Ville Google bede om de første tre tegn i dit kodeord?

Google har umiddelbart et andet forhold til it-sikkerhed end danske teleselskaber.

Det er svært at forestille sig, at Google, Facebook og lignende ville håndtere brugernes sikkerhed på samme måde som et teleselskab i Danmark.

I hvert fald har Version2 alene i indeværende uge kunnet fortælle historier om, hvordan flere danske teleselskaber griber it-sikkerhed an.

Ugen blev skudt i gang med historien om teleselskabet 3, der åbenbart har mistet data for ca. 3.600 kunder. Hvordan det er foregået, vides ikke. Det er ikke mere end tre måneder siden, at 3 i England kunne meddelelse, at kriminelle havde fået fat i 133.827 kunders data. Ingen af delene siger nødvendigvis noget om det generelle sikkerhedsniveau hos 3. Alt og alle kan som bekendt hackes med tilstrækkelige ressourcer.

Alligevel er der noget, der springer i øjnene i forhold til historien om 3. For samtidigt med, at teleselskabets kundedirektør i forhold til lækket bedyrede, at »vi har sikkerhed som en meget meget høj prioritet,« så kunne kunder se en sikkerhedsrelateret fejl ved et besøg på login-siden til 3's selvbetjeningsløsning.

En fejl der fik Googles Chrome-browser til at advare om, at forbindelsen ikke var helt sikker.

3 var blevet opmærksom på fejlen via en kundehenvendelse henover weekenden og problemet var løst tirsdag. Ifølge 3 har fejlen ikke noget med datalækket at gøre.

Men det kan i den forbindelse undre, at 3 ikke tidligere af egen drift har gjort noget ved det umiddelbart simple problem, der har bevirket, at der på den pågældende side er blevet vist en advarsel om, at angribere kan narre brugerne ved at manipulere billeder, i stedet for en grøn hængelås. Og her taler vi vel at mærke login-siden, der giver adgang til kundernes data.

En anden telehistorie fra denne uge er fortællingen om det TDC-ejede Telmore, hvor det åbenbart er almindelig praksis at bede brugerne udlevere de første tre tegn af deres kodeord via mail i support-øjemed. På den måde bliver de første tre tegn af brugernes kodeord kendte af Telmores support-medarbejdere, når og hvis brugerne sender en mail med tegnene.

Mens Telmore gav udtryk for, at virksomhedens omgang med kodeord var forsvarlig, så gav Version2-blogger og it-sikkerhedsmand Poul-Henning Kamp udtryk for, at det var det ikke. Det samme gjorde flere Version2-læsere i den efterfølgende debat. Debatten indeholdt desuden flere eksempler på teleselskaber, der efter sigende har håndteret brugernes kodeord på en måde, som ligger langt fra det, de fleste nok forstår ved 'best practice'.

Det er i den forbindelse værd at holde sig for øje, at de danske teleselskaber ligger inde med potentielt særdeles følsomme oplysninger, blandt andet om vores færden i det fysiske rum.

Google, Facebook og co.

Google og Facebook ligger også inde med følsomme oplysninger om os. Mens disse virksomheder nok ikke ligefrem kan beskyldes for at stirre sig blinde på den danske persondatalovgivning, når det kommer til at indsamle og sammenkøre personoplysninger, så er der anderledes grund til at tro, at de bemeldte virksomheder tager grundlæggende it-sikkerhedsprincipper seriøst.

Det er således svært at forestille sig, at Google opbevarer kodeord på en måde, så support-medarbejdere kan autentificere brugere via de første tre tegn i kodeordet. Facebook ville nok næppe heller lade en https-advarsel i Chrome om, at forbindelsen til facebook.com ikke var 'helt sikker' gå upåagtet hen i dagevis - derudover ville HTML-koden hos Facebook nok ikke være skruet sådan sammen, at advarslen opstod i første omgang.

Facebook og Googles sikkerhedsfokus er i høj grad drevet af frygten for et katastrofalt brud på datasikkerheden. Det kan i sidste ende betyde, at de datadrevne forretninger går nedenom og hjem.

En ting er, hvis en enkelt bruger med et dårligt kodeord og manglende to-faktor-autentifikation får kompromitteret en mailkonto, anderledes vanskeligt vil det være at genopbygge aktionærernes tillid til virksomheden, hvis millioner af brugeres Gmails eller Facebook-beskeder pludseligt flød rundt på nettet som følge af en kompromittering af de bagvedliggende systemer.

At Google tager deres sikkerhed alvorligt vidner virksomhedens Project Zero om. Det er kort fortalt en flok dygtige sikkerhedsfolk, der hacker løs på Googles egne og andre virksomheders systemer. Når de så finder it-sikkerhedshuller, rapporterer Project Zero-folkene det til den pågældende virksomhed, der så har 90 dage til at lukke hullet, før det bliver offentliggjort. Det kan gå hurtigere, hvis hullet bliver aktivt udnyttet

Siden Project Zero blev startet i 2014, så har holdets skiftende medlemmer fået lukningen af en del spektakulære sikkerhedshuller på samvittigheden. Projektets blog er således saftig, og til tider særdeles teknisk, læsning for sikkerheds-interesserede. Eksempelvis var det i Project Zero-regi, at den avancerede, RAM-manipulerende RowHammer-sårbarhed blev opdaget.

Læs også: Mød Rowhammer - en spektakulær sårbarhed i RAM-klodser

Det er nok (desværre) usandsynligt, men hvis nu Google-folkene af en eller anden grund skulle begynde at udvise interesse for store danske virksomheder, der ligger inde med følsomme data om os alle sammen, så kunne noget tyde på, at der ville blive nok at se til.

En anekdote

Jeg mødte engang en it-sikkerhedsmand, hans navn og tilhørsforhold fortaber sig i glemslen, men han sagde noget i retning af:

»I know people who work with the security at Google. Those guys run a pretty tight ship.«

Jeg tror, han har ret. I hvert fald relativt set.

Hvad det relative angår, så er det underligt at sidde tilbage med en oplevelse af, at mine oplysninger - alt andet lige - ligger bedre sikrede hos en amerikansk, data-kapitaliserende mastodont, end hos et teleselskab i Danmark.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (11)

Dennis Christiansen

Hej Jens-Peter

Hvis du lige vil oplyse brugernavn og password på de to logins, du oplever denne fejl på vil vi tage hånd om det hurtigst muligt og få det fejlmeldt

Med venlig hilsen

(Navn slettet)

YouSee Support

Da jeg oprettede min YouSee konto for 1.5 år siden, modtog jeg en bekræftelsesmail som indeholdt mit brugernavn og password. Jeg gjorde en kundeservice-medarbejder opmærksom på at dette var en meget skræmmende praksis og han gav mig ret i at det egentligt ikke virkede særligt hensigtsmæssigt, og forsikrede mig om at han ville tage det op internt, men har aldrig hørt videre til det. Det skulle ikke undre mig om det stadig fungerer på samme måde.

Rasmus Anker

Når virksomheden og derved kundeservice medarbejderen anmoder om de 3 første tegn ( unik / selvlavet kombination ) er det vel i sidste ende for kundens sikkerhed ?, på denne måde verificerer kunden sig selv, og derved udleverer kundeservice medarbejderen ikke personfølsom data til en tredje person.

personnummer er efterhånden ikke særligt personligt, eksempelvis ved stjålen pung, eller en ekskone som har set sig sur på sin eksmand. e.g.

William Børresen

Jeg kan så oplyse at yousee nu sender brugernavn og password pr. SMS.

"YouSee Loginoplysninger

Brugernavn: xxxxxxx
Ny adgangskode: xxxxxxxx

Du kan ændre din nye adgangskode igen ved at logge ind på yousee.dk/login

Venlig hilsen
YouSee"

Jeg ved ikke lige hvordan sikkerheden er på SMS, men min antagelse er at det ikke eksistere

Baldur Norddahl

Jeg kan så oplyse at yousee nu sender brugernavn og password pr. SMS.

"YouSee Loginoplysninger

Brugernavn: xxxxxxx
Ny adgangskode: xxxxxxxx

De sender ny adgangskode, så jeg antager at de skifter din kode. Det indikerer at de netop ikke kan læse den gamle kode. Så skifter til en ny kode og sender til dig med besked om at du bør ændre kode igen. Det er standard procedure og er ok sikkert, hvis du så også husker at logge ind og skifte koden.

Hvis de skulle gøre det lidt bedre, så undlod de brugernavnet i SMS beskeden.

Kristian Christensen

Sbs ( dem der lavede big brother)

Deres kundeservice kunne fortælle mig at jeg blot sender en mail med det jeg ønsker at skifte min kode til så skal de nok skifte det... For det at ændre din kode er da ikke noget du selv skal rode med. Det er jo ikke fordi alle andre sider har en funktion til dette.

Simon Mikkelsen

"YouSee Loginoplysninger

Brugernavn: xxxxxxx
Ny adgangskode: xxxxxxxx

Du kan ændre din nye adgangskode igen ved at logge ind på yousee.dk/login

Venlig hilsen
YouSee"

Det lærer da bare folk at de også skal handle på følgende:

"YouSee Loginoplysninger

Brugernavn: xxxxxxx
Ny adgangskode: xxxxxxxx

Du skal bekræfte din nye adgangskode igen ved at logge ind på mityousee.com/login

Venlig hilsen
YouSee"

Mads L. Filskov

Hjemmesiden http://www.fugleognatur.dk har mere end 40.000 brugere.
Alligevel sker login via en usikker http-side.
Og hvis man glemmer sin adgangskode, kan man få brugernavn og adgangskode sendt i en email, hvilket betyder at de gemmes i klartekst i databasen.
Jeg har påpeget det uheldige i dette overfor administrator, men han kunne ikke se at der skulle være noget problem :-(

Log ind eller opret en konto for at skrive kommentarer

Partnernyheder

Welcome to a seminar on tools that help you become GDPR compliant!

Getting GDPR compliant by May 2018 implies a lot of activities covering the legal aspects, internal business processes, data management, and security technology.
28. feb 2017

Maja Rosendahl Larsen ansat hos Affecto

24. jan 2017

Introduction to Jedox – Affecto Seminar, Copenhagen

12. jan 2017