Dustin i blåsväder för lösenord i klartext

Dustin i blåsväder för lösenord i klartext

Återförsäljaren Dustin orsakar rubriker sedan en medlem i forumet upptäckt att företaget lagrar kundernas lösenord i klartext och att vanliga anställda har tillgång till dessa.

Titt som tätt framkommer det att användardatabaser hittat ut till obehöriga. För ett litet tag sedan drabbades mjukvarujätten Adobe av ett omfattande angrepp, vilket resulterade i att hundratals miljoner e-postadresser och lösenord spreds på nätet. För att lindra effekten av ett sådant angrepp går det att dölja lösenorden med en slags envägskryptering, men långt ifrån alla har koll på säkerheten.

ingress.jpg

Återförsäljaren Dustin orsakar rubriker sedan medlemmen lefteyet i SweClockers forum upptäckt att företaget lagrar kundernas lösenord i klartext, vilket bland annat uppmärksammats av kvällstidningen Expressen. Av detta framkommer även att vanliga anställda, i detta fall kundtjänsten, har tillgång till kunddatabasen med fullt synliga lösenord.

När jag pratade med er support idag kommenterade supportpersonen att mitt lösenord såg slumpgenererat ut (jag skulle logga in och hade tydligen inte ändrat sedan jag återställt det) varpå jag frågade "Va?! Kan du se mitt lösenord?", "Japp" svarade han och verkade inte tycka att det var något konstigt med det.

Den undermåliga lösenordshanteringen medför flera risker. Många använder samma lösenord till flera tjänster. För den som har tillgång till databasen är det en smal sak att prova om lösenordet fungerar på andra ställen, vilket exempelvis kan utnyttjas av illasinnade anställda. Hamnar databasen dessutom på villovägar finns det inga hinder i vägen för missbruk.

Lösningen är att använda en hashfunktion, som lagrar ett kryptografiskt värde och inte själva lösenordet. Angripare kan visserligen försöka räkna ut lösenorden, exempelvis genom att använda ordböcker, men detta drabbar huvudsakligen korta och svaga lösenord. Längre och mer komplexa fraser erbjuder högre säkerhet och är betydligt mer tidsödande att lista ut.

I ett uttalande i forumet uppger dock Dustins IT-chef Per Lengquist att någon ändring av lösenordshanteringen inte är aktuell förrän företaget gått över till ett nytt affärssystem, vilket beräknas ske i början av nästa år.

Tyvärr innebär det att en sådan till synes enkel förändring skulle få påverkan på många delar av systemet och riskera kvalitetsproblem som kan påverka kunderna. Samtidigt har utvecklingen av moderna standardsystem kommit ikapp Dustins behov och därför har vi gjort det strategiska valet att byta hela affärssystemet till en modern plattform och inte ändra i det gamla.

Oroliga kunder bör i första hand se till så att ett unikt lösenord används på Dustin. Det är samtidigt en god vana att aldrig återanvända lösenord mellan olika tjänster och webbplatser. Det finns en uppsjö program som hjälper användaren att hantera detta. Ett av de mest populära är gratisalternativet Keepass med öppen källkod och versioner för en mängd olika plattformar, däribland Android och Ios.

Kommentarer till artikeln

213 debattinlägg

Skicka en rättelse
32

Fortnite har inbringat mer än 9 miljarder kronor via mikrotransaktioner

Framgångssagan Fortnite uppges nu ha dragit in över 9 miljarder kronor sedan lansering. Pengarna kommer huvudsakligen från en markant ökning av mikrotransaktioner. Läs mer

28

TV4-affären: Oppositionen öppnar för att stycka upp Telia

Tidigt fredagen den 20 juli blev det klart att Telia går vidare med förvärvet av bland annat TV4. Regeringen riktade då kritik mot agerandet, och nu föreslår oppositionen en uppstyckning. Läs mer

SweClockers Galleri

Vad passar bättre under ledigheten än att spana in skönheterna till datorbyggen i SweClockers galleri? Svaret år såklart ingenting, så in och kika! Läs mer

19

Virtuallink Group är samarbete för gemensam kabelstandard till VR

För att möjliggöra ett bredare genomslag för VR-headset bildar nu en rad ledande företag Virtuallink Group. Syftet är en gemensam kabelstandard som kan leverera ström, bild och data. Läs mer

59

Telias TV4-förvärv kan stoppas av staten

Tidigare idag meddelade Telia att bolaget förvärvat bland annat TV4. Regeringen reagerade snabbt på köpet med en inte helt positiv inställning, och kan nu agera för att stoppa affären. Läs mer

64

World of Warcraft byter betalmodell och får stöd för DirectX 12

Inför kommande Battle for Azeroth tillkommer flera betydande förändringar till World of Warcraft. Främst ingår alla expansioner till och med Legion vid prenumeration. Läs mer

1066

Forumet: Vilken var din första dator?

Oavsett om du började med färdigbyggda märkesdatorer eller tog saken i egna händer och byggde en själv, så minns nog många sin första dator. I forumet diskuterar SweClockers medlemmar den första datorn. Läs mer

62

Telia köper TV4 och C More för 9,2 miljarder

Telia Company förvärvar nu Bonnier Broadcasting, där TV4, C More och finländska MTV ingår. Köpet innebär indirekt att staten får mer inflytande över Sveriges två största TV-kanaler. Läs mer

13

Asus ROG Swift PG27UQ – historien och framtiden för 4K-spelskärmen

Skärmmarknaden upplever en renässans, där skärmar som Asus ROG Swift PG27UQ med G-Sync HDR, 4K, local dimming och 144 Hz nu tar plats. Vi sammanfattar skärmoraklet Thomas Ytterbergs åsikter inför testets avslutande del. Läs mer

Forumdel: Konsumenträtt

Konsumtion och roliga teknikköp i all ära, ibland går det inte riktigt som planerat. Tur är väl då att SweClockers kunniga medlemmar kan bistå med erfarenhet och hjälp i forumdelen för konsumenrätt! Läs mer

134

Forumet: FläktClockers diskuterar lösningar för att kyla ned hemmet

Värme utan ände och inget regn i sikte är ungefär hur sommaren 2018 kan sammanfattas hittills. SweClockers medlemmar bildar därför FläktClockers, där kreativiteten flödar för att kyla ned hemmet! Läs mer

14

Two Point Hospital får lanseringsdatum och trailer

Efterlängtade Two Point Hospital får nu både lanseringsdatum och trailer, där sjukdomen "kubism" botas med en högst tvivelaktig maskin. Läs mer