À mon travail, pour pouvoir consulter mes chèques de paie, mes heures de vacances et mes données RH, je dois me connecter à un site Web tiers.
Je ne suis en aucun cas un expert en sécurité ou un programmeur expert, mais je pouvais dire (simplement en essayant) que je pouvais continuer à essayer des mots de passe incorrects sans être verrouillé. (force brute: viable)
Après la connexion, j'ai été forcé de sélectionner 3 questions de sécurité prédéterminées dans le cas d'une réinitialisation du mot de passe (sur un total de 8!), Comme la plaque d'immatriculation de ma première voiture (jamais possédé de voiture 3/7), la 2e de mon conjoint nom (ne pas avoir de conjoint 3/6), 2e nom de mon premier enfant (ne pas avoir d'enfants 3/5), date de naissance, nom de mon lycée, animal préféré, film préféré ou morceau de musique préféré.
La plupart de ces choses que vous pouvez simplement obtenir sur mon facebook (qui, je dois le noter, n'a pas été mis à jour depuis des années!), Montrent à nouveau un manque de compréhension des pratiques de sécurité de base.
J'ai également l'impression, en regardant le site via les outils de développement, ils utilisent des logiciels incroyablement obsolètes
A JavaScript implementation of the RSA Data Security, Inc. MD5 Message
* Digest Algorithm, as defined in RFC 1321.
* Version 2.1 Copyright (C) Paul Johnston 1999 - 2002.
Je l'ai signalé par le biais de mon entreprise, mais mes supérieurs ne semblent pas très intéressés.
Comment pourrais-je procéder:
A. Découvrir si ce site est vraiment aussi peu sûr que je le pense?
B. si vrai: le communiquer de manière appropriée à l'entreprise elle-même (de préférence de manière anonyme)
Pour commencer avec la partie facile: vous n'avez pas à mettre de vraies informations comme réponses aux questions. Les chaînes aléatoires fonctionnent mieux si vous êtes vraiment paranoïaque et les stockez dans un gestionnaire de mots de passe comme un mot de passe.
Le reste (pas de protection par force brute, logiciel potentiellement obsolète) est dommage, mais il n'y a rien que vous puissiez faire, du point de vue de la sécurité. Je voudrais soulever la question avec les RH/Paie et leur demander d'enquêter. Si vous êtes en Europe, vous pouvez également parler à votre DPD pour lui suggérer que son "processeur de données" a des pratiques de sécurité de compte inquiétantes qui doivent être étudiées.
Sinon, il s'agit davantage d'un problème de politique interne au bureau.
Pour moi, cela signifie que vous n'avez pas suffisamment enquêté pour dire en toute confiance que ce n'est pas sûr. Vous n'avez montré aucun exploit direct particulier, ni vraiment creusé dans leur système (de manière non piratée, en fouillant). Vos supérieurs peuvent ne pas être intéressés à cause de l'absence de preuves directes de cela.
Par exemple, mon travail utilise un site tiers pour planifier des vacances, j'ai trouvé qu'il me permet de "récupérer" mon mot de passe en renvoyant mon mot de passe exact en texte brut par e-mail, c'est une preuve directe d'un problème que je peux rapport. De même, un site utilisé pour certains services informatiques (tronc SIP) avait un problème où je pouvais changer les identifiants dans l'URL et (à ma grande surprise) voir les informations de compte d'autres personnes, encore une fois, une autre source directe de preuves. À l'heure actuelle, vous n'avez que des soupçons, et pas des soupçons.
Soit dit en passant, toutes les questions de sécurité pour la réinitialisation des mots de passe ne sont pas sécurisées, car elles reposent sur des informations communes. Comme d'autres l'ont suggéré, vous pouvez mettre ici de fausses réponses (dont vous vous souvenez encore) ou des chaînes entièrement aléatoires. Vous pouvez considérer les questions de sécurité comme un défi de sécurité "String" à "String" dans le sens le plus générique.
Comment pourrais-je procéder:
A. Découvrir si ce site est vraiment aussi peu sûr que je le pense?
Vous ne pouvez vraiment pas, sauf si vous êtes témoin d'un problème concret et exploitable. C'est ce que font les sociétés infosec, elles essaient de casser activement les systèmes (avec le consentement des propriétaires). Ils connaissent de nombreuses procédures et techniques pour prendre systématiquement une telle application à part, de simples choses comme l'utilisation de HTTP au lieu de HTTPS, l'utilisation non sécurisée des cookies, XSS, injection SQL, mais aussi d'autres choses comme les ID étant évidemment simplement comptés (ce qui signifie que vous pouvez il suffit de les essayer séquentiellement), les trucs étant uniquement vérifiés sur le navigateur (facilement falsifiés), et ainsi de suite.
Ils peuvent également combiner des approches blackbox et whitebox (c'est-à-dire simplement regarder de l'extérieur, comme le ferait n'importe quel pirate/pirate, ou étudier le code source, entrer dans les serveurs avec les comptes fournis, etc.).
Vous pourriez faire tout cela vous-même, mais comme vous le demandez, vous ne savez évidemment pas vraiment comment. Mais le principal problème est que si vous faisiez cela, sans obtenir au préalable le consentement, vous seriez au moins en territoire gris, sinon en enfreignant purement et simplement la loi.
B. si vrai: le communiquer de manière appropriée à l'entreprise elle-même (de préférence de manière anonyme)
Vous ne pouvez pas (anonymement, au moins). S'il y a un CISO dédié, ce serait votre première ligne d'attaque; mais à part cela, en particulier dans les petites entreprises, vous ne pouvez pas faire grand-chose si votre direction ne fait que les hausser.
Je suppose qu'il peut y avoir des circonstances spécifiques dans lesquelles une agence gouvernementale pourrait être intéressée - par exemple si votre entreprise travaille pour le gouvernement dans un domaine qui a des exigences de sécurité strictes; alors, évidemment, vous pourriez essayer d'envoyer un message anonyme quelque part, mais pourquoi se soucieraient-ils de vos informations RH ...
Mais en général, pour les entreprises arbitraires, le dicton "Il n'y a pas de destin mais ce que nous faisons pour nous-mêmes" s'appliquerait.
Si je devais deviner, je parierais que le service résiste également aux attaques par force brute, du simple fait qu'il est sous-provisionné pour gérer la charge impliquée. Allez trop vite avec les suppositions, et le serveur tombera, alertant les administrateurs de ce qui se passe. Allez trop lentement et vous ne devinez pas assez vite pour espérer un succès dans un délai raisonnable.
Ajoutez cela à la suggestion des autres d'utiliser de fausses informations, et le service n'est pas du tout vulnérable si vous faites attention ... du moins, pas de la manière rapportée jusqu'à présent. Notez que j'ai dit "Si". Cela semble être une conception malheureuse qui, comme vous l'avez mentionné, ne renforce pas la confiance dans ce qui pourrait être d'autre dans les coulisses.
Je n'essaierais pas de tester quoi que ce soit davantage moi-même, mais s'il s'agit d'un produit utilisé par de nombreuses autres sociétés, vous pourriez essayer de mettre un bug à l'oreille d'une véritable recherche de sécurité, qui saura comment le tester dans d'une manière éthique et être mieux préparé à faire face à toute retombée juridique. Si vous êtes la seule personne à l'esprit technique dans votre région au travail, vous voudrez peut-être également alerter vos collègues sur la façon d'utiliser le service "en toute sécurité".
Je pense que vous avez raison - il semble que le site soit probablement assez peu sûr. Ce sont des drapeaux rouges, et le tout sonne un peu malodorant. MD5 est largement considéré comme non sécurisé sur le plan cryptographique.
Cela étant dit, la question de "que dois-je faire?" en est un qui afflige de nombreux scénarios liés à la sécurité. Il y a un coût et un avantage à toute action que vous entreprenez, et le bon choix d'action dépend fortement de votre environnement et des nuances de votre scénario individuel. Dans quel genre d'industrie travaillez-vous? Quelle est la valeur des informations que vous stockez sur le système? Peut-être plus important encore, dans quelle mesure votre entreprise est-elle réceptive à l'évolution des pratiques de sécurité?
Ce sont toutes les questions pertinentes auxquelles vous devez répondre, et celles auxquelles aucun d’entre nous sur Internet ™ ne peut vous aider. Dans chaque question sur la façon de gérer une situation impliquant des pratiques précaires, la connaissance des subtilités d'un environnement d'entreprise - les antécédents professionnels des individus, la nature de leurs relations avec l'entreprise, le niveau de risque de relations difficiles - définit ce qu'il faut faire ensuite.
Ce que j'essaie de comprendre, c'est qu'il me semble qu'aucun de nous n'est vraiment qualifié pour répondre à cette question pour vous. Il existe un éventail infini d'options potentielles, et le meilleur plan d'action dépend vraiment de votre situation à un niveau de détail qui n'est pas vraiment transmissible ici.
Bonne chance!