web-dev-qa-db-fra.com

Comment résoudre une mauvaise politique de sécurité par mot de passe d'une grande entreprise?

Je suis juste allé réinitialiser mon mot de passe Western Digital et ils m'ont envoyé mon mot de passe en clair, au lieu de fournir un formulaire en ligne pour me permettre de le changer. Cela m'inquiète vraiment car le site accepte/traite les paiements pour leurs disques, et j'ai déjà effectué des paiements sur ce site.

En guise de contre-mesure, je traite ce mot de passe utilisé sur ce site comme s'il avait déjà été divulgué, et j'assure un nouveau mot de passe unique pour tous les autres sites sur lesquels je l'ai utilisé. Juste pour être sûr.

Quelle est la meilleure façon de résoudre ce problème d'une manière qui aurait les meilleures chances de les encourager à corriger leur politique de mot de passe?

98
Douglas Gaskell

S'ils traitent les paiements par carte de crédit, ils doivent maintenir la conformité PCI-DSS. Vous pouvez toujours signaler une infraction . Ils pourraient potentiellement envoyer un auditeur et insister sur des mesures correctives. L'ensemble du processus prendrait probablement un an ou plus. Cela ne me surprendrait pas s'ils y travaillent déjà, en supposant que vous ayez trouvé un problème de bonne foi.

86
John Wu

Si une entreprise vous envoie vos informations de connexion en texte clair, que ce soit votre existant ou un nouveau, vous pouvez les faire honte publiquement.

Plain Text Offenders est un site sur lequel vous pouvez publier leur stupidité en soumettant simplement une capture d'écran de l'e-mail incriminé. Veillez à masquer tous les détails sensibles. C'est un site à surveiller, vous savez donc quelles entreprises éviter d'utiliser.

38
Chenmunka

Il semble que Western Digital ne dispose pas d'une équipe de sécurité que vous pouvez contacter directement à propos des vulnérabilités. En fait, j'ai trouvé un message sur leur site de support demandant spécifiquement pourquoi il n'y avait pas d'adresse e-mail ou de clé PGP à utiliser pour les vulnérabilités et personne de WD n'a répondu.

Ce que j'ai trouvé, c'est que quelqu'un a dit qu'il devait signaler une vulnérabilité et une personne de soutien a répondu qu'il enverrait un message privé à la personne. Je vous suggère de faire de même.

34
Swashbuckler

Je pense que cela relève probablement de la divulgation responsable. Il y a quelques mesures que vous devriez prendre qui ont déjà été mentionnées isolément mais qui devraient probablement être prises dans le cadre d'une approche holistique du problème.

La première chose à faire est de signaler le problème à l'équipe d'assistance.

Détaillez les étapes à suivre pour répliquer le problème (c'est-à-dire récupérer le mot de passe, recevoir le mot de passe en texte brut) et inclure des informations sur ce que cela révèle sur la façon dont ils gèrent les mots de passe et pourquoi c'est une mauvaise idée.

J'inclurais également des articles sur des problèmes de mijotage dans le passé pour fournir un contexte, par exemple celui-ci sur PlusNet .

Je leur expliquerais que s'ils n'ont pas résolu le problème avec x jours (90 jours raisonnables pour moi), vous avez l'intention de prendre des mesures.

Dites-leur en quoi consiste cette action. Par exemple, si vous pensez qu'ils traitent des cartes de crédit, vous avez donc l'intention de signaler une violation PCI. Expliquez clairement que si le problème n'est pas résolu, vous avez l'intention de le divulguer publiquement. (Article de blog, médias sociaux, signalant les médias spécialisés, sites de "honte", etc.)

Quelques points à retenir sont que même s'ils sont en faute, cela leur prendra un certain temps pour mettre en œuvre le changement, (bien que douteux), ils peuvent ne pas se méfier du problème en raison du manque d'investissement et/ou de compétences dans l'équipe informatique, donc agir de bonne foi et leur accorder un délai raisonnable pour effectuer le changement.

La seconde chose que vous devez faire est de suivre ce qui précède.

Le problème ici est bien sûr que cette question a directement sauté à la divulgation publique.

Compte tenu de cela, j'inclurais un lien vers cette question, car voir un groupe de professionnels de la sécurité discuter de la question va sans aucun doute éveiller l'esprit du sysadmin (et si ce n'est pas le cas, Western Digital devrait rechercher un nouveau sysadmin)

12
TheJulyPlot