Så skidt håndterer American Express henvendelser om sikkerhedshuller

American Express tager ikke advarsler om sikkerhedshuller særligt alvorligt. Faktisk er det næsten umuligt at kontakte dem.

En godhjertet svensk Twitterbruger ved navn Niklas Femerstrand forsøgte at melde et åbenlyst sikkerhedsbrud i American Express’ system til selskabet. Men det var lettere sagt end gjort, for det virkede ikke som om American Express var synderligt interesseret i at blive gjort opmærksom på hullerne.

De eneste kontaktmetoder, som Twitter-brugeren kunne finde på firmaets hjemmeside var telefon, fax eller almindelig post, som man kunne sende til et land kaldet ’Swerige’.

»Jeg vurderede, at ingen af dem var egnede til 0-dags-rapporteringer og besluttede mig for at henvende mig via Twitter og bede om en e-mail-adresse eller en anden moderne protokol,« skriver han på sin blog.

Niklas Femerstrand skrev derfor følgende på Twitter:

»Hvem kan jeg kontakte angående sikkerhedshuller i jeres system? Jeg kan ikke træffes på telefon, fysisk post eller fax.«

Da der ikke kom svar, skrev han igen:

»Bare for at gøre det helt klart: Jeg har fundet en sårbarhed, og dette burde være en hastesag, så ikke noget med at sende mig gennem teknisk support, tak.«

Stadig intet svar - så han prøvede igen.

»Jeg har forsøgt at komme i kontakt med American Express angående sikkerhedshuller. Hvem skal jeg tale med?«

Endelig kom der svar fra American Express:

»Hej Niklas. Hvilke sikkerhedshuller er der tale om?«

Niklas’ Svar:

»Jeg tror ikke, at Twitter er det bedste sted at tale om den slags. Du ved, hacker-slang. Men skal jeg informere jer offentligt?«

Svar fra American Express:

»Ejer du et American Express-kort? Så kan jeg referere til en e-mailadresse.«

»Jeg kan ikke se, hvorfor det er relevant, om jeg er American Express kortholder. Men nej, jeg har ikke et American Express-kort. Men send mig gerne en e-mail, jeg kan skrive til.«

Svaret fra American Express lød derefter således:

»E-mailen er kun for kortholdere. Men du kan sende en besked direkte til mig (på Twitter, red.) eller ringe på telefon 800-297-1234. ^Courtney«

Niklas Femerstrands blev meget chokeret over denne korrespondance og skrev efterfølgende på sin blog:

»Når nogen frivilligt kontakter en virksomhed og gentagne gange nævner ord som "sårbarhed" og "hacker", skulle man tro, at virksomheden ville handle så hurtigt som muligt. I hvert fald alle de virksomheder, jeg har været i kontakt med om sikkerhedsproblemer. Men denne oplevelse var drastisk anderledes.«

»Til min store overraskelse tillader American Express ikke nogen at kontakte dem. (…) Du kan lige så godt lade være med at forsøge, medmindre du har lyst til at tale teknisk avancerede 0-dags sårbarheder med inkompetente support medarbejdere enten via direkte beskeder på Twitter eller via telefon.«

Efterfølgende løb Niklas Femerstrands tålmodighed op, og han lagde en beskrivelse af sikkerhedshullet ud, som drejer sig om, at der opstår en sårbarhed i forhold til måden American Express fejlfinder på. Se beskrivelsen af sikkerhedshullet her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Leonard Kramer

Jeg blev letter chokeret da jeg fik mit Amex kort (firma kort) og fandt ud af at der ingen pin kode er paa et saadan.

Det er tilsyndeladende tilfaeldet for alle amerikanske bank kort at man hoejst skal bruge underskrift for at betale med dem.

Jeg kan kun konkludere at bankerne ikke haenger paa sorteper hvis der sker snyd.

  • 2
  • 0
Michael Jensen

Pin koden er mere eller mindre kun til brug i automater. I butikker osv er det altid underskrift der bruges.

Oplevede på et tidspunkt at min underskrift på kortet var visket ud over tid. Hvorefter en ekspedient som checkede underskriften bag på kortet med den på kvitteringen, som de jo skal, ikke ville godkende transactionen, men jeg kunne bare underskrive kortet og alting var godt.

  • 0
  • 0
Sune Fibæk

Hvorefter en ekspedient som checkede underskriften bag på kortet med den på kvitteringen, som de jo skal, ikke ville godkende transactionen, men jeg kunne bare underskrive kortet og alting var godt.

Den har jeg også været ude for i Danmark for en tre år siden. Jeg havde fået nyt dankort men glemt at skrive under på bagsiden. Butikken havde en af de lidt ældre terminaler, som kræver underskrift på en papirstrimmel. Ekspedienten beklagede sig over den manglende underskrift. Jeg lånte en kuglepen og underskrev både kortet og kvitteringen. Ekspedienten sammenlignede de to (ret identiske underskrifter) og sågde pænt tak, hvorefter jeg, temmelig forundret, forlod butikken. Der var ikke billed på dankortet og jeg viste ingen form for ID.

  • 0
  • 0
Christian Schmidt Blogger

Ekspedienten beklagede sig over den manglende underskrift. Jeg lånte en kuglepen og underskrev både kortet og kvitteringen. Ekspedienten sammenlignede de to (ret identiske underskrifter) og sågde pænt tak, hvorefter jeg, temmelig forundret, forlod butikken.

Det lyder måske fjollet, men det giver en øget sikkerhed ved fremtidige transaktioner med kortet. Jeg ved ikke, om man ligefrem hæfter for misbrug, hvis man ikke underskriver sit kort (og genopfrisker signaturen, hvis den er blevet utydelig), men man gør det i hvert fald nemmere for tyveknægte at misbruge kortet, hvis man mister det.

  • 0
  • 0
Christian Schmidt Blogger

I Storbritannien bliver man ikke afkrævet PIN-kode (på et Visa/Dankort), vistnok i modsætning til både briterne selv og andre udlændinge (i hvert fald kommer det ofte bag på ekspedienten, og nogle steder er det ligefrem en udfordring at fremskaffe en kuglepen).

For et par år siden spurgte jeg Nets (fhv. PBS) om årsagen hertil. De svarede tilbage, at det afhang af opsætningen af den enkelte terminal, hvordan transaktionen bliver gennemført. Det lyder umiddelbart mærkeligt, at alle terminaler i UK er opsat på samme uhensigtsmæssige måde, mens de i andre lande godt kan finde ud af at spørge om PIN-kode.

  • 0
  • 0
Sune Fibæk

Det lyder måske fjollet, men det giver en øget sikkerhed ved fremtidige transaktioner med kortet.

Helt enig - det var den konkrete hændelse, der undrede mig. Og når der ikke bliver afkrævet foto-ID kan underskriften formodentlig ret let gøres så utydelig, at den nemt kan forfalskes.

Men, det er som sagt baseret på et enkelttilfælde og forhåbentligt ikke almindelig brugt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere