Fitnesskæde lod 250.000 kunder booke træning med fødselsdag som kodeord

Illustration: leowolfert/Bigstock
Blot ved at gætte en kundes e-mail-adresse og fødselsdag kunne man booke fitnesshold, som kostede 30 kroner i gebyr, hvis kunden ikke mødte op.

En e-mailadresse og en fødselsdato var indtil for få dage siden det eneste, det krævede at logge sig ind som en kunde hos fitnesskæden Fitness World og booke holdtræning, som kunne koste kunden 30 kroner i gebyr, hvis han ikke dukkede op.

Alle 250.000 kunder i Fitness World har mulighed for at logge sig ind via hjemmesiden og reservere en plads til holdtræning, og indtil for nylig var det let at gætte sig til brugernavn og kodeord.

En læser har gjort Version2 opmærksom på, at alle Fitness World-kunder loggede på med en e-mailadresse og de fire første cifre i CPR-nummeret, altså dag og måned i deres fødselsdato. Hvad værre var, så kunne brugerne ikke selv ændre kodeordet til noget mere sikkert.

»Hidtil har vi brugt vores systemudbyders login-system. Vi har vurderet, at der ikke var tale om følsomme oplysninger,« siger Niklas Pedersen fra Fitness Worlds it-afdeling til Version2.

Kæden har nu ændret login-systemet, så kunderne kun første gang kan logge på med det lette kodeord. Derefter kan de ændre koden til en selvvalgt kode.

»Vi opdaterer nu, fordi vi lancerer nogle nye funktioner, hvor man blandt andet kan opsige sit medlemskab,« siger Niklas Pedersen.

Tidligere var den eneste funktion, at man kunne booke træning, og det største sikkerhedsproblem var derfor, at man kunne chikanere en kunde ved at booke træningsaftaler, som kunden så blev opkrævet gebyr for ikke at være mødt op til.

»Vi har aldrig haft én eneste, der har henvendt sig om det,« understreger Niklas Pedersen.

De to oplysninger, som gav adgang til Fitness World, er for de flestes vedkommende lette at finde takket være eksempelvis LinkedIn eller Facebook.

»Fødselsdato og e-mail er for nemme at gætte,« siger sikkerhedsspecialist Claus Nørklit Roed fra PWC til Version2.

Han kan dog godt forstå den afvejning, der ligger bag, når eksempelvis Fitness World vælger den lette løsning, fordi den giver færre problemer med at skulle sende kodeord ud til nye medlemmer.

»Det er heller ikke smart at sende password ud pr. e-mail, men hvis man bliver tvunget til at ændre det, første gang man logger på, så er det en helt anden boldgade,« siger Claus Nørklit Roed.

Fitness World oplyser til Version2, at kæden ikke har vurderet den tidligere login-metode til at være et sikkerhedshul, men at systemet nu er ændret for øge sikkerheden i forbindelse med lancering af den nye selvbetjening for kunderne, som kan se deres opkrævninger og administrere medlemsskabet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jacob Bach Pedersen

Giver det nye system ikke bare en ny mulighed for chikane?

Nu kan man jo logge ind med de allerede kendte oplysninger: E-mail og fødselsdag og ændre koden!

Kunne godt give en travl telefon- og mailsupport hos Fitness World, hvis nogen syntes det kunne være sjovt at drille naboen, kollegaen osv.... Specielt efter de har offentliggjort "fejlen" til f.eks. V2

  • 0
  • 0
Peter Jørgensen

I praksis vil folk vel bare skifte til det kodeord som de bruger på utallige andre sites... Man vel næppe lave et unikt kodeord til noget så ligegyldigt som et fitness center. (jeg ville ikke - syntes det er besværligt nok med de 8-10 unikke koder jeg går og husker, så medmindre det er virkelig er kritisk får endnu et sted bare "det sædvanlige")

  • 0
  • 0
Morten Grouleff

Vi har vurderet, at der ikke var tale om følsomme oplysninger,« siger Niklas Pedersen fra Fitness Worlds it-afdeling

Og det har han da ret i. Det er rart at høre, at der er nogen, der kan se nytten af at vurdere følsomheden og vælge sikkerhedsniveau derefter. Der kunne trods alt højst ske det, at Fitness World kunne komme til at skulle refundere de fejlagtige gebyrer efter klage fra kunden. I forhold til at genere alle de andre kunder med at holde styr på endnu et password er det ikke værd at tale om.

  • 5
  • 2
Casper Skovgaard

Jeg mener ikke der er noget galt i den løsning Fitness World har kørt med.
De har lavet en vurdering, hvormange vil ret faktisk hacke en fitnesskonto mod hvormange kunder mister man ved at lave en sikker og besværlig login.
De har så valgt at gøre det super nemt for brugerne, hvilket er det helt rigtige i denne situation.

  • 4
  • 2
Michael Lykke

»Vi har aldrig haft én eneste, der har henvendt sig om det,« understreger Niklas Pedersen.

Det er en lodret løgn - Jeg kender op til flere mennesker der har kontaktet jer netop omkring den elendige sikkerhed i jeres login!

  • 4
  • 1
lArs hAnsen

Det er en lodret løgn - Jeg kender op til flere mennesker der har kontaktet jer netop omkring den elendige sikkerhed i jeres login!


Har de henvendt sig om den elendige sikkerhed eller har de henvendt som at de er kommet til at betale for en tilmelding en anden har lavet? Niklas siger at der ikke har været klager om misbrug, ikke at der ikke har været klager over sikkerheden. Så med mindre nogen af dem du kender har klaget over misbrug, så kan Niklas jo godt have ret.

  • 1
  • 0
Log ind eller Opret konto for at kommentere