Zero
RCN, uno dei più grandi internet e fornitori di servizi via cavo in USA, ha ammesso oggi su Twitter che memorizza le password degli utenti in chiaro le password, per cui il suo supporto alla clientela i dipendenti hanno accesso in qualsiasi momento durante le richieste di supporto tecnico.
Un RCN portavoce ha detto che “[assistenza clienti] agenti hanno bisogno di vedere questa password per verificare la proprietà dell’account quando alcuni cambiamenti sono richiesti.”
Questa rivelazione è venuto per essere, dopo che un utente che va su Twitter come Lomgrim chiamato RCN supporto durante il fine settimana. Prima di chiamare, Lomgrim dice di aver usato KeePass –un password manager è un’applicazione– per generare un casuale 26 caratteri password per il suo RCN conto.
Egli sostiene che la RCN dipendente il trattamento della sua chiamata è stata in grado di visualizzare e quindi leggere la password di nuovo a lui, senza verificare che stava parlando al proprietario del conto.
Parlando di ZDNet, Lomgrim segnalato questo reporter per un thread Reddit ha aperto durante il fine settimana, dove ha ventilato in materia.
“Loro rep senza alcuna convalida è stato in grado di vedere la mia password che avevo impostato solo online, a 5 minuti prima, in chiaro e poi dritto fino a LEGGERE di nuovo A ME, AL TELEFONO chiedendo ‘la password sembra molto lungo e strano, sei sicuro che questo è quello che vuoi?’,” Lomgrim detto.
Ma mentre Lomgrim confermato che questa era la prima volta che è successo a lui, gli altri utenti commentando la stessa Reddit minaccia affermato di aver avuto lo stesso problema in passato.
“Ho appena parlato con un rappresentante del servizio clienti e mi hanno detto la stessa cosa. Non riesco a capire perché dovrebbe essere un problema”, un utente di Reddit, ha detto.
Il problema che RCN dipendenti non sembrano capire, in quanto l’utente ha messo, è che non verifica l’identità di chi prima di dare una password, questo può portare a gravi violazioni della privacy.
Per esempio, stalker potrebbe trovare un nuovo modo di invadere la privacy delle loro vittime, mentre i truffatori e truffatori possono sfruttare questa vulnerabilità per ottenere l’accesso a un tesoro di dati personali e le informazioni finanziarie.
TechRepublic: Perché il 31% delle violazioni di dati di piombo per i dipendenti il licenziamento
Secondo Lomgrim, questo può causare alcuni problemi seri, come il RCN account, proprio come qualsiasi altro account in più di NOI, a base di ISP, negozi piuttosto una ricchezza di informazioni personali.
“MyRCN portale web che contiene l’accesso al portale di fatturazione, nonché autopay di installazione,” Lomgrim detto a ZDNet. “Bill storia di pagamento è disponibile per il download per l’intero mandato.
“È anche possibile modificare le vostre domande di sicurezza nel portale e la password dell’account stesso. Inoltre, MyRCN portale ti permette di cambiare RCN la password di Webmail a titolo definitivo, senza dover fornire la vecchia password.
“È inoltre possibile aggiornare il vostro indirizzo di fatturazione. A mio modo di vedere, se un utente malintenzionato ha accesso a questo account, si può tirare giù tutti i miei interventi, per ripristinare il mio RCN e-Mail la password (se stavo usando uno), e impostare il mio indirizzo di fatturazione ad altro, e disattivare la fatturazione senza supporto cartaceo, in modo che essi sono in grado di instradare le mie bollette, il loro indirizzo, a” Lomgrim aggiunto.
CNET: Ticketmaster squadre con scalper a rip off, il rapporto dice. Studio afferma che in nessun modo
ZDNet ha raggiunto RCN prima di oggi con alcune domande sulla società la pratica. In una e-mail, l’azienda ha risposto che sta studiando il problema.
“RCN prende tutte le nostre richieste dei clienti, di preoccupazioni e di feedback molto sul serio. Siamo alla ricerca in questa materia; siamo in contatto con il cliente e la raccolta di tutte le informazioni pertinenti,” Bill Sievers, Senior Vice President di Servizio al Cliente, RCN, ha detto a ZDNet via e-mail. “Forniremo gli aggiornamenti non appena disponibili.”
Una rapida ricerca Twitter rivela anche questa è andata avanti per almeno quattro anni. La società è stata abbastanza in anticipo su questa politica a partire dal 2014, secondo un vecchio tweet.
“RCN i nostri rappresentanti hanno accesso alla webmail password e MyRCN password nel caso in cui si dimenticherà di loro,” un RCN rappresentante scritto sull’account Twitter ufficiale nel 2014, rispondendo a un utente che lamentano la stessa cosa –un RCN impiegato di call center per leggere la password dell’utente sul telefono.
E c’è anche un quattro-anno-vecchio Reddit thread con lo stesso reclamo su RCN i dipendenti che hanno accesso ai clienti password in chiaro.
Ma RCN non è la prima o l’ultima compagnia accidentalmente rivelare su Twitter che memorizza cliente password in chiaro. Pochi mesi prima, T-Mobile Austria ammessi alla stessa pratica.
A seguito di diverse successivi reclami degli utenti e un lungo flusso di online scherno e di critica, l’azienda finalmente implementato la password hashing come un modo per impedire che i dipendenti o gli hacker di visualizzare le password in chiaro.
Anche: Premera Croce Blu accusati di distruggere le prove in caso di violazione di dati querela
Come per Lomgrim, l’utente speranze ISP migliora la postura di sicurezza in riferimento alla gestione delle password, un po ‘ rimpiangere la media tempesta ha causato.
“RCN è stata generalmente il mio ISP di scelta”, ha detto a ZDNet. “Il loro servizio clienti è regolarmente molto responsabile, con rari problemi che derivano tendono ad essere risolto presto e bene. Essi forniscono più veloce e migliore servizio, tra cui gigabit, per i prezzi che sono molto meglio di Comcast, senza alcun obbligo contrattuale di obblighi di servizio.”
Il problema con la memorizzazione di password in chiaro non è così male come altri problemi che una società come RCN potrebbe affrontare, ed è certamente qualcosa che la società potrebbe risolvere in un batter d’occhio se mai raggiunto la giusta decisione. Ci sono molti altri modi per verificare l’identità di un cliente o di risoluzione di problemi tecnici, senza la lettura e la password dell’utente che chiede se “è questo è il vostro?”.
Relativi copertura:
AdGuard reimposta tutte le password utente dopo di credenziali ripieno attackTwitter informa gli utenti sulle API bug che condiviso DMs con sbagliato devsWendy volti querela per violazione di legge la raccolta dei dipendenti fingerprintsCanadian rivenditore server di memorizzazione di 15 anni di dati utente venduto su Craigslist
Argomenti Correlati:
Networking
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0