web-dev-qa-db-fra.com

Que faire si vous êtes bloqué sur un site Web dont la sécurité est médiocre?

J'ai un compte de prêt étudiant auprès d'une entreprise, pas la plus grande entreprise mais suffisamment grande pour pouvoir agir ensemble. Aujourd'hui, je ne me souviens plus de mon mot de passe pour me connecter au tableau de bord de mon compte. J'ai cliqué sur "mot de passe oublié" et ils m'ont posé 5 questions. Prénom, nom, dernier SSN à 4 chiffres, date de naissance et code postal. Toutes les informations qui peuvent être facilement acquises si vous essayez suffisamment, sans parler de toutes les informations incluses dans leurs courriels périodiques concernant les paiements. En tapant les informations, le site répond en disant que j'ai été authentifié et me donne mon mot de passe en clair.

Alors maintenant, non seulement il est incroyablement facile de récupérer les détails du mot de passe perdu, ils ne l'envoient même pas à votre courrier électronique, ils l'affiche simplement à l'écran, en plus de cela, ils stockent le mot de passe en clair dans la base de données. Il s'agit d'un compte qui contient les détails de mon prêt de plusieurs milliers de dollars ainsi que mes coordonnées bancaires pour les paiements automatiques. Heureusement, le seul détail non fourni est mon nom d'utilisateur, qui est mon SSN complet, c'est donc le dernier fil de sécurité; cependant, s'ils stockent des mots de passe sans hachage, je suis sûr que mon SSN ne l'est pas non plus, ce qui aggrave encore la situation.

Donc, ma question est, étant donné qu'il s'agit d'un prêt que je ne peux pas simplement rembourser, y a-t-il/quelles sont les précautions ou les mesures que je peux prendre pour rendre cela potentiellement plus sûr? Serait-il utile de leur envoyer un e-mail et de les harceler pour améliorer leur sécurité ou devrais-je simplement payer le plus rapidement possible et sortir? Si je les préviens, à quels types de menaces devrais-je dire qu'ils sont vulnérables dans l'espoir de les effrayer dans un patch?

151
DasBeasto

Si vous êtes préoccupé par la confidentialité de votre mot de passe et donc de votre compte (ce qui devrait être le cas), vous devriez essayer d'éduquer le service client. La FAQ du développeur du projet de honte publique pour ce genre d'insouciance énumère quelques bons points et mérite d'être lu.

En outre, vous devez souligner que vous vous sentez en insécurité et que vous perdez confiance dans l'entreprise et que vous la rendrez responsable de tout problème qui découlerait de ce non-aller.

Vous devez également documenter ce comportement et essayer d'obtenir un devis écrit sur leur point de vue s'ils ne voient pas de raison de résoudre ce problème. Ainsi, si des problèmes surviennent, cela vous facilitera le tout d'un point de vue juridique.

En outre, en soumettant le site à contrevenants en clair , vous fournirez un point de vue tiers, qui pourrait aider votre cas.

En outre, je suppose que vous utilisez un mot de passe unique sécurisé pour ce site et, espérons-le, vous l'avez toujours fait.

Sinon, traitez cela comme une fuite régulière , en changeant tous vos mots de passe (et à cette occasion, assurez-vous d'utiliser des mots de passe uniques pour chaque service)

91
Tobi Nary

Aux États-Unis, les institutions financières sont tenues par la Gramm-Leach-Bliley Act d'assurer la sécurité et la confidentialité des informations personnelles. Ce que vous décrivez est une violation flagrante de la FTC Safeguards Rule .

Je voudrais immédiatement déposer une plainte auprès de la FTC .

119
Emmet

Vous pouvez le signaler aux administrateurs du site, mais dans le cas probable où l'e-mail serait récupéré par le service client, il est peu probable qu'il soit compris.

J'espère que ce sera élevé à une équipe de développement qui j'espère le comprendra.

Cependant, vous voudrez peut-être inciter à la prudence, car si vous ne comprenez pas vraiment que vous ne voulez pas être accusé de piratage.

Au Royaume-Uni, par exemple, la "loi sur la protection des données" est une législation visant à protéger contre une telle mauvaise gestion. Le "bureau des commissaires à l'information" traite les plaintes. En particulier, il y a une déclaration sur le site gov.uk pour contacter l'ICO si:

Déposer une plainte

Si vous pensez que vos données ont été utilisées à mauvais escient ou que l'organisation qui les détient ne les a pas protégées, vous devez les contacter et leur en informer.

Si vous n'êtes pas satisfait de leur réponse ou si vous avez besoin de conseils, vous devez contacter le Commissariat à l'information (ICO).

https://www.gov.uk/data-protection/make-a-complaint

L'ICO est une ressource utile: https://ico.org.uk/

Le Royaume-Uni est particulièrement bon et je soupçonne que d'autres pays ont des législations similaires en place, mais certainement d'autres pays ne sont pas aussi à venir.

6
Alex KeySmith

Pouvez-vous mettre à jour ces informations personnelles et leur donner faux valeurs légèrement modifiées mais toujours valables? Par exemple, donnez-leur un code postal très proche (de préférence un numéro 9) que le facteur pourrait toujours trouver pour vous livrer le courrier. Ou "vous avez mal orthographié mon nom de famille, c'est DasBeesto pas DasBeasto"

Pouvez-vous changer votre nom d'utilisateur en quelque chose de très aléatoire?

Assurez-vous d'utiliser un mot de passe unique et long pour ce site, qui n'a absolument aucune relation avec les mots de passe que vous utilisez sur d'autres sites (pas Rand0m-sitex par exemple)

3
Neil McGuigan

Au lieu de fournir vos coordonnées bancaires à l'administrateur du prêt, fournissez les détails du compte de prêt à votre service de paiement de factures bancaires.

C'est en fait une bonne idée en général - placer des informations moins compromettantes sous la garde d'un compte plus précieux évite le problème de "l'escalade de privilèges".

De plus, si vous n'êtes pas certain que l'administrateur du prêt a effectivement effacé les coordonnées bancaires que vous leur avez fournies précédemment, informez votre banque de la situation. Ils vous délivreront de nouveaux numéros de compte et révoqueront ceux connus du site non sécurisé, et éventuellement feront également pression sur l'administrateur du prêt pour qu'il nettoie son acte.

2
Ben Voigt