Teleselskaber udleverer kunders kodeord over telefonen til alle og enhver

Illustration: leowolfert/Bigstock
Fire ud af seks danske teleselskaber udleverer kodeord til kundernes selvbetjeningsside over telefonen, uden at sikre sig, at de taler med den rigtige.

Danske teleselskaber udleverer kundernes adgangskoder over telefonen, hvis man blot kan oplyse navn og telefonnummer. Det rapporterer Radio24syv.

Hos fire ud af seks teleselskaber - Telmore, Telia, Fullrate og Bibob - var det muligt at få oplyst adgangskoden til selskabernes selvbetjeningsløsninger over telefonen. Det er normalt dårlig sikkerhedspraksis at oplyse adgangskoder over telefonen.

For at få udleveret oplysningerne skulle journalisterne hos tre af selskaberne blot oplyse navn og telefonnummer. Bibob bad også om adressen.

Med adgang til selvbetjeningssiderne har man fuld adgang til at se, hvem kunden har ringet og sendt sms'er til og hvornår.

»Det er selvfølgelig alvorligt og dybt beklageligt, at det er lykkedes Radio24syv at snyde velmenende og serviceorienterede medarbejdere. Derfor har vi nu taget Radio24syvs metoder til efterretning og allerede torsdag i sidste uge indskærpet sikkerheden i kundefronterne,« udtaler presserådgiver Rasmus Avnskjold fra TDC, som ejer Telmore og Fullrate, til Radio24syv.

Hos 3 skulle journalisterne oplyse et CPR-nummer for at få ændret adgangskoden. Af de seks selskaber var det kun CBB, som insisterede på kun at sende en ny adgangskode til enten telefonen, den oprindelige mailadresse eller pr. brev.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Michael Hansen

Det mest kritiske er sgu da, at de i det hele taget kan se ens password, uden det er hashed. (det burde sgu være hashed efter best practice med en ordentlig hashing algoritme ala PBKDF2/Bcrypt/Scrypt, selvfølgelig med salts etc).

Men derudover burde de, da kun tilbyde at skifte det til et nyt på den måde CBB gør.

Og derudover virker det også ret fishy at en almindelig kundeservice medarbejder har adgang til at se kunders CPR numre.

  • 11
  • 0
#2 Martin Andersen

Det fremgik af indslaget i radioen og artiklen at de IKKE udleverede adgangskoder over telefonen, men bestilte nye adgangskoder. Og flere gange til helt nye emailadresser. Det er stadig slemt, men de har altså IKKE udleveret koder over telefonen.

  • 8
  • 0
#3 Michael Hansen

Ok, så burde de opdatere artiklen :)

Der står "Hos fire ud af seks teleselskaber - Telmore, Telia, Fullrate og Bibob - var det muligt at få oplyst adgangskoden til selskabernes selvbetjeningsløsninger over telefonen. Det er normalt dårlig sikkerhedspraksis at oplyse adgangskoder over telefonen."

  • 2
  • 0
Log ind eller Opret konto for at kommentere