Skip to content
View in the app

A better way to browse. Learn more.
JimiWikman.se

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Dustin i blåsväder efter att lagrat kundernas lösenord i klartext

By 💫 Jimi Wikman

Experienced Senior Atlassian tools & Work Process Expert helping organizations work better holistically - for real and without buzzwords.

· · 1,147 views · 1 comment

Dustin, som förra året vann utmärkelsen årets datorbutik medlemmarna på Sweclockers har hamnat rejält i blåsväder efter att det kommit fram att man sparar kundernas lösenord i klartext. Trots försäkringar att ett nytt system är på gång så är kritiken stenhård.

 

Det var i torsdags som en medlem på Sweclockers postade ett inlägg gällande en konversation med support där det framkom att lösenordet sparades i klartext. Kort därefter kom en bekräftelse från Dustin att de beklagade att de faktiskt sparade lösenorden i klartext och att de är i en process att ändra detta genom en förändring i deras affärssystem.

Hej Dustin,

 

När jag pratade med er support idag kommenterade supportpersonen att mitt lösenord såg slumpgenererat ut (jag skulle logga in och hade tydligen inte ändrat sedan jag återställt det) varpå jag frågade "Va?! Kan du se mitt lösenord?", "Japp" svarade han och verkade inte tycka att det var något konstigt med det.

 

Personligen tycker jag att det är näst intill skandal att ni är så vårdslösa med era kunders lösenord. Dels tjänar det inget syfte att er supportpersonal har tillgång till kundernas lösenord, och en illasinnad anställd har makt att testa kundernas inloggningsuppgifter på andra sidor för få tillgång till deras konton. Men framförallt är det en säkerhetsbrist att ni lagrar lösenord enbart med en reversibel kryptering och inte med en envägs-hashfunktion. Grundläggande datasäkerhet.

 

-----

 

Hej!

Det är dåligt, det är riktigt dåligt. Vi är medvetna om detta och vi jobbar nu med att byta ut vårt affärssystem. Detta kommer vara klart inom kort. Då kommer användarvänligheten och framför allt säkerheten vara ordentligt mycket bättre.

Jag kan inte göra att annat än beklaga att det ser ut som det gör nu, men jag lovar dig att vi jobbar på det, och vi kommer ha ett bra system inom kort.

 

 

Visst kan man kasta sten på Dustin som idag sitter på ett system som lagrar lösenord (och förmodligen andra saker också) i klartext i sin databas, men de är iallafall på väg att göra förändringarna som behövs för ett säkrare system. Det finns många därute som fortfarande sitter på lösningar som gör på precis samma sätt och förmodligen har betydligt sämre säkerhet i övrigt än vad Dustin har.

 

För mig som jobbar med E-handel dagligen så har frågan dykt upp många gånger varför ebutiker inte presenterar säkerhetsaspekter på sina webbplatser som trust-faktorer och det enda svaret jag kan tänka mig är att det man är orolig för en juridisk aspekt, eller för att man helt enkelt har en osäker lösning och inte vill skylta med det.

 

Jag tror dock att precis som SSL indikationen visar att butiken krypterar överföringen i känsliga lägen så finns det utrymme att presentera en generisk säkerhetsikon för databas kryptering. Jag tror dessutom att det kan påverka konverteringen positivt.

 

...såvida man inte som Dustin har nu, saknar grundläggande databaskryptering på känsliga uppgifter för då lär konverteringen sjunka drastiskt. Det skulle vara intressant att veta hur försäljningen har påverkats av detta för Dustin och jag vill ändå påstå att även om detta självklart är katastrof för Dustin så gör de helt rätt när de erkänner det och inte försöker slingra sig.

 

Jag hoppas att Dustin kan få sitt nya affärssystem på plats fort och att den här stormen kan medföra något positivt över sig i längden, även om det förmodligen inte känns så trevligt just nu för Dustin...

    •

    User Feedback

    Recommended Comments

    Guest KodmyranKatrin

    Guest KodmyranKatrin

    Guests

    RT @JimiWikman: Dustin i blåsväder efter att lagrat kundernas lösenord i klartext - http://t.co/Vs9IcIRc8m via @Shareaholic

    Create an account or sign in to comment

    Account

    Navigation

    Search

    Search

    Configure browser push notifications
    Chrome (Android)
    1. Tap the lock icon next to the address bar.
    2. Tap Permissions → Notifications.
    3. Adjust your preference.
    Chrome (Desktop)
    1. Click the padlock icon in the address bar.
    2. Select Site settings.
    3. Find Notifications and adjust your preference.