Sunday, August 18, 2013

Noen ting tuller man ikke med.


Noen vil kanskje ikke tro meg når jeg skriver dette, men jeg forsøker altså å tenke meg godt om før jeg twitrer, blogger, poster, ringer, mailer, liker, retweeter eller uttaler meg til media. Jeg vet utmerket godt at jeg kan være fleipete og krass i formen. Tro meg, det er tidvis veldig bevisst.

Like fullt er det en del ting man ikke tuller med. Her er en anonymisert historie om det.



Jeg får etterhvert mange tips om ting som er dårlig sikret på nett. For en tid tilbake fikk jeg et tips av den vanlige sorten: en nettbutikk som tydeligvis sender og lagrer passord i klartekst. På godt norsk: så lite sikkert som man overhodet kan gjøre det. Naturlig nok ikke i tråd med noen form for anbefalt god praksis selvfølgelig.

Slike finnes det veldig mange av, også her i Norge. Ikke bare nettbutikker, men alle typer sider hvor man registrere seg med ett brukernavn og passord. (Jeg jobber hardt med å få gjort noe med dem, slik at det er sagt.)

Normalt løfter jeg ikke et øyenbryn over et slikt tips, men i dette tilfellet var det en spesialisert nettbutikk, primært rettet mot offentlig personell som ofte er å se i en slags uniform. 2 minutters surfing på sidene, og jeg ser også at de ber om å få tilsendt avfotografert/scannet ID-kort pr e-post (ukryptert!), for å selge enkelte produkter. Dette fordi de ønsker å holde kontroll med hvem som kjøper, og kun selge til utvalgte kundegrupper.

Punkt 1 (til sluttbruker):
Man sender ikke kopi av offentlig ID (pass, førerkort) pr e-post, ei heller ID-kort fra offentlige etater via vanlig e-post. Det er ille nok at pass sendes via vanlig post, men å sende kopi av slikt på ukryptert e-post på internett er en virkelig dårlig ide.

Punkt 2 (til nettbutikker og webtjenester generelt):
Dersom dere har et noenlunde legitimt behov for å identifisere kunder før salg/forsendelse, så ikke be om å få tilsendt kopi av gyldig ID på ukryptert epost!

Selvfølgeligheter? Ja. Den aktuelle nettbutikken kan antas å besitte følgende informasjon om sine kunder, digitalt lagret i ubeskyttet form:

  • Navn, e-post og annen kontaktinformasjon
  • Bildekopi av gyldig ID-kort
  • Kunders passord i klartekst (=ubeskyttet)
Grunnet kundegruppen nettbutikken retter seg mot, faren for gjenbruk av brukernavn/passord på tvers av tjenester og en del andre faktorer, så er det grunn til å anse deres kundedata som spesielt attraktiv for organiserte kriminelle interesser. Dette kan få direkte konsekvenser for liv & helse (i motsetning til noen kredittkort detaljer på avveie), og er ikke noe man tuller med.

Jeg er glad for å kunne si at noen har blitt varslet, og tiltak er, eller vil bli iverksatt ASAP.

No comments:

Post a Comment

All comments will be moderated, primarily for spam. You are welcome to disagree with my posts of course.