(Artikkelen er oppdatert kl. 13.15, 03.09.00)
Seniorkonsulent Martin Miels ble for kort tid siden kontaktet av en venn, som mente at datasikkerheten til Bokkilden umulig kunne være god nok.
Vennen hadde foretatt en handel hos nettbutikken og mistenkte at det fantes en glipp. Først kontaktet han Bokkilden, og fikk til svar at alt var i skjønneste orden og at sikkerheten var slik den skulle være.
Vennen til Miels stusset fremdeles og kontaktet derfor Miels, som har jobbet med sikkerhetsanalyse i datanettverk, og fortalte om sine tvil.
Annonse
Bokkilden er Nsafe-merket
Miels bestemte seg for å undersøke saken, ikke minst fordi Bokkilden har et såkalt Nsafe-merke, som forteller at det er trygt å handle hos dem. Han fant en klar glipp i måten informasjonen ble sendt på.
Feilen lå i måten Bokkilden samlet bestillingsdataene sammen med betalingsdataene i et HTML-skjema. Dette ble igjen sendt ukryptert til kunden, og som deretter gikk ukryptert tilbake til Bokkilden.
Underveis ble det fortatt det et protokollbytte, men frem til dette byttet var altså dataene ukrypterte. Dette gjorde at utenforstående kunne få tilgang til kredittkortnummeret ditt og utløpsdato, noe som i verste fall kunne åpne for misbruk.
På sine hjemmesider lover Bokkilden at de krypterer all informasjon når du betaler med kredittkort. Dette har de skrevet om sikkerhet hos Bokkilden:
«Betaler du med kort krypterer vår programvare all informasjon».
«Ingen andre kan tyde verken kredittkortnummer, navn, adresse eller favorittkategori når bestillingen sendes over nettet».
Avviste først problemet
-All bestillingsinformasjon som sendes blir kryptert, sa IT-sjef i Bokkilden, Bjørn Henrik Vangstein, da vi ringte første gang på torsdag. Han ba om tid til å se på det påståtte problemet, og etter en stund var han ikke lenger så sikker.
Etter noen dager kommer svaret fra Bokkilden:
– Bokkilden har i visse tilfeller overført kredittkortinfo ukryptert, men sikkerhetshullet er nå tettet, opplyser Vangstein.
Han avviser at hullet har vært en risiko for kunden. Feilen har kun berørt kunder som ikke har logget seg inn som medlem før de har handlet, noe som i følge Vangstein er en svært liten andel av kundene.
– Men uansett har dere jo garantert kundene at dataene overføres kryptert.
– Sikkerhetshullet har vært svært lite. For å utnytte dette hullet har man måttet være tilkoblet samme sub-nett, dvs. en gruppe på 254 brukere. Derfor er det svært lite sannsynlig at noen skal tilegnet seg slik informasjon og brukt den i kriminelt øyemed.
For å »lytte til» forsendelsen benyttet Miels sin Linux hjemme-PC, og en standard Ethernet sniffer, Ethereal software sniffer. Han fulgte sin egen bokbestilling, og fikk til det fulle se at hans betalingsdata var ukrypterte.
Nsafe sjekker ikke sikkerhet
Bokkilden er en av mange har fått tildelt et Nsafe-merke. En forutsetning for å få dette merket, er blant annet at kortdata skal sendes kryptert, men lite gjøres for å sjekke at dette faktisk stemmer.
Randi Myklebostad (eforum) som sitter i Nsaf-sekretariatet, opplyser at de ikke gjør noe for å sjekke butikkenes sikkerhetsrutiner, men at dette først og fremst dreier seg om selvjustis.
Hvor farlig er det?
Det trenger absolutt ikke være verdens undergang at kortdata har blitt sendt ukryptert. Å kjøre en software sniffer, blir nesten det samme som å lytte til en telefonsamtale. De færreste av oss har motforestillinger mot å oppgi sitt kortnummer på telefonen, men et eller annet sted kan noen overvåke telefonen din.
Forskjellen er at svært mange nettbutikker garanterer at deres kredittkortinformasjonen sendes kryptert over nettet. I dette tilfellet var Bokkilden selv helt sikre på at dataene ble sendt kryptert, og har derfor ikke kjørt programvare for å sjekke om noen faktisk lytter til dataene, slik Miels gjorde.
Når alt kommer til alt er det viktigere at databasene med betalingsdataene oppbevares kryptert, og her er det stadig færre som synder.
Sannsynligheten for at en rekke butikker faktisk sender data ukryptert, og ikke vet om dette selv, er absolutt til stede.
Les mer om Nsafe på www.nsafe.no og merkeordningen.
Annonse
