VARNING: Kullander skickar ditt lösenord i klartext via mail

Tråden skapades och har fått 23 svar. Det senaste inlägget skrevs .
1

Jag registrerade mig på kullander.se då jag är intresserad av en produkt de tillhandahåller. Efter genomförd registrering skickar de mitt egenhändigt valda lösenord i klartext via mail till mig.

Detta är en otroligt allvarlig säkerhetsrisk och ger mig en massa jobb med att byta lösenord för andra tjänster och system.

För att så få som möjligt ska råka ut för detta vill jag skriva en liten varning här. Registrera er INTE på kullander.se. Jag har även kontaktat Kullander Jansson AB i frågan och inväntar svar från dem, se utdrag ur mitt mail till dem nedan.

/Hans-Filip

Citat:

Hej.

Jag registrerade mig nyligen på er hemsida. Ni skickar efter genomförd registrering lösenordet som användaren själv angivit i klartext rakt över internet via e-post. Detta uppskattas VERKLIGEN INTE av mig. Jag vill inte att något av mina lösenord ska kunna snappas upp av någon längs vägen.

Jag arbetar som systemtekniker vid Linköpings Universitet samt Finansinspektionen, och jag måste säga att jag aldrig sett något värre klavertramp säkerhetsmässigt. Nu använde jag mig som tur var inte av ett av mina säkrare lösenord, så det ger inte access till något arbetsrelaterat eller viktigt för sveriges och europas finansiella trygghet, men icke desto mindre ger det mig en väldans massa jobb med att byta lösenord för en mängd tjänster jag brukar personligen och i system i min hemmiljö.

Vänligen se över era rutiner angående registreringen.

Jag kommer som medlem på 99mac.se, sveriges största internetforum för macrelaterade frågoor, att skriva ett varnande inlägg till andra medlemmar för att försöka förhindra de råkar ut för er registreringsprocess. Jag kommer självklart att uppdatera detta inlägg då ni korrigerat era system/rutiner och bekräftat detta till mig via mail.

Hälsningar

Hans-Filip Elo

Tidigare brukade 112ink skicka med hela inloggningen som en klisterlapp på fakturakopian o alltihop dessutom i ett vadderat kuvert som lätt gick sönder i sorteringen. Jag skrev till dem om det några gånger o det måste ha tagit skruv för den senaste påsen var i urseg plast o iinloggningen var inte längre tryckt på fakturan.

Tidigare bytte jag inloggning efter varje köp...

Ursprungligen av hansfilipelo:

Detta är en otroligt allvarlig säkerhetsrisk och ger mig en massa jobb med att byta lösenord för andra tjänster och system.

Risken är väll minimal att någon snappar upp ditt lösenord från kullander
men om du själv har valt att köra samma lösenord överallt så får du nog tyvärr skylla dig själv om det skulle hända

Edit:
Vad tycker finansinspektionen om att du använder samma lösenord överallt gällande Sveriges och europas finansiella trygghet
kanske skall ta och skicka dom ett varnande mail

Senast redigerat 2013-01-20 23:45
  • Medlem
  • 2013-01-20 23:08
Ursprungligen av disktant:

Risken är väll minimal att någon snappar upp ditt lösenord från kullander
men om du själv har valt att köra samma lösenord överallt så får du nog tyvärr skylla dig själv om det skulle hända

Ska verkligen inte gå till på det sättet oavsett om man använt samma lösenord på flera ställen eller inte.
Kullander (dataföretag till råga på allt) ska inte hantera lösenord på det sättet.

Ursprungligen av disktant:

Risken är väll minimal att någon snappar upp ditt lösenord från kullander
men om du själv har valt att köra samma lösenord överallt så får du nog tyvärr skylla dig själv om det skulle hända

Edit:
Vad tycker finansinspektionen om att du använder samma lösenord överallt gällande Sveriges och europas finansiella trygghet
kanske skall ta och skicka dom ett varnande mail

Om du läser om och rätt så använder jag inte samma lösenord överallt och Finansinspektionen kan alltså vara nöjda med mig.

Citat:

Nu använde jag mig som tur var inte av ett av mina säkrare lösenord, så det ger inte access till något arbetsrelaterat eller viktigt för sveriges och europas finansiella trygghet, men icke desto mindre ger det mig en väldans massa jobb med att byta lösenord för en mängd tjänster jag brukar personligen och i system i min hemmiljö.

Senast redigerat 2013-01-21 07:11
Ursprungligen av hansfilipelo:

... Detta är en otroligt allvarlig säkerhetsrisk och ger mig en massa jobb med att byta lösenord för andra tjänster och system.....

Ursprungligen av hansfilipelo:

Om du läser om och rätt så använder jag inte samma lösenord överallt och Finansinspektionen kan alltså vara nöjda med mig.

Även jag läste nog fel, då jag inte kan förstå varför du måste byta lösenord på andra tjänster och system på grund av att kullander skickar lösenordet i klartext om du nu har helt unika lösenord.

Min enda tanke är om du kör något i stil med "lösenord1" och "lösenord2" osv på dina tjänster så är alla unika men du måste samtidigt byta lösenord på andra tjänster för det är enkelt att lista ut, eller tar jag fel?

Ursprungligen av citronsyra:

Även jag läste nog fel, då jag inte kan förstå varför du måste byta lösenord på andra tjänster och system på grund av att kullander skickar lösenordet i klartext om du nu har helt unika lösenord.

Min enda tanke är om du kör något i stil med "lösenord1" och "lösenord2" osv på dina tjänster så är alla unika men du måste samtidigt byta lösenord på andra tjänster för det är enkelt att lista ut, eller tar jag fel?

Jag har helt unika lösenord för arbetsrelaterat, däremot inte för privat bruk då mängden tjänster gör det knepigt.

Givetvis är detta förkastligt, men för att se den positiva sidan så kanske det är ett uppvaknande att inse hur osäker man är om man återanvänder lösenord. Det räcker med att en tjänst hanterar lösenordena fel och det råkar läcka så är det inte alls roligt längre.

Tips: Se på en lösenordshanterar, finns ett flertal och finns flera trådar här om saken. Jag själv gillar 1Password men det finns flera andra som bör vara minst lika bra.

  • Medlem
  • Malmö
  • 2013-01-21 00:48

Inte förvånad, Kullander är ett gäng klapphattar.

Inget annat.

  • Medlem
  • Örebro
  • 2013-01-21 09:22

Det där är ju faktiskt enkelt löst med, som någon föreslog tidigare, en lösenordshanterare och ett unikt lösenord för varje tjänst du använder. Kullander lät dig veta att ditt lösenord lagras i klartext. Det är ganska naivt att tro att inte det sker på fler ställen.

Vi har kontaktat Kullander och bett dem kommentera detta här på 99mac.

Jag hade också samma eller liknande lösen på många ställen men sen min Twitter blev hackad förra veckan så har jag nu 1password på datorer och iphone. Har genererat nya lösen på alla siter jag loggar in på och mail etc osv mmm. Tog typ en timma men fan vad skönt när det är klart.

Ursprungligen av jurassic579:

Jag hade också samma eller liknande lösen på många ställen men sen min Twitter blev hackad förra veckan så har jag nu 1password på datorer och iphone. Har genererat nya lösen på alla siter jag loggar in på och mail etc osv mmm. Tog typ en timma men fan vad skönt när det är klart.

Det kan löna sig att vara lite övernitisk på gränsen till cynisk. Det ger iaf mig viss sinnesro att veta att jag gjort mitt bästa för att ha olika (långa o outtaliga) lösenord på allt jag använder

  • Medlem
  • Malmö
  • 2013-01-21 09:55

Bara en personlig reflektion, jag tycker ni är många här som diskuterar och kritiserar hansfilipel för hans användande av lösenord när det inte är poängen utan att Kullander har stora säkerhetsbrister i sin hantering av kundernas lösenord. Oavsett vad TS har satt för lösenord och hur det lösenordet står sig jämfört med hans andra lösenord, privat eller arbetsrelaterat, så ska Kullander klara av att inte skicka lösenord i klartext.

Lite fokus på rätt saker.

  • Medlem
  • Örebro
  • 2013-01-21 10:21
Ursprungligen av zinned:

Bara en personlig reflektion, jag tycker ni är många här som diskuterar och kritiserar hansfilipel för hans användande av lösenord när det inte är poängen utan att Kullander har stora säkerhetsbrister i sin hantering av kundernas lösenord. Oavsett vad TS har satt för lösenord och hur det lösenordet står sig jämfört med hans andra lösenord, privat eller arbetsrelaterat, så ska Kullander klara av att inte skicka lösenord i klartext.

Lite fokus på rätt saker.

Rätt fokus är säkerhet i bred bemärkelse. Vådan att använda samma lösenord för olika saker är verkligen något att fundera över. Givetvis är det fel att spara lösenord i klartext och ännu mer fel att skicka detta lösenord över osäkra kanaler. Men det är likväl ingen god idé att återanvända sitt lösenord.

  • Medlem
  • Malmö
  • 2013-01-21 12:38
Ursprungligen av jahve:

Rätt fokus är säkerhet i bred bemärkelse. Vådan att använda samma lösenord för olika saker är verkligen något att fundera över. Givetvis är det fel att spara lösenord i klartext och ännu mer fel att skicka detta lösenord över osäkra kanaler. Men det är likväl ingen god idé att återanvända sitt lösenord.

Korrekt, men du vet inte till fullo hur TS sätter sina lösenord, till vilka tjänster han använder olika lösenord och vilka, samt hur han hanterar arbetsrelaterade kontra privata lösenord.

Framför allt så är det OT, inget som har med denna trådens syfte att göra. Ska sådant diskuteras så kan ju det då med fördel göras via vänliga PM. Att komma med pekpinnar mot TS i denna tråden som har ett annat syfte, anser jag vara fel.

Kullander har nu åtgärdat sin webbshop så lösenorden inte längre skickas i klartext.

  • Medlem
  • Malmö, Sweden, Sweden
  • 2013-01-21 10:00

Hej Hans-Filip

Dessvärre är vår nuvarande webbsida alldeles för gammal och vi jobbar hårt med ny som lanseras inom en månad.

Jag har även svarat dig i mailet du skickade och du kommer även få svar på det ärende du skapade utöver det. Vi tackar för att du uppmärksammade oss på att det blivit fel på nuvarande (det har alltså inte varit så här tidigare efter att vi ändrade för några år sedan) - vi kommer att skicka en present via mail för att visa vår uppskattning.

Som en intressanta kuriosa i sammanhanget så rekommenderas följande länk.

vänliga hälsningar
/Peter Esse - Kullander Jansson AB

Senast redigerat 2013-01-21 13:05
Ursprungligen av Rommie:

Hej Hans-Filip

Dessvärre är vår nuvarande webbsida alldeles för gammal och vi jobbar hårt med ny som lanseras inom en månad.

Jag har även svarat dig i mailet du skickade och du kommer även få svar på det ärende du skapade utöver det. Vi tackar för att du uppmärksammade oss på att det blivit fel på nuvarande (det har alltså inte varit så här tidigare efter att vi ändrade för några år sedan) - vi kommer att skicka en present via mail för att visa vår uppskattning.

Som en intressanta kuriosa i sammanhanget så rekommenderas följande länk.

vänliga hälsningar
/Peter Esse - Kullander Jansson AB

Tack för snabb respons. Hoppas ni får igång nya siten snabbt.

Det var skönt att veta att det är åtgärdat inom en månad. Inget behov av inlägg på http://plaintextoffenders.com alltså.

Lösenorden lagras väl fortfarande i plain text.
Lika illa det.

Hoppas ingen får för sig att hacka systemet.

  • Medlem
  • 2013-01-21 19:09

detta kanske inte är samma sak, men själv har jag märkt att nästan varenda sida man registrerar sig på nuförtiden skickar ut användarnamn och lösenord i klarttext på mailen om man använder sig av deras "jag har glömt mitt lösenord"-tjänst.

detta måste ju vara minst lika illa?

hur som helst, tycker nog att mycket ansvar ligger på användaren att inte sitta och knacka in "password123" på varenda site man registererar sig på, och sedan sitta och bli sur för att någon sida inte hanterar lösenord rätt. (uppenbarligen har ju TS använt samma lösenord på flera sidor då han själv nämner att han fick spendera mycket tid till att byta lösenord på flera ställen).

jag anser alltså att man själv håller hela ansvaret för att ha ett sunt och säkert sätt att använda/skapa sina lösenord då man inte kan vara säker på att de ställen man använder sina lösenord på hanterar dem på samma säkra sätt som man själv gör/borde göra.

sen är det fortfarande mycket illa att företag/sidor fortfarande inte lärt sig hur man hanterar kunders lösenord, man tycker att de borde lärt sig det vid det här laget..

  • Medlem
  • 2013-01-22 00:22
Ursprungligen av mjewl:

detta kanske inte är samma sak, men själv har jag märkt att nästan varenda sida man registrerar sig på nuförtiden skickar ut användarnamn och lösenord i klarttext på mailen om man använder sig av deras "jag har glömt mitt lösenord"-tjänst.

detta måste ju vara minst lika illa?

Må väl vara OK om man omgående byter lösenord efter att man fått den gamla.

1
Bevaka tråden