Coop i ny sikkerhedsbrøler: Sendte digitale kopier af pas og kørekort ukrypteret

Digitale kopier af kunders pas og kørekort er blevet uploadet ukrypteret ved bestilling af supermarkedskæden Coop's betalingskort. En klar sikkerhedsbrist, erkender firmaet bag betalingskortene.

Supermarkedskæden Coop er nu atter kommet i søgelyset på grund af sjusk med it-sikkerheden, og ligesom for godt og vel en uge siden er problemet knyttet til kædens nye betalingskort for medlemmer, Coop Plus.

Når kortet bestilles, beder ejeren af Coop, FDB, nemlig kunden fremsende gyldig legitimation i form af en kopi af pas eller kørekort ved bestilling af betalingskortet.

Det kan enten ske med posten eller ved at uploade et indscannet billede.

Vælger kunden at uploade kopien af pas eller kørekort digitalt, sker det gennem en upload-formular på FDB's hjemmeside, som er helt og aldeles ukrypteret.

Og det kan udnyttes af it-kriminelle til identitetstyveri.

»En person med skumle hensigter vil let kunne få fat på de scannede dokumenter fra den ukrypterede forbindelse,« siger senior it-sikkerhedskonsulent Claus Nørklit Roed, PricewaterhouseCoopers.

Når først tyveriet er sket, kan udbyttet potentielt have stor værdi for den kriminelle.

»Uden at kende nærmere til mulighederne, forestiller jeg mig, at denne type dokumenter i sig selv har en værdi på det sorte marked. Men de kan med garanti også benyttes direkte til at opnå lån eller andre finansielle ydelser,« siger Claus Nørklit Roed.

Anden brøler på kort tid

Det er kun lidt over en uge siden, at Version2 sidst kunne skrive om problemer med it-sikkerheden hos Coop.

Sidst bestod problemet i, at Coop i visse tilfælde havde udsendt adgangskoder til Coop Plus hjemmesiden med fortløbende numre, som i øvrigt var knyttet til medlemsnummeret.

Dermed kunne det lade sig gøre at gætte sig til en anden kundes medlemsnummer og adgangskode og efterfølgende få adgang til kundens personlige oplysninger som navn, adresse og fødselsdato.

**Læs også: **Coop i sikkerhedsbrøler: Sendte fortløbende kodeord til kunder

Én af de kunder, der har forsøgt at bestille Coop Plus-kortet via hjemmesiden, ryster på hovedet af, at supermarkedskæden ikke har krypteret hjemmesiden, hvor de personfølsomme oplysninger kan uploades.

»Det er helt hen i vejret, at de ikke har styr på den slags basale ting omkring it-sikkerhed,« siger Johnny, der kun ønsker at optræde med fornavn. Version2 kender kildens fulde identitet.

»De burde tænke på at kryptere kontaktformularen, når de nu henviser til, at man skal sende personfølsomme oplysninger via den,« siger han.

Erkender brist i sikkerheden

Hos Coop henviser man imidlertid til virksomheden Entercard Danmark, der står bag FDB's medlems- og betalingskort.

Her erkender administrerende direktør, Anne Mette Krighaar, at der er tale om en klokkeklar brist i it-sikkerheden.

»Kundernes sikkerhed er helt afgørende for vores forretning, og derfor er vores it-sikkerhed generelt høj. Efter at I har påpeget sikkerhedsbristen, har vi nu taget kontakt til vores it-afdeling, som fjerner upload-muligheden fra hjemmesiden, indtil vi har lukket af for hullet,« siger Anne Mette Krighaar.

Du siger, at jeres it-sikkerhed normalt er høj. Hvordan har det så været muligt at overse den pågældende sikkerhedsbrist?

»Det er en menneskelig fejl, som skyldes en forglemmelse. Normalt arbejder vi efter enormt høje sikkerhedsstandarder. Men vi er glade for, at det er jer, der har fundet sikkerhedshullet, og ikke nogle hackere eller lignende.«

Har sikkerhedsbristen haft konsekvenser for FDB's kunder?

»Vi er ikke bekendte med, at den er blevet misbrugt.«

Hvad gør I fremadrettet for at sikre, at det ikke sker igen for andre kunder?

»Det bedste, vi kan gøre, er kontinuerligt at lade vores it-eksperter gennemgå vores hjemmesider for at sikre, at de lever op til sikkerhedsstandarderne,« siger Anne Mette Krighaar.

Anne Mette Krighaar oplyser, at muligheden for at uploade digitale kopier af pas og kørekort på hjemmesiden www.fdb-betalingskort.dk/kontakt har været tilgængelig siden begyndelsen af juni.

Coop driver blandt andet Kvickly, Super Brugsen og Fakta. FDB har omkring 1,7 millioner medlemmer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Hans-Michael Varbæk

SSL er da en pæn feature, men hvis kundens computer er inficeret med malware som bare en smule up2date gør SSL altså ikke den helt store forskel, hvis det er hackere som ved hvad de laver og hvem de har med at gøre.

Lidt let-læsning: http://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-0...

Spørgsmålet jeg hellere vil stille er: "Er kundens data krypteret hos Coop?"

Fordi, hvad hvis Coop bliver kompromiteret enten via deres hjemmeside eller pga. et insider-angreb? Så kan hele databasen være blottet, med tusindvis af kørekort og pas tilgængelige. Worst case scenario.

Det er dog, ikke særligt svært at implementere SSL udover at det koster da en smule (små-penge for coop håber jeg da) at få en "betroet udbyder" til at udstede et certifikat, medmindre man selvfølgelig selv skriver det, som nogle jo gør.

  • 0
  • 0
#2 Peter Andersen

Netbankerne er ikke bedre. Jeg er mindst 2 gange blevet bedt om at emaile kopi af pas og kørekort i forbindelse med oprettelse af konti (og har gjort det).

Når jeg har forespurgt på om det var muligt at sende krypteret, har jeg fået svaret at banken ikke understøtter krypterede mails.

Er der ikke også noget fundamentalt forkert ved at vi skal bekræfte vores identitet ved indsendelse af en digitaliseret (manupulérbar) kopi af et papkort? Har vi ikke fået nemid til den slags? ;)

  • 0
  • 0
#3 Jesper Lund

Er der ikke også noget fundamentalt forkert ved at vi skal bekræfte vores identitet ved indsendelse af en digitaliseret (manupulérbar) kopi af et papkort? Har vi ikke fået nemid til den slags? ;)

Jeg kan ikke se at NemID er et hak bedre. Den eneste "sikkerhed" som der er i NemID er en konstant identifikation af dig, ligesom hvis du skulle fremvise dit pas til en eller anden statslig kontrollant på hvert eneste gadehjørne.

Risikoen for at de kriminelle vil angribe en enkelt ukrypteret overførsel af nogle personlige overførsel er meget lille. De skal godt nok sidde mange timer på en cafe med et åbent hotspot før de får en rotte i fælden, og de kriminelle skal også tænke på deres timeløn.

Der er meget mere fornuft for de kriminelle i at angribe de centrale databaser med personlige oplysninger om måske millioner af personer.

Se denne artikel af Bruce Schneier om risici ved centrale databaser http://www.schneier.com/blog/archives/2010/06/data_at_rest_vs.html

Krypering løser ikke nødvendigvis så mange problemer som vi (og specielt Datatilsynet) tror..

  • 0
  • 0
#4 Kim Garsdal Nielsen

Risikoen for at de kriminelle vil angribe en enkelt ukrypteret overførsel af nogle personlige overførsel er meget lille. De skal godt nok sidde mange timer på en cafe med et åbent hotspot før de får en rotte i fælden, og de kriminelle skal også tænke på deres timeløn.

Der er meget mere fornuft for de kriminelle i at angribe de centrale databaser med personlige oplysninger om måske millioner af personer.

Ja, jeg er også mere bekymret over det faktum, at jeg efter at have uploadet billedet af mit kørekort til COOP, efterfølgende blev bedt om at fremsende det pr. email. Hvor meget styr på mine oplysninger har de så?

/Kim

  • 0
  • 0
Log ind eller Opret konto for at kommentere