Dustin / Dustin Home

Haha. Gillar deras rubrik. Oh noes! de lagrar lösenord?!

Haha. Gillar deras rubrik. Oh noes! de lagrar lösenord?!

att spara lösenord i klartext är ganska oroande.
Då är frågan sparar Visa kort nr etc.. i klartext också?
Och sparas det så era arbetare/support kan läsa detta i klar text också?
Ganska oroande isf, om någon av era arbetare skulle få för sig att skriva ner lite Visa kort nr och annat, sedan sälja på nätet eller dela.

En sida som använder sig av sådan här dålig säkerhet, ger mig ingen trygg e-handel och någon jag inte kommer att handla hos, vet flera av mina vänner som tycker samma.
Otur precis vid julhandeln, ni lär ju förlora en del kunder där

Läste den här tråden av en slump och registrerade precis ett konto enbart pga detta. Jobbar som IT Manager på ett medelstort företag.

Citatet ovan stämmer nog inte helt med verkligheten. Kanske brister rutinerna ibland?

Vi handlar ofta av er som företagskund. Jag beställde två artiklar till ett nytt lokalkontor i Stockholm så sent som förra veckan. Det skedde ingen motringning i det fallet (har inte skett ännu åtminstone), även om jag angav en helt ny leveransadress (med ordinarie fakturaadress). Jag vet i ärlighetens namn inte om varorna levererats ännu, men vi har i vilket fall som helst fått fakturan. Skall kolla upp om varorna anlänt imorgon.

Lösenordslagring i klartext är illa. Jag är högst medveten om problematiken med kontouppgifter vid ett systemskifte och förstår att det inte kommer att lagras på annat vis innan skiftet är genomfört. Risken för att bli "hackad" är inte heller alltid så stor som många tycks tro, särskilt när det gäller interna system. MEN... att er supportpersonal har tillgång till kundernas inloggningsuppgifter i klartext är ett bekymmer. Sekretessavtal eller ej, det är människor det handlar om och människor är nyfikna av naturen. Och eftersom det bland folk i allmänhet är oerhört vanligt att man använder samma mailadress och lösenord till flertalet tjänster är det en stor brist.

Lyckligtvis bör det inte kräva ett byte av affärssystem för att ändra på den lilla detaljen. Det torde inte kräva en särskilt stor förändring av ert befintliga system (egenutvecklat, läste jag det någonstans i tråden?) att stänga den egna personalens tillgång till lösenorden åtminstone. Och det bör inte vara något som kan ställa till problem i det befintliga systemet.

Och till alla er som gastar om folk i gemen inte är säkerhetsmedvetna - nej, jag anser inte att folk får "skylla sig själva" eller liknande. Jobbar man inte med IT och säkerhet så kan man inte avkrävas ett säkerhetsmedvetet IT-beteende. Lika lite som man får "skylla sig själv" om man drabbas av en sjukdom som kunnat undvikas om man var medveten om dess smittorisk och spridningsvägar. Släpp det. Det är vår uppgift som arbetar med teknisk IT att tillhandahålla säkerhet och användarvänlighet och gör vi inte det har vi misslyckats.

Jaja, som sagt, att stänga dustinpersonalens möjlighet att se kundernas lösenordsuppgifter bör vara en relativt smal sak och kräver inte att man byter affärssystem. Men det nu aktuella medialjuset på Dustin är det en förändring som borde göras omgående, om inte annat så för att kunna gå ut med att man arbetar på att lösa problemet och minska riskerna. Det är inte en god strategi att sticka huvudet i sanden eller hänvisa till ett nytt system som kan komma att lanseras nästa år.

Hej.
Vi jobbar på att höja säkerheten ytterligare. Med vårt nya affärssystem kommer vi ha en bättre plattform.

Hej.
Jättetråkigt att höra. Vi jobbar hårt för att ha en så säker miljö som möjligt. Vi har ett säkert system idag, men det kan bli ordentligt mycket bättre. Och det kommer det också bli.

Vi tar det seriöst. Det har högsta prioritet hos oss. Vi jobbar nu stenhårt med att få vårt nya affärssystem på plats.

Hej.
Som en annan användare skrev så kan ni ladda hem en PDF faktura via hemsidan. Annars kan ni skicka ett PM med ert ordernummer så mailar jag över en kopia

Jag tar ert önskemål vidare till vår produktavdelning. Så får vi hålla en tumme att den är med nästa weekend rush.

Hej, jag heter Per Lengquist och jag är IT-chef på Dustin. Så som uppmärksammats på det här forumet stämmer det att vi idag lagrar våra kunders lösenord i klartext.

Anledningen till att vi inte har ändrat till att lagra lösenorden hashat enligt best practice är att vi idag använder ett affärssystem som är specialutvecklat för Dustin som har vuxit gradvis under åren. Tyvärr innebär det att en sådan till synes enkel förändring skulle få påverkan på många delar av systemet och riskera kvalitetsproblem som kan påverka kunderna. Samtidigt har utvecklingen av moderna standardsystem kommit ikapp Dustins behov och därför har vi gjort det strategiska valet att byta hela affärssystemet till en modern plattform och inte ändra i det gamla.

I dag befinner vi oss i en fas då det nya affärssystemet är färdigbyggt och vi arbetar nu intensivt med kvalitetssäkring och test inför driftsättningen som beräknas ske i början av 2014. Då kommer lösenord att lagras hashat enligt best practice.
Vi beklagar givetvis djupt att vissa av våra kunder kan känna en osäkerhet till följd av hur vi lagrar lösenorden idag. Därför vill jag passa på att påpeka att samtliga anställda på Dustin, inklusive vår kundtjänst, har som en del av sin anställning skrivit på ett sekretessavtal avseende bolagets kunder och samarbetspartners.

Har ni några frågor är ni välkomna att kontakta mig direkt på passwordquestions-to-per@dustin.se

Med vänliga hälsningar,
Per Lengquist

I see, det är bra att veta, för det skulle inte fungera för vår del då vi i vissa lägen måste kunna skicka direkt till anställdas hemadresser. Och väldigt ofta till systerbolag över hela landet. För närvarande har vi bara använt dustin internt inom bolaget.
Grundkrav.
Men, men