Superando até a barracada com o verificador dos números de contribuinte da CNN Portugal, a eSUN, empresa de filamentos para impressoras 3D, torna-se em mais um caso de estudo sobre como não fazer uma migração de utilizadores para um novo sistema.
A empresa está a informar os clientes que, por levar a segurança dos seus utilizadores muito a sério, o processo de transferir as contas para o novo sistema no seu site está a ser acompanhado pelo reset das passwords. Até aqui tudo muito bem, pois se as coisas estiverem bem feitas, nem sequer deveriam conseguir aceder às passwords originais dos utilizadores. O problema é que, nesse mesmo processo de reset das passwords, parece ter optado por ignorar todas as regras básicas de segurança com que diz preocupar-se: fazendo com que a nova password dos utilizadores seja igual ao seu email!
Nem sequer podemos imaginar o que terá passado pela cabeça das pessoas responsáveis por esta decisão, mas obviamente que colocar uma password igual ao email é equivalente ao deixar a porta completa aberta para que qualquer atacante entre nessas contas sem problemas.Uhhh @troyhunt have you seen this? @esun3dfilament is doing one of the biggest security blunders I have ever seen! pic.twitter.com/Ht0NJakWXk
— Gatorz (@GatorzVR) October 14, 2024
O processo habitual de reset das password deverá consistir em algo como:
- Utilizador tenta fazer o login
- O site indica que é preciso definir uma nova password, enviando um link com código único para o email do utilizador
- Utilizador vai à sua caixa de email e clica no link, indo para uma página onde introduz a sua nova password
É uma empresa chinesa.
ResponderEliminar