precedenti.
-
Inviano queste password in e-mail non crittografate, il che rende estremamente vulnerabili le informazioni dei loro membri.
Quindi sono andato sul tuo sito web per vedere chi contattare per correggere questi bug di sicurezza e, con mia sorpresa, ho scoperto che questi buchi di sicurezza erano lì per progetto! Nello specifico, ho fatto clic sul pulsante per ricordarmi la mia password e ho ricevuto questa email:
Tu, o qualcuno che ti sta fingendo, hai richiesto un promemoria della password per la tua iscrizione alla mailing list "il sito web".
....
Sei iscritto con l'indirizzo: "la mia email, non crittografata"
La tua password "il sito web" è: "la mia vecchia password, non crittografata"
Quindi ha inviato un'email al webmaster elencato sul sito; sfortunatamente l'e-mail è rimbalzata come non consegnabile. Non sono impiegato in quel sito, ma trovo che sia difficile ignorare il problema perché ciò lascerebbe migliaia di utenti attuali e precedenti molto vulnerabili. Il sito Web non è un negozio generale locale, appartiene a un noto laboratorio (tra gli ingegneri del software) presso un'università importante e potrebbe avere migliaia di account utente.
Quindi la domanda: quali ulteriori passi posso / dovrei prendere per migliorare la sicurezza IT lì?