Jeg besøkte Nettavisen.no i dag, og så en liten reklame som sa at jeg kunne vinne akkurat en slik Galaxy Tab dingseboms. Selvfølgelig bare ved å registrere meg. Vanligvis holder jeg meg langt unna de fleste reklamer og slike konkurranser, men her ble jeg fristet:
Så jeg klikker, og havner på nettsidene til Norgespasset.no. Setter i gang registrering, og får underveis selvfølgelig beskjed om at de skal tyte meg full av reklame i alle kanaler som gratis medlem, men til gjengjeld kan jeg jo vinne en Samsung Galaxy TAB! WOOHOO! (Utrolig hvordan sunt vett forsvinner ut på et blunk når man har satt seg et urealistisk mål: vinne i en konkurranse på nett....)
Så gjør jeg gjennom hele registreringen da, innkludert kravet om å liste opp minst ett tema som jeg er interessert i, slik at de kan "skreddersy" reklamen de vil sende meg. Mjo.. SKEPTISK.
Men så tar jo sikkerhetshalvdelen av hjernen over igjen da, og man tenker litt rasjonelt igjen etter at den forskuddterte seiersrusen begynner å gi seg. Hm... Hadde ikke disse en brukeravtale som jeg såvidt skumleste deler av? Var det ikke noe om personvern der? Joda, det var det. Betingelsene deres finner du her. Tjenesten tilhører Mediehuset Nettavisen AS og Barlind Solutions AS. Se på pkt 13 i betingelsene deres, spesielt andre paragraf:
 |
| (Klikk for full størrelse) |
Så ser vi også på hvilke opplysninger de ber om at du registrerer på profilen din (mange av disse er riktignok frivillige å oppgi):
 |
| (Klikk for full størrelse) |
Vel vel. Kjære Mediehuset Nettavisen AS og Barlind Solutions AS, i henhold til betingelsene for bruk av deres tjeneste så vil jeg med dette opplyse om at jeg mistenker at andre kan ha fått tak i mitt brukernavn og/eller passord. Årsakene til dette er som følger:
1. Dere bruker min mailadresse som brukernavn.
Det skal virkelig ikke noen spesiell ekspertise til for å finne ut hvilke mailadresser jeg bruker til vanlig, og jeg er faktisk over gjennomsnittet paranoid på sikkerhet. For mer normale mennesker tror jeg det er enda enklere.
2. Dere har ingen passordpolicy eller -krav!
Passordet mitt i det jeg skriver denne teksten er tallet 1 (en). Ikke noe mer. EN ENKELT KARAKTER! Jeg har ALDRI FØR sett så dårlig passordsikkerhet i noen løsning med brukernavn/passord på Internett OVERHODET! Og jeg har da altså brukt Internett siden høsten 1992!
(Overdreven bruk av store bokstaver, fet tekst og utropstegn for å gi avsnittet et mer journalistisk sensasjonspreg, tilgi meg for det....)
3. Dere bruker HTTP og cookies for sesjonsstyring!
Nettavisen har selv skrevet om "firesheep" den 26.10.10. La gå, teknikken har jo vært kjent i noen år allerede, men firesheep gjør det elementært enkelt for de fleste å stjele andres tilganger til nettsteder der hvor disse benytter hettopp HTTP og cookies for sesjonsstyring - akkurat slik dere gjør. Kaste stein i glasshus er det jo mange som gjør, men det rekker knapt nok som noen forklaring i de fleste tilfeller.
Jeg skal ikke spekulere i hvorvidt dere har gjort noen risikoanalyse som tilsier at deres nåværende sikkerhetsnivå er tilfresstillende for dere eller ikke. Ei heller om dere har benyttet interne eller eksterne sikkerhetsressurser for å kvalitetssikre løsningen før den settes i produksjon.
Jeg vil egentlig bare melde i fra om at jeg tror mitt brukernavn og passord kan ha kommet på avveie. Jeg melder i fra på denne måten (ukryptert via Internett), så reduserer vi sannsynligheten for at sikkerhet vil komme i veien for det viktige budskap som skal formidles.
Med vennlig hilsen,
Per Thorsheim
--
PS: det finnes ingen mulighet inne på sidene deres for at jeg skal kunne slette min konto på en enkel måte. Faktisk måtte jeg søke på ordet "slett" i betingelsene deres for å finne ut hvordan jeg kan gjøre det. Enten ved å sende et fysisk brev til dere, eller gjennom en mail til norgespasset@nettavisen.no. Virkelig enkelt, det må jeg si.
PS #2: tolker jeg betingelsene deres at dersom jeg laster opp hva-som-helst til dere, og så ber om å få slettet min konto, så vil allikevel alle data om meg tidligst bli slettet om 3 år? (punkt 5, siste avsnitt, siste setning). (Håper det er greit for dere at jeg tipser Datatilsynet om den der.)
PS #3: Jeg tar det for gitt at jeg ikke vinner noen Samsung Galaxy Tab nå, selv om jeg har registrert meg. For ordens skyld sender jeg dere også en mail med beskjed om at jeg vil slettes som bruker hos dere.
PS #4: Jeg ser at dere sender brukernavn, passord og navn på tjenesten i en og samme mail, uten noen sikkerhet. Anbefaler en tidligere bloggpost fra meg på dette temaet: http://securitynirvana.blogspot.com/2010/10/how-not-to-send-account-info-by-mail.html
PS #5: Passordet dere sendte meg umiddelbart etter registrering samsvarer ikke med det jeg oppga ved registrering. Ikke er det "godt nok" heller i forhold til anbefalt god praksis.
Oppdatert 14:11:
ReplyDeleteRetter en takk til Terje hos Barlind for rask respons, han har lovet å slette meg som bruker ASAP.