所以我的问题是,鉴于这是一笔贷款,我不能随便离开有什么/我可以采取哪些预防措施或步骤使此方法更安全?给他们发送电子邮件并标记他们的安全性是否值得升级,还是我应该尽快付款然后离开?如果我确实警告了他们,我应该说它们容易受到哪些威胁,以期将它们吓倒?
#1 楼
如果您担心密码的私密性,进而担心帐户的私密性(应该是这种情况),则应尝试对客户服务进行培训。公开羞辱项目中针对这种鲁ck行为的开发人员FAQ列出了一些优点,值得一读。使他们对因这种不执行而引起的任何问题负责。如果他们没有找到解决此问题的理由,还应该记录该行为并尝试以书面形式引用他们的观点。 。因此,如果出现任何问题,从法律的角度来看,这将使您的事情更加轻松。的观点,这可能会帮助您解决问题。
此外,我假设您为该网站使用了安全的唯一密码,希望一直这样做。经常泄漏,请更改所有密码(在这种情况下,请确保为每个服务使用唯一的密码)
评论
评论不作进一步讨论;此对话已移至聊天。
–Rory Alsop♦
16年4月6日在7:45
#2 楼
《美国Gramm-Leach-Bliley法案》规定美国的金融机构有义务确保个人信息的安全性和机密性。您所描述的是公然违反FTC的《保障规则》。我会立即向FTC投诉。
评论
+1非常有趣的发现,我认为他们可以算作金融机构,如果这样的话肯定会违反。感谢您的带头。
– DasBeasto
16年3月16日在21:13
他们几乎可以肯定地算在内;正如相关的FTC文件所说,“金融机构”是根据GLB法案的目的而广义地解释的。
– Emmet
16年3月16日在21:19
嗯,是的,因此,按照他们提供的定义,他们当然可以算是没有某种官僚主义漏洞。我将等待他们对我的信息的回复,这样我可以了解故事的两个方面,但是我无法预见到一条不涉及提起其中一项投诉的道路。
– DasBeasto
16年3月16日在21:25
该文档实际上并未指定任何有关哈希密码的内容。似乎间接暗示它们应该用于员工密码(“难以破解的密码需要使用...”),但它仅表示公司必须实施书面安全计划;更不用说它必须是一个好产品。是否对这种事情有某种形式的外部监督?除了关于员工的部分以外,其他内容似乎还很模糊。
–山姆
16年3月18日在16:44
#3 楼
您可以将其报告给网站的管理员,但是如果客户服务接收到该电子邮件,则不太可能理解它。理解它。但是,您可能希望提请谨慎,就好像它被严重误解了一样,您也不想被指控黑客入侵。反对这种不当处理。 “信息专员办公室”处理投诉。特别是在gov.uk网站上有声明,如果发生以下情况,请与ICO联系:
进行投诉
如果您认为自己的数据被滥用或持有该数据的组织尚未保证安全,请联系他们
并告诉他们。
如果您对他们的答复不满意或需要任何建议,请
联系信息专员办公室(ICO )。
https://www.gov.uk/data-protection/make-a-complaint
ICO是有用的资源:https://ico.org.uk/
英国特别好,我怀疑其他国家也有类似的立法,但是其他国家肯定不会那么成功。
评论
我很高兴您提到了将其误认为黑客行为的可能性。我的一个大学同学在学校网络上做了一些简单的跟踪,发现瓶颈严重影响了性能。他将信息带给网络管理员,并被指控黑客入侵,并且几乎没有被开除(他们在剩余的几年里夺走了他房间的网络,将他从计算机实验室的工作中解雇了,等等)。对于那些不了解技术问题的人来说,将其技术信息之外的任何人视为威胁都是很正常的。
–otakucode
16 Mar 19 '16 4:00
#4 楼
您可以更新任何个人信息,并为他们提供经过稍微更改但仍然有效的伪造价值吗?像这样,给他们一个非常近的邮政编码(最好是9位数字),邮递员仍然可以找出来向您发送邮件。或“您拼错了我的姓氏,是DasBeesto而不是DasBeasto”您可以将用户名更改为高度随机的吗?该站点,该站点与您在其他站点上使用的密码绝对无关(例如,不是
rAnD0m-sitex
)评论
我不确定在申请贷款时他们可能从哪里获得了zip信息,但我会看看它是否可以更改。不幸的是,用户名是我的SSN,所以我不能将其随机更改。另外,由于这是联邦贷款,即信用额度,因此将其更改为假值可能被视为欺诈,但我不确定。
– DasBeasto
16 Mar 16 '16 at 18:47
另外,提供虚假的个人信息有什么好处?与实际债务数据相比,该信息最有可能通过其他方式获得,这在这里可能是更大的问题。
– Tobi Nary
16 Mar 16 '16 at 23:18
@SmokeDispenser:为了“恢复” DasBeasto帐户密码,攻击者需要提供相同的拼写错误。
–Ángel
16 Mar 16 '16 at 23:24
你是完全正确的。很累,我很累。晚安;)
– Tobi Nary
16 Mar 16 '16 at 23:27
我不会将您的个人信息更改为伪造。这些是您欠钱的人。即使它们的安全性是不负责任的垃圾,如果您站在他们的不利一边,您也不想冒险给他们提起诉讼。
– jpmc26
16-3-17在3:39
#5 楼
与其将您的银行详细信息提供给贷款管理者,不如将其贷款帐户详细信息提供给您的银行帐单支付服务。通常,这实际上是一个好主意-将妥协的信息放在更多有价值的帐户可以避免“特权升级”的问题。他们会向您发放新的帐号,并撤销不安全站点已知的帐号,并且可能还会给贷款管理人施加压力,要求他们清理行为。
评论
公开羞辱可能是一条路。具有讽刺意味的仅服务于http;)告诉您的公司,您正在从贷款中获得贷款,以使他们共同行动。如果船舶坠落而您的信息泄漏,请随时致电警察以获取被盗信息,并聘请律师就其被盗方法进行调查。(该站点不安全,因此最终归咎于公司。)
请为此网站使用唯一的密码。另外,我不确定他们是否使用HTTPS,但考虑到他们还有其他安全漏洞,如果SSL也丢失,我也不会感到惊讶。在这种情况下,请确保始终从没有安装嗅探器的相对受信任的网络访问该站点。当然,拥有网络或使用ISP路由器的人仍然可以通过HTTP以纯文本格式获取所有信息,但这是您现在可以做的最好的事情。
他们可能存储的是加密密码,而不是明文密码。稍差一些。它避免了仅数据库转储或SQL注入带来的普通明文泄漏。这仍然不是一个好习惯,因为如果服务器受到攻击,攻击者就可以通过一些额外的工作来提取解密密钥。
对于任何想知道的人,将近一年之后,我的电子邮件,网站内投诉或对FTC的投诉都没有得到答复。网站上仍然存在相同的问题。