Teleselskabet 3 har fikset et problem med en login-side, som har fået Googles Chrome-browser til at advare om manglende sikkerhed. Tilretningen er sket umiddelbart efter at det kom frem, at personlige oplysninger om tusindvis af kunder hos 3 er havnet i hænderne på kriminelle.
Mandag i denne uge bekendtgjorde 3, at en eller flere kriminelle forsøger at afpresse virksomheden for millioner af kroner for ikke at lække personlige oplysninger om ca. 3.600 kunder.
Herunder cpr-numre, sim-kortnumre og potentielt hemmelige adresser.
En Version2-læser har gjort opmærksom på, at besøgte man - ligeledes i mandags - en login-side til en 3-selvbetjeningsløsning med Chrome, så resulterede det i en advarsel om, at forbindelsen ikke var ‘helt sikker’.
På siden kan kunder kan logge ind via et brugernavn (mail eller telefonnummer) og en adgangskode.
Forbindelsen til den pågældende side er godt nok sat op som en krypteret https-forbindelse, men alligevel har browseren ikke villet stemple den som 'sikker' med den grønne hængelås, som browseren bruger til at vise brugeren, at alt umiddelbart er, som det skal være.
I stedet er Chrome ved et besøg på 3's login-side fremkommet med en besked om manglende sikkerhed, og om at angribere i den forbindelse muligvis kan narre brugere ved at ændre på billeder, der bliver vist på siden.
Tirsdag i denne uge - altså dagen efter det kom frem, at 3 blev afpresset af kriminelle - havde teleselskabet rettet i de bagvedliggende systemer, så login-siden nu viser den grønne hængelås og en besked om, at forbindelsen er sikker.
Tracking scripts
Kommunikationskonsulent ved 3, Hanne Damgaard, har været i kontakt med selskabets online-team. Og de oplyser ifølge en mail fra kommunikationskonsulenten, at den tidligere manglende hængelås ikke har noget med den igangværende sag - altså datalækket - at gøre.
»Vi arbejder løbende med optimering af vores site, herunder også selvbetjeningen Mit3. Her er der tale om, at en kunde var så venlig at gøre os opmærksom på, at hans browser gav ham en 'advarsel' om usikkert indhold på den pågældende side. Og som ved andre kundehenvendelser om brugervenlighed, tjekker vi op på det,« står der i mailen fra Hanne Damgaard.
Beskeden om, at noget var galt på sitet, skyldes det ifølge 3, at der har kørt en sammenblanding af indhold på siden, hvor nogle scripts har kørt via http, mens resten af siden har kørt via en krypteret https-forbindelse.
»Det viser sig, at vi har tracking scripts på Mit3 som tracker i HTTP og ikke i HTTPS (secure). Vi har derfor valgt at fjerne disse scripts og erstatte dem med nye HTTPS hurtigst muligt. Når browseren giver en advarsel som denne, er det fordi der var blended-content på siden (en blanding af HTTP og HTTPS).«
Hanne Damgaard oplyser endvidere, at 3 modtog kundehenvendelsen om den manglende hængelås i løbet af weekenden. Hun meddeler desuden, at det ifølge den ansvarlige på området har drejet sig om »et teknisk problem - ikke et sikkerhedsproblem.«
Ikke desto mindre haft problemet dog haft en karakter, så login-siden ikke har kunnet få et sikkerhedsstempel i den udbredte Chrome-browser fra Google.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
