ADSL-kunder hos det danske bredbåndsselskab Cybercity risikerer at få stjålet et væld af personlige oplysninger fra deres computere. Baggrunden er, at Cybercity hver måned oplyser brugernavn og adgangskode til kundernes routere i et let genkendeligt faktura-brev.
Hvis en ondsindet person får fat i router-oplysningerne vil vedkommende få fri adgang til alt på de tilsluttede computere - inklusiv nøglefiler til netbank og digital signatur.
»Det er hverken fornuftigt eller almindelig praksis at sende brugernavne og passwords, der giver adgang til noget farligt, ud i et månedligt brev. Cybercity burde lade være. Det virker som om, at en, der ikke har forstand på det, har tænkt, at det var en god service,« siger professor i computerteknologi ved Århus Universitet, Ivan Damgård, til Ingeniøren.
Han påpeger, at problemet ikke alene er den let genkendelige faktura, men at det desuden også er et problem, at Cybercity bruger de samme koder til flere forskellige formål.
»Jeg er overrasket over, at Cybercity bruger samme brugernavn og password til flere forskellige ting - det ved man generelt i branchen, at man skal undgå. Og så behandler de oven i købet dette brugernavn og password på en ikke særlig sikker måde,« siger han.
Hos Datatilsynet er man bekymret over Cybercitys lemfældige omgang med personlige koder.
»Det er ikke sikkerhedsmæssig korrekt at sende en vigtig kode ud måned efter måned. En sådan kode bør kun sendes én gang - det siger sig selv, at sikkerheden falder, når man har den på tolv stykker papir frem for et enkelt,« siger Datatilsynets it-chef, Ib Alfred Larsen.
Datatilsynet anbefaler, at adgangskoder kun endes ud én gang, og at der informeres grundigt om, hvad koderne kan bruges til. Datatilsynet anbefaler desuden, at man bør præcisere over for brugerne, at koderne skal opbevares forsvarligt for at forhindre misbrug.
Cybercity oplyser, at selskabet ikke har været opmærksom på problemet, men at man nu vil se på sagen.
»Vores vurdering har været, at det er sikkert nok at sende disse oplysninger i en lukket kuvert, og vi gør det som en service for kunderne. Men nu vil vi gå i dialog med Datatilsynet og høre, om der er ting, der taler i en anden retning,« siger Cybercitys markedsdirektør, Henrik Skov.
Premium
Det er blevet kaldt ”det største it-nedbrud i historien” og omkostningerne kan nemt løbe op i syv milliarder kroner: Men hvem skal betale for Crowdstrikes fejl?