我有一家公司的学生贷款帐户,该公司不是最大的公司,但规模足够大,可以让他们共同行动。今天,我忘记了登录帐户仪表板的密码。我单击“忘记密码”,他们用5个问题提示我。名,姓,最后4位数字的SSN,生日和邮政编码。只要努力就可以轻松获得所有信息,更不用说定期发送的有关付款的电子邮件中包含的所有信息。输入信息后,网站会回答说我已通过身份验证,并以明文形式给我密码。电子邮件他们只是将其显示在屏幕上,此外,他们还将密码以明文形式存储在数据库中。这是一个帐户,其中包含我的数千美元贷款的详细信息以及我的自动付款的银行详细信息。幸运的是,没有提供的详细信息是我的用户名,即我的完整SSN,因此这是安全性的最后一环。但是,如果他们存储未加密的密码,我确定我的SSN也不存在,这会使情况变得更糟。

所以我的问题是,鉴于这是一笔贷款,我不能随便离开有什么/我可以采取哪些预防措施或步骤使此方法更安全?给他们发送电子邮件并标记他们的安全性是否值得升级,还是我应该尽快付款然后离开?如果我确实警告了他们,我应该说它们容易受到哪些威胁,以期将它们吓倒?

评论

公开羞辱可能是一条路。具有讽刺意味的仅服务于http;)
告诉您的公司,您正在从贷款中获得贷款,以使他们共同行动。如果船舶坠落而您的信息泄漏,请随时致电警察以获取被盗信息,并聘请律师就其被盗方法进行调查。(该站点不安全,因此最终归咎于公司。)
请为此网站使用唯一的密码。另外,我不确定他们是否使用HTTPS,但考虑到他们还有其他安全漏洞,如果SSL也丢失,我也不会感到惊讶。在这种情况下,请确保始终从没有安装嗅探器的相对受信任的网络访问该站点。当然,拥有网络或使用ISP路由器的人仍然可以通过HTTP以纯文本格式获取所有信息,但这是您现在可以做的最好的事情。
他们可能存储的是加密密码,而不是明文密码。稍差一些。它避免了仅数据库转储或SQL注入带来的普通明文泄漏。这仍然不是一个好习惯,因为如果服务器受到攻击,攻击者就可以通过一些额外的工作来提取解密密钥。
对于任何想知道的人,将近一年之后,我的电子邮件,网站内投诉或对FTC的投诉都没有得到答复。网站上仍然存在相同的问题。

#1 楼

如果您担心密码的私密性,进而担心帐户的私密性(应该是这种情况),则应尝试对客户服务进行培训。公开羞辱项目中针对这种鲁ck行为的开发人员FAQ列出了一些优点,值得一读。使他们对因这种不执行而引起的任何问题负责。

如果他们没有找到解决此问题的理由,还应该记录该行为并尝试以书面形式引用他们的观点。 。因此,如果出现任何问题,从法律的角度来看,这将使您的事情更加轻松。的观点,这可能会帮助您解决问题。

此外,我假设您为该网站使用了安全的唯一密码,希望一直这样做。经常泄漏,请更改所有密码(在这种情况下,请确保为每个服务使用唯一的密码)

评论

评论不作进一步讨论;此对话已移至聊天。

–Rory Alsop♦
16年4月6日在7:45

#2 楼

《美国Gramm-Leach-Bliley法案》规定美国的金融机构有义务确保个人信息的安全性和机密性。您所描述的是公然违反FTC的《保障规则》。

我会立即向FTC投诉。

评论

+1非常有趣的发现,我认为他们可以算作金融机构,如果这样的话肯定会违反。感谢您的带头。

– DasBeasto
16年3月16日在21:13
他们几乎可以肯定地算在内;正如相关的FTC文件所说,“金融机构”是根据GLB法案的目的而广义地解释的。

– Emmet
16年3月16日在21:19
嗯,是的,因此,按照他们提供的定义,他们当然可以算是没有某种官僚主义漏洞。我将等待他们对我的信息的回复,这样我可以了解故事的两个方面,但是我无法预见到一条不涉及提起其中一项投诉的道路。

– DasBeasto
16年3月16日在21:25
该文档实际上并未指定任何有关哈希密码的内容。似乎间接暗示它们应该用于员工密码(“难以破解的密码需要使用...”),但它仅表示公司必须实施书面安全计划;更不用说它必须是一个好产品。是否对这种事情有某种形式的外部监督?除了关于员工的部分以外,其他内容似乎还很模糊。

–山姆
16年3月18日在16:44

#3 楼

您可以将其报告给网站的管理员,但是如果客户服务接收到该电子邮件,则不太可能理解它。理解它。
但是,您可能希望提请谨慎,就好像它被严重误解了一样,您也不想被指控黑客入侵。反对这种不当处理。 “信息专员办公室”处理投诉。特别是在gov.uk网站上有声明,如果发生以下情况,请与ICO联系:

进行投诉
如果您认为自己的数据被滥用或持有该数据的组织尚未保证安全,请联系他们
并告诉他们。
如果您对他们的答复不满意或需要任何建议,请
联系信息专员办公室(ICO )。

https://www.gov.uk/data-protection/make-a-complaint
ICO是有用的资源:https://ico.org.uk/
英国特别好,我怀疑其他国家也有类似的立法,但是其他国家肯定不会那么成功。

评论

我很高兴您提到了将其误认为黑客行为的可能性。我的一个大学同学在学校网络上做了一些简单的跟踪,发现瓶颈严重影响了性能。他将信息带给网络管理员,并被指控黑客入侵,并且几乎没有被开除(他们在剩余的几年里夺走了他房间的网络,将他从计算机实验室的工作中解雇了,等等)。对于那些不了解技术问题的人来说,将其技术信息之外的任何人视为威胁都是很正常的。

–otakucode
16 Mar 19 '16 4:00

#4 楼

您可以更新任何个人信息,并为他们提供经过稍微更改但仍然有效的伪造价值吗?像这样,给他们一个非常近的邮政编码(最好是9位数字),邮递员仍然可以找出来向您发送邮件。或“您拼错了我的姓氏,是DasBeesto而不是DasBeasto”

您可以将用户名更改为高度随机的吗?该站点,该站点与您在其他站点上使用的密码绝对无关(例如,不是rAnD0m-sitex

评论

我不确定在申请贷款时他们可能从哪里获得了zip信息,但我会看看它是否可以更改。不幸的是,用户名是我的SSN,所以我不能将其随机更改。另外,由于这是联邦贷款,即信用额度,因此将其更改为假值可能被视为欺诈,但我不确定。

– DasBeasto
16 Mar 16 '16 at 18:47
另外,提供虚假的个人信息有什么好处?与实际债务数据相比,该信息最有可能通过其他方式获得,这在这里可能是更大的问题。

– Tobi Nary
16 Mar 16 '16 at 23:18
@SmokeDispenser:为了“恢复” DasBeasto帐户密码,攻击者需要提供相同的拼写错误。

–Ángel
16 Mar 16 '16 at 23:24
你是完全正确的。很累,我很累。晚安;)

– Tobi Nary
16 Mar 16 '16 at 23:27
我不会将您的个人信息更改为伪造。这些是您欠钱的人。即使它们的安全性是不负责任的垃圾,如果您站在他们的不利一边,您也不想冒险给他们提起诉讼。

– jpmc26
16-3-17在3:39


#5 楼

与其将您的银行详细信息提供给贷款管理者,不如将其贷款帐户详细信息提供给您的银行帐单支付服务。

通常,这实际上是一个好主意-将妥协的信息放在更多有价值的帐户可以避免“特权升级”的问题。他们会向您发放新的帐号,并撤销不安全站点已知的帐号,并且可能还会给贷款管理人施加压力,要求他们清理行为。