Tuesday, September 25, 2012

Ny runde: Anonyme Spørreundersøkelser

[Spam eller på ekte? Faktisk vanskelig finne ut av...]
Kjære Eurocard. Jeg benytter meg av deres tjenester. Dere har noen glimrende sikkerhetsløsninger som jeg har brukt som "skoleeksempler" i flere foredrag, hvor brukervennlig sikkerhet har vært et viktig punkt. Der scorer dere høyt. Dessverre faller dere fullstendig igjennom når dere (?) sender ut undersøkelser som den jeg har mottatt, avbildet over.


Jeg har blogget om "anonyme spørreundersøkelser" tidligere, og skal ikke gjenta alt derfra. Det er ikke mye nytt å tilføre. Jeg har også klaget på dette fra internasjonale revisjons- og sikkerhetsorganisasjoner tidligere, så dere er ikke alene. De siste par ukene har jeg mottatt tilsvarende undersøkelser som ikke holder vann sikkerhetsmessig fra Meny (Norgesgruppen), SAS (Star Alliance), Trumf, Den Norske Dataforening (DND) og treningskjeden SATS. Og det kommer stadig flere.

I undersøkelsen over, dersom den er reell, så bruker dere CMA Research. De igjen bruker  Easyresearch sin tekniske løsning i Sverige. Etter alt jeg vet og finner på 30 sekunder, så Easyresearch en del av Questback. Dem har jeg jeg gitt noen råd til tidligere her, om hvordan de kan gå frem for å sikre spørreundersøkelsene sine litt bedre, slik at alle formaninger om anonymitet og personvern forhåpentligvis får litt substans i seg.

Mailen over har ingen kontaktinformasjon som gir meg en enkel mulighet for å verifisere at undersøkelsen er ekte. Det finnes ingen informasjon på hjemmesiden deres om at denne undersøkelsen gjennomføres i disse dager. Faktisk har phishing mailer mer kontaktinformasjon for å verifisere 'korrekt avsender' enn det dere har. Det burde være omvendt!

 --
Jeg avslutter med å gjenta et tidligere budskap til Questback - og alle andre som tilbyr løsninger for gjennomføring av online undersøkelser: VENNLIGST bruk litt mer tid på å utdanne deres kunder, og tilby god sikkerhet som standard i deres løsninger.
Posted by

2 comments:

  1. oddbearSeptember 27, 2012 at 12:58 PM

    Hva ville du gjort for at brukeren skulle forstå at denne var ekte om du hadde sendt den ut selv?

    Link til hjemmeside med informasjon? Her kan angriperen sende ut falske undersøkelser i samme tidsrom.

    Signere/Hashe mailen etc.? Vanlige brukere skjønner ikke dette.

    Sende brukerne til en trygg 3. part som man kan stole på? Hvordan vet brukeren at denne er trygg? Fortsatt noe vanlige brukere ikke skjønner seg på ;)

    Link til hjemmeside hvor man selv kan trykke seg videre til undersøkelsen? Tja., en vanlig bruker "kan" forstå dette. Men dessverre litt for mange trykk til at folk gidder.

    Dessverre er nok personer som deg i mindretall av kundene. Og de får da flere svar tilbake på undersøkelsen, dersom de ikke hører på deg.



    Et annet problem er når jeg får undersøkelser på telefon.
    Med Android var ikke dette noe problem, da jeg fikk opp hvem som ringte på skjermen.
    Med WP7 er ikke dette mulig, og jeg har ingen måte(dersom jeg ikke har en pc foran meg), for å få en verifisering på at den som ringer er den som han/hun utgir seg for å være.

    ReplyDelete
    Replies
    1. securitynirvanaSeptember 29, 2012 at 10:26 AM

      De forslagene du oppgir er faktisk gode forslag, i den forstand at de er bedre enn ingenting. Selvfølgelig åpner også de for angrepsvektorer, men det viktigste er at de åpner for å verifisere undersøkelsen! Gitt mailen jeg fikk på vegne av Eurocard, så må jeg lete selv, og antagelig ringe dem for å faktisk kunne få svar på om undersøkelsen er legitim eller ikke.

      Delete

All comments will be moderated, primarily for spam. You are welcome to disagree with my posts of course.

Subscribe to: Post Comments (Atom)