Есть официальный ответ

Домру хранит пароли пользователей в открытом виде⁠⁠

Короче говоря, решила я сменить интернет-провайдера. Пару дней назад оставила заявку на подключение, мне перезвонил оператор, добавил в заявку услуги, от которых я отказалась, а он все равно добавил, назначил дату подключения.

Чтобы разобраться с услугами, запросила у поддержки в чатике данные для входа в личный кабинет, которые мне прислали смской. После входа в ЛК сменила присланный пароль, конечно же.

В день подключения пришел ко мне спец по этому делу, все подключил (но история не об этом), и припёр мне бумажечку стандартную с данными для входа в ЛК. В которой что? Правильно, в которой был записан мой, уже сменённый, постоянный пароль. В неизменном и самом что ни на есть открытом виде. Что это означает? Это означает, что в таком виде они его и передают и хранят.

Порядком охуев и заодно охуевив нашего бэкендера, которому теперь страшно жить, пошла писать этот пост. В процессе гугления на предмет дубликатов нашла следующую интересную переписку аж от 2019г поддержки домру с пользователем вконтакте:

Домру хранит пароли пользователей в открытом виде Дом ру, Негатив, Информационная безопасность, Мат, Длиннопост

Нет, уважаемый Алексей, доступ к твоему паролю может получить не только любой сотрудник, имеющий доступ к БД. Возможно, доступ к твоему паролю может получить вообще любой сотрудник (ну приперли же мне мой пароль на листочке).

Да, они делают это давно, осознанно, и им не жаль.

Будучи хорошей девочкой, если б я работала в домру на администрировании бд, в поддержке, на заключении договоров, распечатке или доставке документов, я бы ни за что не стала чекать, а не используешь ли ты, дорогой ленивый пользователь, тот же пароль в других сервисах. Но не все люди такие же хорошие, как я.

Так что, дорогой ленивый пользователь, убедись пожалуйста, чисто на всякий случай, что твои пароли от финансовых сервисов и критичных учеток типа гугл-эпл-итп и соцсетей, позволяющих авторизоваться где ни попадя, не совпадают вообще, и не совпадают с паролем от ~~этого днища~~ ЛК крупнейшего и популярнейшего провайдера, в рот ему ноги, блять, в частности, потому что они, судя по всему, ничего менять не собираются.

Ну и карту я туда привязывать кончено же не буду, и вам не посоветую, опять же, чисто на всякий случай.

У меня всё, мораль найдите сами.

И берегите пароли смолоду. И номера телефонов для двухфакторной авторизации тоже берегите.