Monday, June 27, 2011

FY! til FotoVideo!


Å komme inn på FotoVideo butikken i Oslo var en drøm. Profesjonelle folk som virkelig tok seg tid til å lytte til mine behov (om enn aldri så urealistiske), og forklarte meg om smått og stort før jeg tok mine valg. En butikk som virkelig kan anbefales! Det vil si... inntil jeg oppdaget at it-sikkerhet overhodet ikke er deres fag. Faktisk såpass ille at jeg velger å påpeke det gjennom en offentlig bloggpost, i den tro at det vil føre til raskere endringer enn ellers. Slemt? Ja. Nødvendig? Etter å ha tenkt over det en god stund.. JA.

La oss begynne. Jeg var fysisk innom butikken for første gang, og kjøpte noen produkter der. I kassen ble jeg registrert som kunde, og oppga navn, adresse, telefonnummer og mailadresse. Ikke ulikt det man gjør de fleste steder i dag.

For kort tid siden var jeg innom nettsidene til FotoVideo for å bestille noen minnekort til fotoapparat før ferien. Jeg ble rimelig overrasket da jeg skulle registrere meg som kunde på nettsiden deres at mailadressen min var i bruk allerede som brukernavn, jeg hadde jo ikke registrert meg der før? Så jeg gikk gjennom "glemt passord" funksjonen, og fikk tilsendt - SURPRISE! - en e-post i klartekst (=totalt ubeskyttet) som oppga nettsidens navn (FotoVideo), mitt brukernavn (min mailadresse) og mitt mobilnr som PASSORD. Til å være såpass interessert og erfaren ift passord så kan jeg vel ikke si at jeg ble nevneverdig overrasket, men like fullt: DETTE ER UTROLIG DÅRLIG AV FOTOVIDEO!


Jeg kan overhodet ikke huske om de opplyste meg over disken at de la inn mitt mobilnr som mitt passord ved registrering av kjøp da jeg var der. Hadde de gjort det, så hadde jeg garantert protestert - og gitt de et gratis-på-stedet obligatorisk sikkerhetskurs. Det jeg frykter er at dette er "standard" rutine hos dem, og at det i så måte kan gjelde svært mange av deres kunder.

Men er det så galt da?
Ja. FotoVideo har denne fine beskrivelsen av sikkerhet på sin hjemmeside (min understreking):
(Klikk for full størrelse)
1. "All informasjon som samles inn oppbevares på en sikker og fortrolig måte."
Feil. De samler inn informasjon, men unnlot, ihvertfall i mitt tilfelle, å informere om at de brukte mitt mobilnummer som mitt passord. Dersom min mistanke stemmer, så kan det være enkelt å få tilgang til kundeopplysninger, inkl. ordrehistorikk, servicehistorikk og så videre for deres kunder. At passordet og kanskje også øvrig kundeinformasjon enten lagres kryptert eller enda verre - i klartekst - er absolutt et brudd på anbefalt praksis.

2. "Etter vår mening er dette ikke sensitive eller kritiske data som kan misbrukes på noen måte".
Jeg er uenig, og jeg tror mange andre vil være enig med meg. Hvilke varer jeg har kjøpt, til hvilken pris og på hvilket tidspunkt er i seg selv informasjon som kan misbrukes. Navn, adresse, mailadresse og mobilnummer er også informasjon som kan misbrukes. Her er noen av mine kundedata, lett sensurert (mine uthevinger i rødt):

(Klikk for full størrelse)
Det interessante her er jo muligheten for å endre leveringsadresse, samt få tilsendt varene med faktura pr. 14 dager. Denne ordningen er i praksis en kredittkjøpsordning gjennom Gothia Finans AS. Selv om ordningen tilsier at bestilte varer blir sendt til adressen som er registrert på meg i folkeregisteret, så byr ikke en postkasse på særlige problemer. Det står ingenting om bruk av rekommandert sending her, og fakturaen sendes til min registrerte e-post adresse. Sistnevnte er jo også registrert hos FotoVideo, og kan lett endres. Om ikke annet så kan utenforstående få opprettet dyre kredittkjøpsavtaler og gjennom det inkassosaker på meg gjennom denne løsningen.
Det er naivt å tro at personopplysninger, selv så uskyldige som de registrert hos FotoVideo, ikke kan misbrukes.
Til FotoVideo:
Dersom dere bruker kunders mailadresse og mobilnummer som standard brukernavn og passord, så bør dere endre den praksisen øyeblikkelig. Husk også å informere kundene om at dere gjør dette når de handler hos dere. Dere bør også vurdere å endre nettbutikk løsningen slik at brukernavn, passord og nettadresse ikke sendes ut i ukryptert e-post. Det er brudd på god praksis, og det er alt for enkelt å misbruke. Det gavner ingen dersom deres kunder blir svindlet, og dere mister kunder pga svak sikkerhet i nettløsningen deres.
Posted by

2 comments:

  1. AnonymousJune 28, 2011 at 5:38 PM

    Hei Per

    Vi oppgir alltid passord til kunden og ber dem forrandre passordet når de kommer hjem. Vi har ingen rutine på at det alltid gis mobiltelefonnummer som passord - det kan dog tydligvis forekomme, men vi går nå igjennom disse rutinene og forandrer følgelig dette dersom det gjøres. Epostrutinen for utsendelse av brukernavn og passord vil også gjennomgås.
    Det skal sies at alle ordre blir fulgt opp manuellt her hos oss, ved at kundenavn og mottakeradresse sjekkes, stemmer ikke denne blir det ringt og sjekket.
    Vi har ytterst få problemer med svindel og avslører dette meget raskt, takket være vår manuelle behandling av ordrene.

    Uansett takk for at du påpeker disse tingene slik at vi kan forbedre oss.

    Med Vennlig Hilsen

    Otto L. Motzke
    Marked Avd.
    FotoVideo

    ReplyDelete
  2. securitynirvanaJune 28, 2011 at 10:23 PM

    Tusen takk for rask, proff og god tilbakemelding! Det skal dere ha; det er ikke alle som er like kjapp eller proff på tilbakemeldinger via sosiale medier, eller andre kanaler for den saks skyld.

    Kan ikke si annet enn at jeg gleder meg til neste besøk i butikken, og ser frem til bedret sikkerhet også i nettbutikken.

    ReplyDelete

All comments will be moderated, primarily for spam. You are welcome to disagree with my posts of course.

Subscribe to: Post Comments (Atom)