3 fikser https-svipser på login-side i kølvandet på sag om datalæk

5 kommentarer.  Hop til debatten
Teleselskabet 3 har fikset en login-side, så der ikke længere dukker en browser-advarsel op om manglende sikkerhed.
person
Jakob Møllerhøj
journalist
15. februar 2017 kl. 13:06
errorÆldre end 30 dage
person
Jakob Møllerhøj
journalist
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Teleselskabet 3 har fikset et problem med en login-side, som har fået Googles Chrome-browser til at advare om manglende sikkerhed. Tilretningen er sket umiddelbart efter at det kom frem, at personlige oplysninger om tusindvis af kunder hos 3 er havnet i hænderne på kriminelle.

Mandag i denne uge bekendtgjorde 3, at en eller flere kriminelle forsøger at afpresse virksomheden for millioner af kroner for ikke at lække personlige oplysninger om ca. 3.600 kunder.

Herunder cpr-numre, sim-kortnumre og potentielt hemmelige adresser.

En Version2-læser har gjort opmærksom på, at besøgte man - ligeledes i mandags - en login-side til en 3-selvbetjeningsløsning med Chrome, så resulterede det i en advarsel om, at forbindelsen ikke var ‘helt sikker’.

Artiklen fortsætter efter annoncen

På siden kan kunder kan logge ind via et brugernavn (mail eller telefonnummer) og en adgangskode.

Forbindelsen til den pågældende side er godt nok sat op som en krypteret https-forbindelse, men alligevel har browseren ikke villet stemple den som 'sikker' med den grønne hængelås, som browseren bruger til at vise brugeren, at alt umiddelbart er, som det skal være.

I stedet er Chrome ved et besøg på 3's login-side fremkommet med en besked om manglende sikkerhed, og om at angribere i den forbindelse muligvis kan narre brugere ved at ændre på billeder, der bliver vist på siden.

Tirsdag i denne uge - altså dagen efter det kom frem, at 3 blev afpresset af kriminelle - havde teleselskabet rettet i de bagvedliggende systemer, så login-siden nu viser den grønne hængelås og en besked om, at forbindelsen er sikker.

Tracking scripts

Kommunikationskonsulent ved 3, Hanne Damgaard, har været i kontakt med selskabets online-team. Og de oplyser ifølge en mail fra kommunikationskonsulenten, at den tidligere manglende hængelås ikke har noget med den igangværende sag - altså datalækket - at gøre.

Artiklen fortsætter efter annoncen

Jobs

Tilpas personaliserede job
Vis alle

»Vi arbejder løbende med optimering af vores site, herunder også selvbetjeningen Mit3. Her er der tale om, at en kunde var så venlig at gøre os opmærksom på, at hans browser gav ham en 'advarsel' om usikkert indhold på den pågældende side. Og som ved andre kundehenvendelser om brugervenlighed, tjekker vi op på det,« står der i mailen fra Hanne Damgaard.

Beskeden om, at noget var galt på sitet, skyldes det ifølge 3, at der har kørt en sammenblanding af indhold på siden, hvor nogle scripts har kørt via http, mens resten af siden har kørt via en krypteret https-forbindelse.

»Det viser sig, at vi har tracking scripts på Mit3 som tracker i HTTP og ikke i HTTPS (secure). Vi har derfor valgt at fjerne disse scripts og erstatte dem med nye HTTPS hurtigst muligt. Når browseren giver en advarsel som denne, er det fordi der var blended-content på siden (en blanding af HTTP og HTTPS).«

Hanne Damgaard oplyser endvidere, at 3 modtog kundehenvendelsen om den manglende hængelås i løbet af weekenden. Hun meddeler desuden, at det ifølge den ansvarlige på området har drejet sig om »et teknisk problem - ikke et sikkerhedsproblem.«

Ikke desto mindre haft problemet dog haft en karakter, så login-siden ikke har kunnet få et sikkerhedsstempel i den udbredte Chrome-browser fra Google.

5 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
5
Marc Barnholdt
17. februar 2017 kl. 05:50

Det er uskik at bruge //: Hvis det tilbydes via HTTPS, så brug HTTPS. Hvis ikke, så overvej om det er en partner man stoler på.

  • more_vert
    • insert_linkKopier link
3
Jesper Mørch
16. februar 2017 kl. 11:18

Men stadig under al kritik at 3 insisterer på at høste CPR-numre uden at have styr på sikkerheden

Jeg mindes en stilling jeg havde på et tidspunkt for et velanset konsulenthus, hvor jeg arbejdede på den interne IT for et unavngivet teleselskab. Et af de vitale IT-systemer var på det tidspunkt afhængige af Internet Explorer v. 6.0. Systemet blev ganske enkelt ubrugeligt for de "stakler", som fik grønt lys til at opdatere IE til v. 8.0. Det gav en masse ballade at få dem nedgraderet til IE 6 igen.

Jeg er ret sikker på, det ikke er en enlig svale derude, selvom det her ti år senere, heldigvis er blevet mere reglen end undtagelsen, at webservices m.m. kræver en HTML5-kompatibel browser for at fungere tilfredsstillende.

At der stadig udvikles IT-systemer med afhængighed af specifik software, vendor-lockin m.m. er dog almen viden. Det legaliserer ikke sikkerhedsfejl, men forklarer måske hvorfor vi stadig ser dem her i 2017. Forældet software, arrogance fra leverandører etc. er ikke noget særsyn. til gengæld er det potentielt en direkte kilde til alvorlige sikkerhedshuller, datamisbrug og det der er værre.

Just my 2¢

  • more_vert
    • insert_linkKopier link
2
Leif Neland
16. februar 2017 kl. 11:13

Hvis man blot skriver ... src='//tracker.external.dom/tracking.js' i kildekoden, så bruges samme protokol som siden er hentet med.

Så behøver man ikke tænke over det, hvis man har sider med både med og uden https.

  • more_vert
    • insert_linkKopier link
1
Peter D Hansen
15. februar 2017 kl. 13:47

Fantastisk som 3's PR-afdeling forsøger at spinne det som en "henvendelse om brugervenlighed".

Afpresningen i sidste uge var måske en "henvendelse om forretningsmulighed" - og data-lækket var måske led i 3's "løbende optimering" eller et visionært eksperiment i open data med "enkelte" utilsigtede konsekvenser.

Men stadig under al kritik at 3 insisterer på at høste CPR-numre uden at have styr på sikkerheden - og at den svage Forbrugerombudsmand tillader CPR-høstningen fra den slags foretagender, i stedet for at tænke på forbrugerne.

  • more_vert
    • insert_linkKopier link