作为对策,我正在处理该站点上使用的密码好像它已经泄漏了一样,并确保我在其上使用过的所有其他网站都使用新的唯一密码。可以肯定的是。
以最大的机会成功鼓励他们改正其密码策略的最佳方法是什么?
#1 楼
如果他们通过信用卡处理付款,则他们必须遵守PCI-DSS。您可以随时举报违规行为。他们可能会派出审核员并坚持进行补救。整个过程可能需要一年或更长时间。假设您发现了真正的问题,那么如果他们已经在为此工作,我也不会感到惊讶。评论
如果OP的帐户可以某种方式访问持卡人数据(或者至少是存储在其上的系统),那不应该仅仅是违反PCI-DSS吗?仅仅因为他们可以通过其网站进行付款,并不意味着客户的帐户可以以任何方式访问任何这些数据(当然,如果他们通过电子邮件发送明文密码,他们知道他们还会做什么疯狂的事情)。
– lzam
17年7月4日在16:28
PCI第8节介绍了密码。如果OP可以付款,则他可以访问持卡人数据。
–吴宗宪
17年7月5日在7:05
即使WD使用Digital River作为其网上商店的处理公司,WD是否仍需要保持PCI-DSS遵从性?
–邓妮
17年7月5日在9:58
@JohnWu“如果操作员可以付款,那么他可以访问持卡人数据”并不一定正确-在许多支付系统中,都没有存储持卡人数据,即您无法访问自己过去的付款数据,因此无法访问自己的帐户无法访问您的CHD数据。
– Peteris
17年7月6日在13:31
@JohnWu是的,在这种情况下,PCI DSS将需要对传输中的CHD进行加密(例如使用https)并具有其他要求,但是(如我所说)PCI DSS遵从性并不要求该用户具有安全的帐户密码,实际上,只要不存储CHD,那么付款人根本不需要任何密码。 PCI DSS详细说明了可以访问CHD的帐户的密码要求,但是这些密码要求不适用于组织通常可能拥有的所有帐户,并且不适用于此情况-它们可以轻松地合规。
– Peteris
17年7月6日在16:09
#2 楼
如果公司以纯文本格式向您发送您的登录详细信息,则可以公开羞辱您现有的登录信息,也可以公开羞辱您。纯文本违规者是一个网站,您可以通过简单地提交来发布其愚蠢行为违规电子邮件的屏幕截图。请小心,不要输入任何敏感信息。这是一个值得关注的站点,因此您知道要避免使用哪些公司。
评论
我很好奇PTO是否会努力将问题通知违法者。他们没有在他们的网站上确认它(我可以看到),但是我确实找到了关于违规者的错误报告,该报告似乎表明PTO将为您联系违规者。因此,您可能只需要将该站点发送到PTO,而不必试图弄清楚如何与公司联系。但是无论如何联系公司都没有什么害处,特别是因为不清楚PTO是否总是这样做。
–凯特
17年7月4日在20:48
他们最近的职位已超过一年。该网站仍然活跃吗?
–凯文
17年7月8日在2:44
该网站似乎还很不稳定。我已经提交了大概几十个网站,这些网站在创建帐户或重置后向我发送了(输入的)密码。而且没有人出现在他们的名单上。应该做一个替代方案...
–道格拉斯·加斯凯(Douglas Gaskell)
18年5月12日在1:12
#3 楼
看来Western Digital没有安全团队,您可以直接联系有关漏洞的信息。实际上,我在他们的支持网站上找到了一个帖子,专门询问为什么没有电子邮件地址或PGP密钥可用于漏洞,而WD的人都没有回应。我确实发现有人说他们需要报告漏洞,支持人员回答说,他会私下向该人员发送消息。我建议你也这样做。
#4 楼
我认为这可能属于负责任的披露范围。您应该采取的一些步骤已经被单独提及,但是应该作为整体解决问题的方法的一部分。首先要做的就是向支持团队报告问题。
详细说明复制问题的步骤(例如,恢复密码,以纯文本格式接收密码) ),并包含有关这些信息揭示了它们如何处理密码以及为什么这样做是一个坏主意的信息。
我还将包括一些有关慢火问题的新闻报道,以提供背景信息,例如,关于PlusNet的例子。
我会向他们解释,如果他们没有在x天(对于我来说合理的90天接缝)内解决问题,则您打算采取行动。
告诉他们这个动作是什么。例如,您认为他们正在处理信用卡,因此您打算举报PCI违规行为。明确说明如果问题未解决,您打算公开披露该问题。 (博客文章,社交媒体,向其报告专门的媒体,“假冒”网站等)。
要记住的几件事是,即使它们有问题,也需要一些时间来实施。更改(尽管值得怀疑),由于IT团队缺乏投资和/或技能,他们可能不会意识到这个问题,因此请诚实行事,并给他们合理的时间进行更改。
您应该做的第二件事是继续上面的操作。
当然,这里的问题是,这个问题已经直接跳到了公开披露中。
鉴于此,我将提供一个指向该问题的链接,因为看到一堆安全专家讨论该问题无疑会激起系统管理员的思想(如果不这样做,那么Western Digital应该在寻找用于新的系统管理员)
评论
冒犯性公司的故意设计决策真的需要负责任的披露吗?我发现这样的问题不太可能是仅由错误引起的。
– Ajedi32
17年7月5日在15:04
谁知道原因是什么,设计决策,过失等等。这不是错误,但它是缺陷。就我个人而言,我会谨慎行事,并诚实地举报行为,并向他们报告并给予他们实施更改的机会。但是,这只是一个观点。
–TheJulyPlot
17年7月5日在15:14
#5 楼
纯文本密码不是您(=用户)的问题您应该将密码视为共享的机密-即,假设您和WD都知道。毕竟,每次您登录他们的网站时,您都说:“嗨,我叫Douglas Gaskell,我的密码叫Correct Horse Battery Staple,请让我进入。”如果恶意分子入侵了他们的网站,他们不需要您的密码-他们仍然可以访问您的数据。 Ashley Madison会对用户的密码进行哈希处理,但这在数据泄露后并没有太大的安慰。
由于密码重用的危险,网站所有者不应存储纯文本密码-但您不应重用密码首先。为每个站点选择唯一的强密码。这样,以纯文本格式存储的密码并不是您真正的问题。如果确实在其他站点上重复使用了WD密码,请在WD和所有其他站点上进行更改(如果可能)。
不要浪费时间
用户无法控制他们的密码是否经过哈希处理。大公司要么有理由以可恢复的形式存储密码(不一定暗含明文),要么冒充或根本就不在乎。他们的密码系统可能由多个服务使用,其中一些可能是非常旧的大型机。您不太可能更改其密码策略。
通过
以可恢复的形式存储密码并不意味着以明文形式存储密码。
; TL:DR:使用强密码,不要重复使用它们,将它们保留在良好的密码管理器中,为对您有价值的帐户启用两因素身份验证,不必担心关于您无法控制的事情。
评论
“如果恶意分子入侵了他们的网站(...),他们仍然可以访问您的数据。”不,不一定。他们并不总是具有完全访问权限。此外,密码不仅涉及机密性。如果他们可以使用您的密码登录到该站点,则他们可以伪装成您并以您的名义行事。
– S.L.巴特-恢复莫妮卡
17年7月5日在14:50
@ el.pescado否,如果密码正确地被哈希了....
– schroeder♦
17年7月5日在14:58
如果密码是以明文形式存储的,那么有权访问密码的任何人都可以冒充系统中的任何人,包括公司的员工。这就是为什么您应该正确地对密码进行哈希处理的原因。
– schroeder♦
17年7月5日在15:00
@ el.pescado同样,不一定。可以访问密码的哈希哈希,而无需访问其他数据。一种情况是攻击者泄漏了盐腌的哈希,而没有放弃他们获得的其他数据。那已经发生了。
– S.L.巴特-恢复莫妮卡
17年7月5日在15:04
好吧,假设我是银行网站的用户。银行使用一个单独的数据库存储密码(好主意)。应用程序具有SQLi漏洞,但仅在密码DB上。如果银行正确地添加了盐和哈希,攻击者将无法完成全部工作-服务器将使用存储的值检查发送的所有内容的哈希,因此他们无法像我一样拥有已盐化的哈希登录。我的钱很安全(足够)。如果银行以明文形式存储它们,攻击者就可以以我的身份登录,而我的所有钱都用光了(收回这可能是一个漫长的法律程序,我现在没有钱可付)。用户问题。
–纤巧
17年7月6日在17:21
评论
他们是通过电子邮件给您忘记的密码还是通过新密码使您输入密码重设表单?如果是前者,便是plaintextoffenders.com的情况,在后者情况下,我认为对此没有任何不安全感。评论不作进一步讨论;此对话已移至聊天。
您可以在不重新输入卡信息的情况下进行新购买吗?做到这一点的能力使PayPal等网站真正敏感。一个典型的电子商务站点不允许这样做,或者迫使您至少重新输入安全代码,从而大大降低了风险。亚马逊有一个有趣的变体,如果您更改送货地址,它们会迫使您重新输入卡安全码。