Sveriges största skoaffär på nätet skyddar inte sina kunders lösenord

Mailet från Brandos kundtjänst. Klicka för större bild.


När det förra veckan blev känt att tiotusentals lösenord läckt från Bloggtoppen uppmärksammades den bristande kundsäkerheten hos många hemsidor i media. Nu visar det sig att även Brandos.se, enligt egen utsago Sveriges största skoaffär på nätet, inte hanterar sina lösenord på ett lämpligt sätt. Ajour har hittat och följt upp en flashbacktråd som borde oroa alla som använder lösenordskyddade tjänster på nätet.

Det var igår vid midnatt som flashbackanvändaren StefanLindblom startade en tråd med namnet ”Brandos.se krypterar ej lösenord (?)”. Där berättade han att han hade glömt sitt lösenord till webbskoaffären, och därför använt deras funktion för att skapa ett nytt. Till sin förvåning fick han tillbaka ett mail med sitt lösenord utskrivet, i text. Det kändes otryggt, så han kontaktade kundtjänsten och frågade om det innebar att Brandos ”lagrar lösenord okrypterade, eller med en icke tillförlitlig krypteringsalgoritm?”. Han fick tillbaka ett mail där kundtjänsten också skrev ut hans lösenord i text – något som om det stämmer innebär att även kundtjänsten kunde se hans lösenord.
Joakim Nyström, professionell programmerare, säger till Ajour att detta tyder på otillförlitlig kundsäkerhet.
– Ingen bör spara lösenord i klartext, något vi såg ett exempel på när Sonys playstationanvändardatabas blev hackad förra året och användarnas lösenord i sin helhet läckte ut.
– Branchstandard är att ”salta” lösenorden, vilket innebär att man lägger på en slumpmässig teckensträng t.ex. i början eller slutet av lösenordet innan man skyddar det med md5-kryptering. Det försvårar dekryptering.
Om Brandos hade använt sig av den här tekniken hade enligt Joakim Nyström deras kundtjänst inte kunnat se enskilda användares lösenord.
Ajour har pratat med personen bakom kontot StefanLindblom, egenföretagaren Stefan Lindblom som håller på med just server- och nätverksteknik, och han säger att han nu avslutat sitt konto på Brandos.
– Jag mailade igår och bad dem ta bort mitt konto, vilket de svarat att de nu har gjort. Men jag har inte fått något annat svar om krypteringen eller hur de hanterar lösenord i övrigt.
– När jag frågade Trygg E-Handel (en branchorganisation som certifierar e-handelföretag som bedöms hålla en god säkerhetsnivå, bl.a Brandos.se, reds. anm) om deras krav på personuppgiftssäkerhet fick jag ett kringgående svar där de pratade om kreditkortsnummer, men de tog inte upp lösenordshanteringen där.
Lindblom tycker Brandos kundsäkerhet är oroande.
– Man litar ju på att en sajt ska spara ens lösen säkert, så får man tillbaka det i klartext såhär, helt öppet. Det är oroväckande.
Ajour har pratat med Sam Safa på Brandos – som för bara en månad sedan av tidningen Dagens Handel rankades som ett av Sveriges bästa e-handelsföretag – och han säger att han uppmärksammat sin IT-avdelning på problemet.
– De har i sin tur tagit tag i vår systemleverantör för att så snabbt som möjligt korrigera detta och på så sätt säkra kundernas lösenord i framtiden.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

22 kommentarerFlest rösterSenasteÄldst

  1. karl says:

    Helt otroligt!
    Det är ju ändå lite komiskt att de svarar med att igen skicka lösenordet i klartext när han mailar och undrar över säkerheten.

  2. Lukasz Lindell says:

    Bra att det uppmärksammas, samtidigt som varenda duktig hacker nu troligen kommer kasta sig över Brandos för att knycka alla lösenord de hittar. Folk borde börja ändra eller ta bort sina lösenord ganska snart.

  3. Jonathan says:

    Brandos är långt ifrån ensamma om detta. Många större svenska (och internationella) aktörer sparar/hanterar lösenord så här. Bra att ni belyser detta ändå.

  4. Henke says:

    Det här är tyvärr mycket vanligt. Några exempel:
    * Jogg.se
    Påpekade detta på deras Facebooksida. Fick ett korkat svar.
    http://www.facebook.com/jogg.se/posts/10150254697149249
    * Byggbolaget JM skickade i mars 2010 ut ett VIP-kort per brev. Bifogat fanns ett lösenord till ”Mina sidor” på JM.se. Jag klagade via mail och avslutade mitt konto hos JM.
    Fick bland annat detta svar från Johan Höök, marknadschef: ”Våra kunders lösenord är skyddade för allla utom för huvudadministratören på Kundtjänst. Jag tycker dock att din argumentation nedan är relevant och vi kommer tillsammans med vår leverantör av kundvårdssystem titta på alternativa sätt hantera detta framledes.”
    Bloggade om detta: http://henrik.net/2010/03/12/hur-man-kan-rasera-ett-mangarigt-fortraende-pa-tva-roda/
    * Naturvårdsverket
    Skickar ut användarnamn och lösenord i klartext vid registrering. När jag klagade fick jag svaret
    ”För den här typen av registreringar skickar vi ut användarnamn och lösenord som bekräftelse på registreringen. Det skickas till den mejladress som kunden uppgivit vid registreringen.
    Varje registrerat konto har sedan möjlighet att byta sitt lösenord vid inloggning.”
    *doh*

  5. Malin says:

    Både Livethemma.se (IKEA) och Ikano Bostad hanterar sina lösenord på samma sätt. De mailar ut lösenordet direkt i mailen, utskrivet…
    Har inte alls tänkt på det här förut.

    • Erik says:

      Hmm, testade just att regga ett konto på livetarhemma.se och sedan ”glömma” lösenordet. Då mejlades inget lösenord ut i klartext. Men de kanske nyligen bytt ut denna hantering?

      • Malin says:

        Så kan det vara. Mitt mail kom 3 september 2010 så det kanske har ändras. Gjorde en sökning i min inbox på ett av mina lösenord och fick träff i två mail som nedan:
        Välkommen som medlem på Inspiration från IKEA
        Du loggar in på Livet Hemma genom din mejladress och det lösenord du angav när du registrerade dig (**********).

        Här kommer information om hur du loggar in på vår hemsida.
        Du når inloggningssidan genom att klicka här
        Ditt användarnamn är: Thewayforwards
        Ditt lösenord är: *********

        • Simon says:

          Men när du registrerar dig är annorlunda jämfört med när du glömt lösenordet. Eftersom registreringsmailet inte hämtar information från databasen utan kommer direkt ifrån formuläret du använde dig av när du registrerade. Det är alltså inte lagrat någonstans i klartext utan är ”färskt”.

  6. Stefan Lindblom says:

    Åh, ni fick svar av Brandos, så bra.
    Jag hoppas att de tar tag i detta nu.
    Det är dock ingen enkel ändring att genomföra – det kommer att innebära att alla kunder får byta lösenord.

  7. Daniel says:

    Det är en ganska så svag ”debatt” som förs. Okunnigheten är ju givetvis stor så det kanske är orsaken!?
    webssidorna i sig blir inte säkrare för att man ”saltar” och krypterar lösenorden! Det som försvåras är om en person med ont uppsåt får tillgång till databasen och vill ha ut folks lösenord i just klartext.
    Dvs, man måste först och främst få tillgång till databasen. Den bristande säkerheten kring denna anser jag vara ett större hot än lösenord i klartext.
    Beteendet av användare att ha samma användarnamn och lösenord till flera tjänster är ett monumentalt mycket större hot mot individernas säkerhet än detta.

    • Stefan Lindblom says:

      Jag håller med om att användare borde bli bättre på att ha olika användarnamn och lösenord till de olika tjänster de använder.
      Däremot kan det vara svårt när det enda man kan använda som användarnamn är ens e-postadress.
      Som utvecklare borde man ha ett visst säkerhetstänk – räkna med att obehöriga får tillgång till alla system. Så det räcker inte bara med hög säkerhet på ett ställe, och ingen alls på ett annat.
      SQL-injections är också bland de allra vanligaste attackerna, vilket innebär att man inte behöver direkt åtkomst till databasen, utan att man utnyttjar säkerhetshål i applikationerna runt om.

  8. Fredrik says:

    ”Glömde” lösenordet på Brandos med uppsåt att avsluta mitt konto när jag fick det i klartext men fick nu det här mailet:
    ”Det går tyvärr inte att svara på detta mail. Vid frågor rörande er beställning vill vi be er kontakta vår kundtjänst via http://www.brandos.se/service eller http://outlet.brandos.se/service
    För att byta ditt lösenord, klicka på länken nedan eller klistra in den i din webbläsare. Länken fungerar bara en gång, så glömmer du lösenordet igen så måste du begära en ny länk.
    http://www.brandos.se/XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    Mvh
    Brandos”

    • karl says:

      Då gick det verkligen snabbt för dem att agera. Bra!
      (Dock innebär inte det med automatik att lösenorden inte är lagrade i klartext längre, låt oss hoppas att de fixade till de med.)

      • Stefan Lindblom says:

        Ja verkligen!
        Hoppas också det.
        Om de nu har gjort det så är jag nöjd med min ”insats”.

  9. Henrik says:

    Dagens Industri skickar ut lösenord i klartext. Testade precis.
    http://dagensindustri.se/System/Login/

  10. svärmor says:

    bosign.se gör samma sak

  11. Calvin says:

    Är anställd som webbutvecklare på ett företag med 50 anställda, över en kvarts miljard i omsättning och förra året hanterade 70.000 order och alla kundernas lösenord sparas i klartext på databasen och alla som använder affärssystemet kan se vad kunden har för lösenord.