忘了密码却收到明文密码，美国公用事业账单软件供应商SEDC的危险作法遭研究人员踢爆

科技新闻网站Ars Technica披露，替北美250家公用事业提供账单与会计解决方案的SEDC以明文储存了用户的密码，让数千万名用户曝于安全风险中。

向Ars Technica投诉的是一名代号为X的独立安全研究人员，他只是在去年9月碰巧发现当他忘了电力服务的密码以至于无法登入网站时，电力公司寄来的并不是大家习以为常的密码重设信件，而是直接以明文揭露了他原本设定的密码。

由于该电力公司的官网是由SEDC所设计，于是他查询了SEDC所建置的其它逾80个公用事业的网站，发现它们全都以电子邮件寄出明文密码，且这些公用事业的用户约有1,500万人。

SEDC为一经营超过40年的账单及会计解决方案供应商，主要的客户为公用事业，在北美的客户数超过250家，若它们全都采用一致的系统，那么受到明文密码波及的用户数应该达到数千万人。

其实X并没有发现任何的安全漏洞，只是质疑现代还有大型科技服务供应商以明文存放用户密码，Ars Technica则说，一旦相关网站遭到骇客入侵，骇客轻而易举地就能掳获所有用户的密码，连破解都不需要。

当X多次企图与电力公司及SEDC联系时，最后只收到SEDC法律顾问Mark Cole的回信，指出此一作法并未违反《支付产业资料安全标准》（Payment Card Industry Data Security Standard，PCI-DSS），还要X不要再骚扰SEDC的员工、客户或其它第三方。

SEDC并未回应Ars Technica的采访要求，而是在报导曝光的同一天发表了声明，指出该公司无法透露数据库及软件的机密元素，不过他们并未违反PCI-DSS，也没有任何安全漏洞，且已改善了系统。

SEDC在去年12月更新了软件，新增密码重设连结，同时移除了以邮件寄出明文密码的功能，也正在执行第二阶段的修补，以杂凑及加盐来处理密码，测试完毕之后将会部署至所有用户系统上。