Wednesday, September 18, 2013

Bring CRM - og Thon Hotels


Jeg er medlem i fordelsprogrammet til Thon Hotels, på linje med flere andre hotellkjeder. Mulighetene for en "gratis" overnatting er fristende nok. Regelmessig har jeg mottatt min bonusoversikt på epost, sammen med diverse tilbud for å få meg til å bruke både poeng og penger.

Jeg irriterte meg imidlertid fra første mail, som hadde ovenstående skjermbilde som innledning i hver eneste mail. Poeng til deg om du skjønner hvorfor allerede nå.

Bakgrunn

Man skal ikke sende brukernavn, passord og adresse til ulike tjenester på internett via epost, punktum. Jeg skriver skal, fordi bør blir for svakt. Faren for kompromittering av informasjon og brudd på ulike lover er simpelthen for stor.

Bildet over har teksten "Direkte innlogging til Din Side her". Klikket jeg på linken så kom jeg rett inn på "min side" hos Thon Hotels, hvor jeg kunne se min poengsaldo, gjøre boookinger, se oversikt over tidligere hotellopphold og så videre. 

På godt norsk: Thon Hotels sendte regelmessig ut brukernavn, passord og nettadressen for innlogging til hvert eneste medlem av fordelsprogrammet deres. Jeg antar at det dreier seg om ganske mange mennesker i det programmet.

Risiko?

Hva så? Noen kan se poengsaldoen min? Få seg en gratis overnatting i Oslo sentrum med falsk ID i mitt navn? Big deal liksom!

Noen ord om PERSONVERN
Noen overnatter kanskje på et annet hotell enn de har fortalt arbeidsgiver, kjæreste eller ex-mann. Kanskje har de gode grunner for å servere den lille løgnen - og ikke være noe pertentlig moralpoliti nå takk. 

En oversikt over hvor og når du eller andre har overnattet kan kunne få store konsekvenser dersom det blir kjent for uvedkommende, selv om du ikke har gjort noe galt.

Ansvarlig varsling (Responsible Disclosure)

Jeg har tidligere blogget om at noen ting tuller man ikke med. Ovennevnte risiko er nok til at jeg ikke ringer første og beste sensasjonsjournalist og ber om forsiden. Jeg ønsker å gjøre ansvarlig varsling til rette organisasjon/person, for om mulig å få dem til å endre til etablert God Praksis. I så måte liker jeg å se etter rotårsaker - istedenfor å få patchet et sikkerhetshull så er jeg mer interessert i å få endret policy & rutiner, og gjerne bevisstgjøre noen på innbilte og reelle sikkerhetsutfordringer man står overfor.

Så jeg sjekket litt nærmere selvfølgelig.

URL adressen som gjemte seg bak "Direkte innlogging" linken så omtrent slik ut (litt endret, for sikkerhets skyld):
https://secure.bringcrm.no/MHVU/lt/Ranbow/nt/1157/mh.html?re=http%3A%2F%2Fwww.thonhotels.no%2F%3Flogin%3DmYGpgWEqmpytrI%252bDICsk8s9xtvwrl%252fGm2DtI%253d

Aha. Thon Hotels kjører sitt lojalitetsprogram gjennom Bring CRM altså. Ingenting galt i det, og jeg tenkte umiddelbart at den manglende sikkerheten lå som standard i løsningene fra Bring CRM, og ikke hos Thon Hotels alene. Her kunne jeg kjørt lang debatt om revisjon/kontroll av leverandørers tjenester før avtale eller produksjonssetting, men la oss hoppe over den rotårsaken nå....)

Uansett bedre å gå direkte på Bring ihvertfall. Kontakt med Thon Hotels kan fort skape problemer, og bare bli et forsinkende ledd mot de med teknisk ansvar, nemlig Bring. Et ørlite beklager til Thon Hotels, dette er jo juridisk sett deres ansvar å ha kontroll på. Jeg bare hoppet over dere for å få ting til å skje litt raskere. Ber om forståelse for det...

PS: om noen (@sprakradet) har et offisielt norsk uttrykk for "Responsible Disclosure", så gi meg beskjed ASAP.

Lang historie - kort utgave

Jeg kontaktet noen. Noen jeg har kjent lenge, og som satt plassert slik at jeg fikk overrakt mitt budskap, uten å fremstå som en tilfeldig person "som bare vil klage". 

Jeg tok kontakt første gang 22. mars 2013. Jeg purret 2 ganger, og fikk beskjed om at mine synspunkter var overbrakt. Så ble det stille - og jeg tok sommerferie. Vurderte å purre da vi kom inn i august, og arbeidsdagen var igang igjen. Kom aldri så langt.

Så plutselig...

Tirsdag 17. september 2013. Ny epost med bonusoversikt fra Thon Hotels. En ørliten tekstendring:

Ordet Direkte er fjernet. Ser man det. Knapt merkbart. Så kikker jeg på URL adressen i linken, og finner dette: http://www.thonhotels.no/logg-inn/ 

Ingen direkte innlogging lengre. Akkurat som jeg påpekte 22. mars, og anbefalte dem å fjerne, eventuelt redesigne for å ivareta litt brukervennlighet.

Bonus, og et tegn på at det har blitt gjort et stykke gjennomtenkt arbeid: tidligere linker for direkte innlogging fungerer ikke lengre.

Jeg har ikke mottatt noen tilbakemeldinger, hverken fra noen eller fra Bring CRM. Spiller ingen rolle for meg, jeg tror jeg har gjort tjenesten til Thon Hotels / Bring litt sikrere, samt sørget for en mindre sak å behandle for Datatilsynet. De har åpenbart nok å gjøre om dagen allikevel.

Så til alle dere som vil irritere dere over at direkte innlogging nå er borte-vekk: Beklager. Jeg håper Bring CRM i dialog med sine kunder og gjerne litt ekstern ekspertise (...) kan komme opp med alternativer som ivaretar personvernlovgivning og god praksis innen både sikkerhet og brukervennlighet.
----


Pr. 17.09.2013 får secure.bringcrm.no karakter A hos SSLLABS.
Dette er veldig bra, og bedre enn første gang jeg testet. :-) 

No comments:

Post a Comment

All comments will be moderated, primarily for spam. You are welcome to disagree with my posts of course.