2019/03/02

Milhões de passwords em plain-text em empresa nos EUA pouco preocupada com segurança


Servindo de alerta para o completo desrespeito pelas mais básicas regras de segurança, foi descoberta nos EUA (mais) uma empresa de dimensão considerável que guarda as passwords de milhões de clientes em texto.

A SEDC é uma empresa que desenvolve a parte da gestão para empresas de fornecimento de serviços (como electricidade, água, etc), contando com quase uma centena de clientes, que no total resultam no processamento de milhões de clientes finais. Infelizmente, comum a todos os sites de todas as empresas que usam este seu sistema, está a gravíssima falha de guardar as passwords em texto.

O assustador caso foi descoberto através do teste simples de se pedir a recuperação da password, e constatar que, em vez de enviar uma nova password temporária ou direccionar o cliente para uma página onde tinha que definir uma nova password, o sistema da SEDC limita-se a enviar a password que o cliente tinha introduzido... por email.

Já lá vão mais de 7 anos desde que falamos de ser inconcebível que, qualquer empresa que lide com passwords de clientes, as guarde em formato recuperável, e abordando a questão do hashing e do salting. Já é suficientemente preocupante que as empresas não usem um algortimo de hash seguro ou um salt correcto, podendo facilitar a recuperação de passwords relativamente comuns ou curtas; mas quando se vê um site a enviar-nos a password introduzida por email... então aí é um autêntico "sinal vermelho" de que esse serviço não tem qualquer preocupação ou respeito pela segurança dos utilizadores.

De resto, este é precisamente um teste que se recomenda fazer em todo e qualquer novo serviço que se registem, para esclarecer imediatamente se é "deste tipo" de empresas...

1 comentário:

  1. Hoje recebi um e-mail do Have I Been Powned a alertar-me que a minha conta de Gmail estava em risco, por falha de segurança associado ao site Share This.
    Este site não me diz nada, mas até dou de barato, que poderia, em tempos remotos, ter criado uma conta.
    Dai que fui ao site e tentei recuperar a senha de acesso.
    Estranhamente, o site informa-me que o utilizador não existe.
    Já aconteceu algo do género a mais alguea?

    ResponderEliminar

[pub]