Er jeg paranoid?
Da mobilselskabet M1 for nyligt lancerede deres gratis abonnement sprang jeg på med det samme. Det er taletidsbaseret, men hver måned får man gratis 50 minutters taletid og 50 gratis sms'er. Alt herover koster penge, men som sim-kort til den backuptelefon jeg har i handskerummet var det jo fremragende.
Jeg oprettede mig som bruger, fik sim-kort tilsendt osv. Men så gik det galt (ikke med telefonien, den virker fremragende) synes jeg. Hver eneste mail jeg modtog fra M1 indeholdt udover info om min saldo osv. også lige to små ting:
1) Mit brugernavn (mobilnummer) til M1.dk
2) Mit password, i klar tekst endda.
Her er et screenshot af sådan en mail:
http://i70.photobucket.com/albums/i94/kaffemonster/m1.png
Mails bliver naturligvis sendt ukrypteret, så hvis jeg f.eks. tjekkede min mail via Pop3 over wlan kunne min nabo læse med. Nej, han kunne ikke lænse min bankkonto eller sælge mit hus med de oplysninger, men jeg synes at der sådan for alvor er noget HELT grundlæggende galt når man sender dem i alle mails der ryger frem og tilbage. Så jeg skrev en mail til M1, nedenfor er gengivet korrespondancen:
Min indledende mail til dem:
Hvorfor hulen sender i mit password i ren tekst hver eneste gang jeg får en mail fra jer? Det undergraver jo totalt den sikkerhed det giver at bruge password i første omgang. ISÆR når I også skriver telefonnummeret lige ved siden af, så man har begge parametre der skal til for at logge ind på min konto. Alt dette bliver så sendt 100% ukrypteret i en almindelig mail, så enhver der gider kan opsnappe det undervejs.
Suk... nu vil jeg ændre mit password så det i det mindste ikke er et jeg bruger andre steder.
- Søren Siim Nielsen, 23861911
Deres svar:
Hej
Tak for din email.
Det ville forvolde flere problemer en det ville gøre gavn at sende en krypteret email, for den almindelige kundebase - så derfor har vi valgt IKKE at gøre dette.
Men det er blot login til din konto til hjemmesiden, antallet af mulige ændringer herpå er stærkt begrænsede. Der er ikke adgang til nogen former for kontooplysninger/kortoplysninger og det er ikke muligt at ændre addressen herinde til andet end den CPR registrerede addresse.
Men jeg ved ikke om du er bevidst om det, men så er det største problem, hvad sikkerhed angår, at folk opsnapper din email - fordi medmindre de har dit login, til din email - så er dette IKKE muligt. Det største sikkerhedsbrist ligger stadigvæk i spyware, malware og dataminers - med vedhæftede keyloggers.
Men nok om det, forklaring er som nævnt - at det vil skabe flere problemer for vores kundebase en det ville skabe gavn - derfor har vi valgt IKKE at gøre dette.
Vælger du at besvare denne mail skal jeg bede dig undlade at slette noget i emailen, når du besvarer den.
Venlig hilsen
Theis Thompson
Kundeservice [M1 A/S]
Mit svar hertil:
Når man sender en mail med både brugernavn og e-mail er der noget helt grundlæggende galt med sikkerhedsforståelsen i virksomheden. Godt jeg kun bruger sim-kortet til min back-up telefon der tilbringer det meste af sin tid i en skuffe, kun fremme i ferierne.
Hvorfor ikke bare lave en "glemt password" funktion på hjemmesiden i stedet?
M1's svar:
Der må jeg desværre korrigere dig, nej - der er ikke noget galt med den opfattelse.
Det er ordinær kotume - men selvfølgelig - hvis du vil rase over dette - så vil jeg lade dig om det, sikkerheden er i top og der er en fin linie imellem brugervenlighed og sikkerhedsparanoia - og vi har valgt denne vej her :-)
Dette vil ikke blive diskuteret yderligere, god weekend.
Vælger du at besvare denne mail skal jeg bede dig undlade at slette noget i emailen, når du besvarer den.
Venlig hilsen
Theis Thompson
Kundeservice [M1 A/S]
Er det mig der er en paranoid tosse der forlanger for megen sikkerhed overalt? Og kender I andre steder hvor det er "ordinær kotume" at sende brugernavn og password sammen? I hver eneste mail?
Tror kun det er M1 der ikke aner hvad sikkerhed er...
Men de kender så heller ikke ordet kundeservice!
-
0 -
0
Når nu vi ved hvor let det er at opsnappe andre folks mails og dette har været almindeligt kendt i mange år, ja så kan man undres over at denne Theis Thomson tror at det er umuligt at læse andre mails.
Det er skræmmende at et firma som M1 der efterhånden har en god sjat kunder (specielt efter de nye abbo kom frem), ikke har bedre styr på det med sikkerheden. Værre er det så når de end ikke tager en henvendelse seriøst nok til i det mindste at følge op på sagen og overveje at kunden måske kunne have ret - ikke nok med det, så kommer kundeservice med en omgang mundlort som er så langt fra sandheden som noget næsten kan være og stiller sig på bagben når kunden betvivler deres svar.
Jeg siger bare: godt jeg ikke er kunde hos M1 - Deres kundeservice burde have røde ører og straks sendes på et kursus i basal kundeservice. Når det så er færdigt kan de fortsætte direkte på kurset sikkerhed på internettet for dummies.
-
0
-
0
Ud over at det er temmelig tåbeligt at sende password med i hver mail, så er der heller intet forsvar for at gemme passwordet i klartekst hos M1. Dummköpfe.
-
0
-
0
Det er ikke kun M1! Bones.dk har samme mani - der er også password med i deres nyhedsbrev.
-
0
-
0
Hos CBB bliver kodeord også gemt i klar tekst.
Jeg har mail til dem om problemet med at kundeservicemedarbejdere kan se hele det ukrypteret password.
Der er også tilknyttet en mail adresse til kontoen, og det vil i størstedelen af tilfældene være det samme password til begge dele.
Det gør dem ekstra sårbar over for social engineering.
Der kom dog intet positivt ud af henvendelsen. Medarbejderen var ligeglad, men dog på en høflig måde.
Som jeg har forstået det kan telmore support kun se de første 3 bogstaver.
-
0
-
0
Enhver ved sine fulde fem bruger da TLS (eller ssh-tunnels) til at hente sin mail. Og man cacher naturligvis public certs (og slår alle default CAs fra). Og så kører man naturligvis sin egen mail server, der kun negotiater TLS/SSL, direkte på éns domæne. Jeg kan ikke se, hvorfor det skulle være et problem at sidde på et åbent netværk med det. Det er da langt mere kritisk at de gemmer passwords i plaintext (og at hele deres webinterface er fuldt af huller). Flot :-)
-
0
-
0
Enhver ved sine fulde fem bruger da TLS (eller ssh-tunnels) til at hente sin mail. Og man cacher naturligvis public certs (og slår alle default CAs fra). Og så kører man naturligvis sin egen mail server, der kun negotiater TLS/SSL, direkte på éns domæne. Jeg kan ikke se, hvorfor det skulle være et problem at sidde på et åbent netværk med det. Det er da langt mere kritisk at de gemmer passwords i plaintext (og at hele deres webinterface er fuldt af huller). Flot :-)
-
0
-
0
Jeg skal ikke gøre mig klog på om du er paranoid.
Lad os nu forstille os, du fortæller dit password til os ... hvilken skade kan vi forvolde?
-
0
-
0
Lad os nu forstille os, du fortæller dit password til os ... hvilken skade kan vi forvolde?
Det er hans Dankort kode...
-
0
-
0
Det er hans Dankort kode...
Så bør han da skifte password hurtigst muligt og lære om sikre adgangskoder.
-
0
-
0
Så bør han da skifte password hurtigst muligt og lære om sikre adgangskoder.
Enig, men faktum er jo at størstedelen af hr. og fru Jensen typerne ikke vil den slags, og aldrig kommer til det.
Det er helt galt at den slags gemmes ukrypteret og sendes ud. Mon ikke de kan logge ind på 85-90% af alle deres kunders e-mail konto med det password, som alle M1's ansatte åbenbart har fuld adgang til ?
Og hvis jeg er mailserver administrator, så kan jeg jo nok læse alle mine stakkels brugeres ukrypterede mails og så få adgang til alle steder, hvor de bruger det samme password...facebook, hotmail, skat.dk, whatever.
Passwords er en fortrolig oplysning og bør behandles som sådan. Jeg synes bestemt ikke, at du er paranoid.
-
0
-
0
Spændende indlæg...
Er det så ikke her 2 faktor sikkerhed kunne komme på tale som en nem og personlig løsning. Ex. kombinationen af bruger/password og mobiltelefon?
-
0
-
0
