Merk: VilVite har respondert på dette blogginnlegget, se kommentarer på slutten. Stor takk til god og rask respons fra VilVite!
Søndag 6 februar var jeg på VilVite senteret i Bergen, med min datter og en av hennes venninner. Et fantastisk sted for både store og små, med leker og aktiviteter av den typen som er både morsomme og lærerike. I tillegg har de alle en flott forankring i vitenskapens verden. Så gøy at vi forlengst har anskaffet oss årskort. Men så var det dette med sikkerhet da....
VilVite senteret bruker RFID brikker som adgangskort, både for dagsbesøk og for årskort, slik vi har. Ved å bruke disse elektroniske kortene kan man registrere seg med navn og e-post adresse, og deretter registrere sin innsats på flere ulike aktiviteter. (Videoen over er fra dagens kjøring av Sentrifugalskapen, en sykkel hvor du tråkker deg rundt til bildet går i svart, eller de ansatte stopper deg. Hva gjør man ikke for sin datter?)
Jeg ble gjort oppmerksom på muligheten for registrering og uthenting av video fra Sentrifugalskapen i dag, og registrerte meg rett etter på en av de mange utplasserte terminalene deres. Enkelt og greit, e-post adresse og passord (krav: minimum 8 karakterers lengde).
Da jeg kom hjem hadde jeg fått e-post fra Vilvite, med mitt passord oppgitt i klartekst, og beskjed om at jeg kunne logge meg inn på websidene deres. Allerede litt irritert går jeg inn på www.vilvite.no, og derfra videre til minside.vilvite.no. Jahaja. Ingen bruk av SSL kryptering ved innlogging.
Enkelt oppsummert:
VilVite senteret, sammen med sine 2 utviklere, Expology og FuggiBagi Design, bryter altså to av de aller mest elementære regler for sikkerhet i Internett løsninger:
1. Bruk alltid SSL kryptering for å beskytte minimum innlogging, helst alt innhold av personlig karakter.
2. ALDRI ALDRI ALDRI lagre eller sende brukeres passord i klartekst, men implementere en enkel løsning for å resette passord dersom brukeren har glemt det.
Tålmodigheten ble ikke bedre da det ikke var noen mulighet for å slette enkeltelementer fra min profil (f.eks. dagens video), eneste alternativ jeg fant var å slette hele min profil.
Så jeg vil gjerne vite om VilVite vil endre på sin løsning, slik at den bedre ivaretar personvernet til barn og voksne som benytter deres mange muligheter?