3 fikser https-svipser på login-side i kølvandet på sag om datalæk

Teleselskabet 3 har fikset en login-side, så der ikke længere dukker en browser-advarsel op om manglende sikkerhed.

Teleselskabet 3 har fikset et problem med en login-side, som har fået Googles Chrome-browser til at advare om manglende sikkerhed. Tilretningen er sket umiddelbart efter at det kom frem, at personlige oplysninger om tusindvis af kunder hos 3 er havnet i hænderne på kriminelle.

Samme dag, som 3 oplyste om, at teleselskabet blev afpresset af kriminelle i forbindelse med et datalæk, advarede Googles Chrome-browser om, at forbindelsen til 3.dk ikke var helt sikker. Ifølge teleselskabet har denne advarsel dog ikke haft noget med datalækket at gøre.

Mandag i denne uge bekendtgjorde 3, at en eller flere kriminelle forsøger at afpresse virksomheden for millioner af kroner for ikke at lække personlige oplysninger om ca. 3.600 kunder.

Herunder cpr-numre, sim-kortnumre og potentielt hemmelige adresser.

Læs også: 3 på bar bund: Kriminelle kan have fået fat i kunders hemmelige adresser

En Version2-læser har gjort opmærksom på, at besøgte man - ligeledes i mandags - en login-side til en 3-selvbetjeningsløsning med Chrome, så resulterede det i en advarsel om, at forbindelsen ikke var ‘helt sikker’.

På siden kan kunder kan logge ind via et brugernavn (mail eller telefonnummer) og en adgangskode.

Forbindelsen til den pågældende side er godt nok sat op som en krypteret https-forbindelse, men alligevel har browseren ikke villet stemple den som 'sikker' med den grønne hængelås, som browseren bruger til at vise brugeren, at alt umiddelbart er, som det skal være.

Dagen efter, 3 havde fortalt om datalækket, var problemerne ved login-siden til selvbetjening på 3.dk nu blevet løst, så Chrome nu kaldte siden for 'secure'.

I stedet er Chrome ved et besøg på 3's login-side fremkommet med en besked om manglende sikkerhed, og om at angribere i den forbindelse muligvis kan narre brugere ved at ændre på billeder, der bliver vist på siden.

Tirsdag i denne uge - altså dagen efter det kom frem, at 3 blev afpresset af kriminelle - havde teleselskabet rettet i de bagvedliggende systemer, så login-siden nu viser den grønne hængelås og en besked om, at forbindelsen er sikker.

Tracking scripts

Kommunikationskonsulent ved 3, Hanne Damgaard, har været i kontakt med selskabets online-team. Og de oplyser ifølge en mail fra kommunikationskonsulenten, at den tidligere manglende hængelås ikke har noget med den igangværende sag - altså datalækket - at gøre.

»Vi arbejder løbende med optimering af vores site, herunder også selvbetjeningen Mit3. Her er der tale om, at en kunde var så venlig at gøre os opmærksom på, at hans browser gav ham en 'advarsel' om usikkert indhold på den pågældende side. Og som ved andre kundehenvendelser om brugervenlighed, tjekker vi op på det,« står der i mailen fra Hanne Damgaard.

Beskeden om, at noget var galt på sitet, skyldes det ifølge 3, at der har kørt en sammenblanding af indhold på siden, hvor nogle scripts har kørt via http, mens resten af siden har kørt via en krypteret https-forbindelse.

»Det viser sig, at vi har tracking scripts på Mit3 som tracker i HTTP og ikke i HTTPS (secure). Vi har derfor valgt at fjerne disse scripts og erstatte dem med nye HTTPS hurtigst muligt. Når browseren giver en advarsel som denne, er det fordi der var blended-content på siden (en blanding af HTTP og HTTPS).«

Hanne Damgaard oplyser endvidere, at 3 modtog kundehenvendelsen om den manglende hængelås i løbet af weekenden. Hun meddeler desuden, at det ifølge den ansvarlige på området har drejet sig om »et teknisk problem - ikke et sikkerhedsproblem.«

Ikke desto mindre haft problemet dog haft en karakter, så login-siden ikke har kunnet få et sikkerhedsstempel i den udbredte Chrome-browser fra Google.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (5)

Peter D Hansen

Fantastisk som 3's PR-afdeling forsøger at spinne det som en "henvendelse om brugervenlighed".

Afpresningen i sidste uge var måske en "henvendelse om forretningsmulighed" - og data-lækket var måske led i 3's "løbende optimering" eller et visionært eksperiment i open data med "enkelte" utilsigtede konsekvenser.

Men stadig under al kritik at 3 insisterer på at høste CPR-numre uden at have styr på sikkerheden - og at den svage Forbrugerombudsmand tillader CPR-høstningen fra den slags foretagender, i stedet for at tænke på forbrugerne.

Leif Neland

Hvis man blot skriver ... src='//tracker.external.dom/tracking.js' i kildekoden, så bruges samme protokol som siden er hentet med.

Så behøver man ikke tænke over det, hvis man har sider med både med og uden https.

Jesper Mørch

Men stadig under al kritik at 3 insisterer på at høste CPR-numre uden at have styr på sikkerheden


Jeg mindes en stilling jeg havde på et tidspunkt for et velanset konsulenthus, hvor jeg arbejdede på den interne IT for et unavngivet teleselskab.
Et af de vitale IT-systemer var på det tidspunkt afhængige af Internet Explorer v. 6.0. Systemet blev ganske enkelt ubrugeligt for de "stakler", som fik grønt lys til at opdatere IE til v. 8.0. Det gav en masse ballade at få dem nedgraderet til IE 6 igen.

Jeg er ret sikker på, det ikke er en enlig svale derude, selvom det her ti år senere, heldigvis er blevet mere reglen end undtagelsen, at webservices m.m. kræver en HTML5-kompatibel browser for at fungere tilfredsstillende.

At der stadig udvikles IT-systemer med afhængighed af specifik software, vendor-lockin m.m. er dog almen viden. Det legaliserer ikke sikkerhedsfejl, men forklarer måske hvorfor vi stadig ser dem her i 2017.
Forældet software, arrogance fra leverandører etc. er ikke noget særsyn. til gengæld er det potentielt en direkte kilde til alvorlige sikkerhedshuller, datamisbrug og det der er værre.

Just my 2¢

Sune Marcher
Log ind eller opret en konto for at skrive kommentarer

Partnernyheder

Welcome to a seminar on tools that help you become GDPR compliant!

Getting GDPR compliant by May 2018 implies a lot of activities covering the legal aspects, internal business processes, data management, and security technology.
28. feb 2017

Maja Rosendahl Larsen ansat hos Affecto

24. jan 2017

Introduction to Jedox – Affecto Seminar, Copenhagen

12. jan 2017