Sveriges största skoaffär på nätet skyddar inte sina kunders lösenord

Mailet från Brandos kundtjänst. Klicka för större bild.

När det förra veckan blev känt att tiotusentals lösenord läckt från Bloggtoppen uppmärksammades den bristande kundsäkerheten hos många hemsidor i media. Nu visar det sig att även Brandos.se, enligt egen utsago Sveriges största skoaffär på nätet, inte hanterar sina lösenord på ett lämpligt sätt. Ajour har hittat och följt upp en flashbacktråd som borde oroa alla som använder lösenordskyddade tjänster på nätet.

Det var igår vid midnatt som flashbackanvändaren StefanLindblom startade en tråd med namnet ”Brandos.se krypterar ej lösenord (?)”. Där berättade han att han hade glömt sitt lösenord till webbskoaffären, och därför använt deras funktion för att skapa ett nytt. Till sin förvåning fick han tillbaka ett mail med sitt lösenord utskrivet, i text. Det kändes otryggt, så han kontaktade kundtjänsten och frågade om det innebar att Brandos ”lagrar lösenord okrypterade, eller med en icke tillförlitlig krypteringsalgoritm?”. Han fick tillbaka ett mail där kundtjänsten också skrev ut hans lösenord i text – något som om det stämmer innebär att även kundtjänsten kunde se hans lösenord.

Joakim Nyström, professionell programmerare, säger till Ajour att detta tyder på otillförlitlig kundsäkerhet.
- Ingen bör spara lösenord i klartext, något vi såg ett exempel på när Sonys playstationanvändardatabas blev hackad förra året och användarnas lösenord i sin helhet läckte ut.
- Branchstandard är att ”salta” lösenorden, vilket innebär att man lägger på en slumpmässig teckensträng t.ex. i början eller slutet av lösenordet innan man skyddar det med md5-kryptering. Det försvårar dekryptering.
Om Brandos hade använt sig av den här tekniken hade enligt Joakim Nyström deras kundtjänst inte kunnat se enskilda användares lösenord.

Ajour har pratat med personen bakom kontot StefanLindblom, egenföretagaren Stefan Lindblom som håller på med just server- och nätverksteknik, och han säger att han nu avslutat sitt konto på Brandos.
- Jag mailade igår och bad dem ta bort mitt konto, vilket de svarat att de nu har gjort. Men jag har inte fått något annat svar om krypteringen eller hur de hanterar lösenord i övrigt.
- När jag frågade Trygg E-Handel (en branchorganisation som certifierar e-handelföretag som bedöms hålla en god säkerhetsnivå, bl.a Brandos.se, reds. anm) om deras krav på personuppgiftssäkerhet fick jag ett kringgående svar där de pratade om kreditkortsnummer, men de tog inte upp lösenordshanteringen där.
Lindblom tycker Brandos kundsäkerhet är oroande.
- Man litar ju på att en sajt ska spara ens lösen säkert, så får man tillbaka det i klartext såhär, helt öppet. Det är oroväckande.

Ajour har pratat med Sam Safa på Brandos – som för bara en månad sedan av tidningen Dagens Handel rankades som ett av Sveriges bästa e-handelsföretag - och han säger att han uppmärksammat sin IT-avdelning på problemet.
- De har i sin tur tagit tag i vår systemleverantör för att så snabbt som möjligt korrigera detta och på så sätt säkra kundernas lösenord i framtiden.