I torsdags i förra veckan upptäckte en forummedlem på Sweclockers, i en diskussion med Dustins support, att dennes lösenord var synligt för kundtjänst. Ett upprört inlägg skrevs sedan i forumet kring detta uppdagande:
"När jag pratade med er support idag kommenterade supportpersonen att mitt lösenord såg slumpgenererat ut (jag skulle logga in och hade tydligen inte ändrat sedan jag återställt det) varpå jag frågade "Va?! Kan du se mitt lösenord?", "Japp" svarade han och verkade inte tycka att det var något konstigt med det."
Dustins supportperson på Sweclockers forum svarade ganska snabbt och förnekade inte utan bekräftade det stora säkerhetsproblemet:
"Det är dåligt, det är riktigt dåligt. Vi är medvetna om detta och vi jobbar nu med att byta ut vårt affärssystem. Detta kommer vara klart inom kort. Då kommer användarvänligheten och framför allt säkerheten vara ordentligt mycket bättre.
Jag kan inte göra att annat än beklaga att det ser ut som det gör nu, men jag lovar dig att vi jobbar på det, och vi kommer ha ett bra system inom kort."
Därefter gick man ur huse och forumet fylldes med arga inlägg och även kunder som bad Dustin radera deras konto.
Sweclockers medlemmar är förstås mycket tekniskt lagda och förstår den stora säkerhetsrisken i att lösenorden inte är krypterade. Krypterade lösenord som idag är standard i nätbutiker, forum och andra Internettjänster.
Nyligen bröt sig några in i nätbutiken Digitalboxen.com och ska där ha fått tag på 25 000 svenskars lösenord, som även de sades vara lagrade i klartext.
Nytt system ska vara på väg
Dustin är uppenbarligen medvetna om vilket stort problem detta är, både PR-mässigt men även affärsmässigt, och IT-chefen har även gått in i tråden och försökt förklara varför de inte krypterar lösenorden i dagsläget.
- Anledningen till att vi inte har ändrat till att lagra lösenorden hashat enligt best practice är att vi idag använder ett affärssystem som är specialutvecklat för Dustin som har vuxit gradvis under åren. Tyvärr innebär det att en sådan till synes enkel förändring skulle få påverkan på många delar av systemet och riskera kvalitetsproblem som kan påverka kunderna. Samtidigt har utvecklingen av moderna standardsystem kommit ikapp Dustins behov och därför har vi gjort det strategiska valet att byta hela affärssystemet till en modern plattform och inte ändra i det gamla, berätttar Per Lengquist, IT-chef på Dustin.
Det nya systemet med krypterade lösenord ska tydligen införas i början av nästa år:
- I dag befinner vi oss i en fas då det nya affärssystemet är färdigbyggt och vi arbetar nu intensivt med kvalitetssäkring och test inför driftsättningen som beräknas ske i början av 2014. Då kommer lösenord att lagras hashat enligt best practice.
Vi beklagar givetvis djupt att vissa av våra kunder kan känna en osäkerhet till följd av hur vi lagrar lösenorden idag. Därför vill jag passa på att påpeka att samtliga anställda på Dustin, inklusive vår kundtjänst, har som en del av sin anställning skrivit på ett sekretessavtal avseende bolagets kunder och samarbetspartners, berättar Per Lengquist.
Vi gissar att arbetet med att införa det nya systemet nu skyndas på, för kunderna verkar minst sagt vara missnöjda. Några av kommentarerna i forumet:
"Wtf Dustin, fixa detta ASAP!"
"Det är ta mig tusan katastrofdåligt!"
"Helt fantastiskt att man lagrar lösenord i klartext..."
"Fruktansvärt oansvarigt, jag handlar aldrig hos Dustin igen."
Källor: Sweclockers, Feber, Press
