Category : IT

Om igen, Boxer

16. apr 2010 · 8 Comments

Nu er det 8 måneder siden, jeg sidst skrev her. Jeg ved godt, at det er lang tid siden, men der er travlhed på andre fronter.

Jeg modtog i går et brev fra Boxer, som jeg har grinet meget af. Først informerer de om, at min gratis prøveperiode på TV2 Sport er forbi, og at jeg selv skal tilvælge den, hvis jeg også vil modtage den i fremtiden. Fair nok. Dette skal bare ske inden midnat den 15. – altså dagen efter jeg har modtaget brevet. Det er ganske vist en kort frist, men det er heller ikke det, der fik mig op ad stolen.

Dernæst skriver de, hvordan man gør det. Det gør de ved at henvise til et domæne, som ikke engang er deres. De ejer nemlig kun www.boxertv.dk, hvorimod www.boxer.dk er en andens. Yderst pinligt at de ikke engang kender sit eget domæne – især når valget af kanaler udelukkende foregår online! Se brevet længere nede i denne post.

Men dette er også en opfordring til Boxer.dk om at være mere opmærksomme. De får selvsagt oceaner af trafik til forsiden pga. folk der prøver at finde Boxer TVs hjemmeside ved bare at indtaste boxer.dk. Men for mig, der indtaster boxer.dk/Flex8Valg, burde de ikke præsentere mig for en 404-fejl. Derimod bør de på baggrund af den log, de forhåbentlig fører, konstatere at der (nok) er mange, der har været forbi denne side. Dette kunne de udnytte til at fremvise sine egne produkter og dermed lukrere på disse ekstra besøgende.

Det må begge parter kunne gøre bedre. Om igen!

Stort, dansk IT-firma lækker CPR-numre

05. aug 2009 · 18 Comments

Et stort, dansk IT-firma, der ligger inde med flere hundrede tusinde navne og CPR-numre på danskere sjusker med sikkerheden på deres hjemmeside. Af hensyn til firmaet og de personer, hvis navne og CPR-numre er lækket, er det ikke her, du får virksomhedens navn at vide – så er det sagt.

På IT-firmaets hjemmeside har de en PDF-manual, der udførligt beskriver deres ellers udmærkede system. Her viser de detaljeret med screenshots, hvordan administratorer bruger det. De er ikke helt tossede, og derfor har de dækket følsomme oplysninger på screenshotet med en grå boks. Problemet er bare, at billedet under boksen loader hurtigere end boksen og derfor er det muligt at få et kort glimt af oplysningerne og tage et screenshot af dem. Der gik ikke længe, før jeg havde fundet frem til Facebook-, Live- og andre profiler på personerne og derfor ved jeg, at der ikke bare var tale om testpersoner.

Det skal siges, at der kun er tale om et par håndfulde personers oplysninger, der kan ses og det er tilsyneladende ikke et stort problem. Men det synes jeg, det er! Der kan ske smuttere, men et system der anvendes af så mange brugere bør have bedre styr på sikkerheden! Systemet er hovedsageligt målrettet det offentlige og det offentlige bør være meget mere opmærksomme på, hvilke firmaer der får så følsomme oplysninger i hænderne.

Det mest pinlige ved denne sag er, at det er et firma, der brander sig på at have høj datasikkerhed, og man må forvente, at et IT-firma (med det offentlige som storkunde) har styr på, hvordan man laver en ordentlig PDF-fil uden at afsløre følsomme oplysninger på personer, som sikkert ikke engang ved, at firmaet ligger inde med dem. I en anden manual har firmaet dog gjort det korrekt taget et screenshot og ændret direkte i billedet. Det andet er bare amatøragtigt, pinligt og faktisk også imod dansk lovgivning.

Pas på hvem du giver dine oplysninger til – måske har de selv rent mel i posen, men deres underleverandører har måske ikke orden på sagerne.