Coop i ny sikkerhedsbrøler: Sendte digitale kopier af pas og kørekort ukrypteret

Supermarkedskæden Coop er nu atter kommet i søgelyset på grund af sjusk med it-sikkerheden, og ligesom for godt og vel en uge siden er problemet knyttet til kædens nye betalingskort for medlemmer, Coop Plus.

Når kortet bestilles, beder ejeren af Coop, FDB, nemlig kunden fremsende gyldig legitimation i form af en kopi af pas eller kørekort ved bestilling af betalingskortet.

Det kan enten ske med posten eller ved at uploade et indscannet billede.

Vælger kunden at uploade kopien af pas eller kørekort digitalt, sker det gennem en upload-formular på FDB's hjemmeside, som er helt og aldeles ukrypteret.

Og det kan udnyttes af it-kriminelle til identitetstyveri.

»En person med skumle hensigter vil let kunne få fat på de scannede dokumenter fra den ukrypterede forbindelse,« siger senior it-sikkerhedskonsulent Claus Nørklit Roed, PricewaterhouseCoopers.

Når først tyveriet er sket, kan udbyttet potentielt have stor værdi for den kriminelle.

»Uden at kende nærmere til mulighederne, forestiller jeg mig, at denne type dokumenter i sig selv har en værdi på det sorte marked. Men de kan med garanti også benyttes direkte til at opnå lån eller andre finansielle ydelser,« siger Claus Nørklit Roed.

Anden brøler på kort tid

Det er kun lidt over en uge siden, at Version2 sidst kunne skrive om problemer med it-sikkerheden hos Coop.

Sidst bestod problemet i, at Coop i visse tilfælde havde udsendt adgangskoder til Coop Plus hjemmesiden med fortløbende numre, som i øvrigt var knyttet til medlemsnummeret.

Dermed kunne det lade sig gøre at gætte sig til en anden kundes medlemsnummer og adgangskode og efterfølgende få adgang til kundens personlige oplysninger som navn, adresse og fødselsdato.

**Læs også: **Coop i sikkerhedsbrøler: Sendte fortløbende kodeord til kunder

Én af de kunder, der har forsøgt at bestille Coop Plus-kortet via hjemmesiden, ryster på hovedet af, at supermarkedskæden ikke har krypteret hjemmesiden, hvor de personfølsomme oplysninger kan uploades.

»Det er helt hen i vejret, at de ikke har styr på den slags basale ting omkring it-sikkerhed,« siger Johnny, der kun ønsker at optræde med fornavn. Version2 kender kildens fulde identitet.

»De burde tænke på at kryptere kontaktformularen, når de nu henviser til, at man skal sende personfølsomme oplysninger via den,« siger han.

Erkender brist i sikkerheden

Hos Coop henviser man imidlertid til virksomheden Entercard Danmark, der står bag FDB's medlems- og betalingskort.

Her erkender administrerende direktør, Anne Mette Krighaar, at der er tale om en klokkeklar brist i it-sikkerheden.

»Kundernes sikkerhed er helt afgørende for vores forretning, og derfor er vores it-sikkerhed generelt høj. Efter at I har påpeget sikkerhedsbristen, har vi nu taget kontakt til vores it-afdeling, som fjerner upload-muligheden fra hjemmesiden, indtil vi har lukket af for hullet,« siger Anne Mette Krighaar.

Du siger, at jeres it-sikkerhed normalt er høj. Hvordan har det så været muligt at overse den pågældende sikkerhedsbrist?

»Det er en menneskelig fejl, som skyldes en forglemmelse. Normalt arbejder vi efter enormt høje sikkerhedsstandarder. Men vi er glade for, at det er jer, der har fundet sikkerhedshullet, og ikke nogle hackere eller lignende.«

Har sikkerhedsbristen haft konsekvenser for FDB's kunder?

»Vi er ikke bekendte med, at den er blevet misbrugt.«

Hvad gør I fremadrettet for at sikre, at det ikke sker igen for andre kunder?

»Det bedste, vi kan gøre, er kontinuerligt at lade vores it-eksperter gennemgå vores hjemmesider for at sikre, at de lever op til sikkerhedsstandarderne,« siger Anne Mette Krighaar.

Anne Mette Krighaar oplyser, at muligheden for at uploade digitale kopier af pas og kørekort på hjemmesiden www.fdb-betalingskort.dk/kontakt har været tilgængelig siden begyndelsen af juni.

Coop driver blandt andet Kvickly, Super Brugsen og Fakta. FDB har omkring 1,7 millioner medlemmer.