Navigering

Dustin i blåsväder efter att lagrat kundernas lösenord i klartext

0 131

Dustin, som förra året vann utmärkelsen årets datorbutik medlemmarna på Sweclockers har hamnat rejält i blåsväder efter att det kommit fram att man sparar kundernas lösenord i klartext. Trots försäkringar att ett nytt system är på gång så är kritiken stenhård.

Det var i torsdags som en medlem på Sweclockers postade ett inlägg gällande en konversation med support där det framkom att lösenordet sparades i klartext. Kort därefter kom en bekräftelse från Dustin att de beklagade att de faktiskt sparade lösenorden i klartext och att de är i en process att ändra detta genom en förändring i deras affärssystem.

Hej Dustin,

När jag pratade med er support idag kommenterade supportpersonen att mitt lösenord såg slumpgenererat ut (jag skulle logga in och hade tydligen inte ändrat sedan jag återställt det) varpå jag frågade ”Va?! Kan du se mitt lösenord?”, ”Japp” svarade han och verkade inte tycka att det var något konstigt med det.

Personligen tycker jag att det är näst intill skandal att ni är så vårdslösa med era kunders lösenord. Dels tjänar det inget syfte att er supportpersonal har tillgång till kundernas lösenord, och en illasinnad anställd har makt att testa kundernas inloggningsuppgifter på andra sidor för få tillgång till deras konton. Men framförallt är det en säkerhetsbrist att ni lagrar lösenord enbart med en reversibel kryptering och inte med en envägs-hashfunktion. Grundläggande datasäkerhet.

—–

Hej!
Det är dåligt, det är riktigt dåligt. Vi är medvetna om detta och vi jobbar nu med att byta ut vårt affärssystem. Detta kommer vara klart inom kort. Då kommer användarvänligheten och framför allt säkerheten vara ordentligt mycket bättre.
Jag kan inte göra att annat än beklaga att det ser ut som det gör nu, men jag lovar dig att vi jobbar på det, och vi kommer ha ett bra system inom kort.

 

Visst kan man kasta sten på Dustin som idag sitter på ett system som lagrar lösenord (och förmodligen andra saker också) i klartext i sin databas, men de är iallafall på väg att göra förändringarna som behövs för ett säkrare system. Det finns många därute som fortfarande sitter på lösningar som gör på precis samma sätt och förmodligen har betydligt sämre säkerhet i övrigt än vad Dustin har.

För mig som jobbar med E-handel dagligen så har frågan dykt upp många gånger varför ebutiker inte presenterar säkerhetsaspekter på sina webbplatser som trust-faktorer och det enda svaret jag kan tänka mig är att det man är orolig för en juridisk aspekt, eller för att man helt enkelt har en osäker lösning och inte vill skylta med det.

Jag tror dock att precis som SSL indikationen visar att butiken krypterar överföringen i känsliga lägen så finns det utrymme att presentera en generisk säkerhetsikon för databas kryptering. Jag tror dessutom att det kan påverka konverteringen positivt.

…såvida man inte som Dustin har nu, saknar grundläggande databaskryptering på känsliga uppgifter för då lär konverteringen sjunka drastiskt. Det skulle vara intressant att veta hur försäljningen har påverkats av detta för Dustin och jag vill ändå påstå att även om detta självklart är katastrof för Dustin så gör de helt rätt när de erkänner det och inte försöker slingra sig.

Jag hoppas att Dustin kan få sitt nya affärssystem på plats fort och att den här stormen kan medföra något positivt över sig i längden, även om det förmodligen inte känns så trevligt just nu för Dustin…

Om författaren: Staff Jimi Wikman

Jag heter Jimi Wikman och jag jobbar till vardags med större svenska e-handelsföretag i varierande roller som Projektledare, scrum master, grafisk designer, frontend utvecklare, kravanalytiker och Neurowebdesigner för att nämna några. Jag föreläser och utbildar inom design för e-handel och så skriver jag en del här om allt mellan himmel och jord.