Britisk teleudbyder sender klartekst-passwords – med posten

Illustration: MI Grafik
Den britiske televirksomhed Virgin Media gemmer brugeres adgangskoder i klartekst og sender dem til glemsomme brugere med brevpost.

Den britiske teleudbyder Virgin Media har vakt opsigt, efter en bruger på Twitter brokkede sig over processen med at få nulstillet sin konto.

Brugeren havde glemt sine informationer og måtte igennem en noget aparte nulstillingsprocedure:

Efter en telefonsamtale med kundeservice fik kunden at vide, at koden ville komme med posten.

Den kode, der kom med posten, viste sig oven i købet at være en kode, brugeren kunne genkende. Det er udtryk for, at Virgin Media bruger en yderst ildeset praksis i deres lagring af passwords.

For at kunne sende den oprindelige kode med posten er de nemlig nødt til at lagre den i et format, hvoraf den oprindelige kode kan afledes.

På Twitter svarede Verizon Medias konto, at:

»Det er sikkert at sende den til dig med posten, da det er ulovligt at åbne andres breve.«

Verizons udsendelse af passwords i klartekst går imod almindelig praksis, som er at lagre passwords som saltede »hashes«.

Et passwords hash kan verificeres, men kan ikke uden videre føres tilbage til den oprindelige kode. Det betyder, at angribere, som får angreb til databasen, ikke kan se kodeordene, men det forhindrer også virksomheder i at sende brugeres oprindelige koder til dem, da de ikke har adgang til dem.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lasse Mølgaard

Mon ikke der er faldet et par ord ud af sætningen på den post?

... som i indbrud sker sjovt nok alligevel - til trods for det er ulovligt.

Personligt synes jeg ikke indbrud er sjovt. Jeg har trods alt prøvet det to gange.

  • 2
  • 0
Jesper Utoft

Plejer der ikke også stå login på vores el regninger?

Nu siger artiklen ikke hvad password giver adgang til, men inden for nogle brancher er det da mere eller mindre normal praksis.

  • 0
  • 0
Tobias Volfing

Jeg ved ikke hvad det er for et login der skulle stå på din (eller min) el-regning, men det er vel næppe et password som du selv har valgt?

Når jeg gemmer et password hos en eller anden form for udbyder, så er det på et eller andet plan indforstået at det er en hemmelighed jeg deler med udbyderen. Det er et klar brud på min tillid hvis udbyderen ikke behandler den som så.

  • 0
  • 0
Log ind eller Opret konto for at kommentere