Sikkerhedshul i Dankort-løsning på Internet

Indhold

Af Robert Vanglo

9. april 1999: Torsdag vedtog Folketinget loven, der muliggør betaling med Dankort på Internet, og i dag kunne Pengeinstitutternes Betalings Systemer, PBS, løfte sløret for, hvordan deres Dankort-løsning er skruet sammen. Men allerede før Dankort-handelen er kommet i gang, bliver systemet kritiseret for ikke at være sikkert nok.

En kilde, der ønsker at være anonym, har over for PC World oplyst, at kundernes Dankort-oplysninger kan befinde sig på en Internet-forretnings server i op til syv dage. Informationerne skal ganske vist være krypterede, men nøglen, der bruges til kryptering og dekryptering, ligger på samme server, hvilket strider imod alle gældende retningslinier for sikkerhed. PBS bekræfter, at dette er tilfældet.

- De syv dage er i virkeligheden en intern regel i kort-branchen. Faktisk er vi ikke i stand til at kontrollere om forretningerne gemmer kundernes kortoplysninger og dermed heller ikke, hvor længe, fortæller Stig Mølgaard, udviklingschef i PBS.

PC World er kommet i besiddelse af den vejledning, som PBS har udsendt til de Internet-butikker, der ønsker at kunne tage imod Dankort. Vejledningen beskriver det tekniske grundlag, hvilke informationer der skal afgives af kunden, og hvordan kommunikationen mellem kunden, forretningen og PBS skal foregå. Det er denne vejledning, der ligger til grund for de 30-50 butikker, der inden for ganske kort tid vil tilbyde kunderne at betale med Dankort.

Når en kunde afgiver en ordre, vil der blive fremsendt en forespørgsel til Dankort-systemet, der har til hensigt at godkende eller afvise kortet ? ganske som det sker, når man handler med sit Dankort i det lokale supermarked. Dankort-systemet melder tilbage til forretningen, om kortet er i orden, så forretningen kan give kunden besked om, hvorvidt ordren kan effektueres eller ej.

I første omgang er der således ikke tale om, at pengene hæves på kundens konto ? dette må nemlig først ske i det øjeblik forretningen effektuerer ordren, dvs. når varerne afsendes. Som nævnt må der maksimalt gå syv dage fra kunden har afgivet ordren til forretningen effektuerer den. I denne periode gemmes kundens Dankort-oplysninger altså på Internet-forretningens server, men PBS stiller ikke krav om, at oplysningerne slettes efterfølgende.

? PBS har opstillet retningslinier, der betinger, at Dankort-oplysningerne kun må befinde sig på serveren i krypteret form, men den nøgle, som anvendes til kryptering og dekryptering af oplysningerne, skal ligge på den samme server, hvis systemet skal fungere efter forskrifterne, fastslår PC Worlds kilde.

Dette udgør i sagens natur et afgørende hul i Dankort-løsningens sikkerhed. Sikkerhedsproblemet forværres endog af, at PBS tilsyneladende ikke har opstillet nogle konkrete krav til, hvorledes forretningerne skal sikre deres e-handelssystemer mod indbrud udefra. Den føromtalte vejledning beskæftiger sig udelukkende med sikkerheden i forbindelse med selve transaktionen.

Ikke desto mindre har PBS krævet, at de tilsluttede forretninger underskriver et dokument, hvor forretningerne skal erklære, at deres e-handelssystemer er sikre. Det kunne være et forsøg på at sikre sig, at man kan sende aben videre til forretningerne i tilfælde af, at en forretning bliver hacket, eller Dankort-oplysningerne på anden vis misbruges.

Læs videre her for en trin-for-trin gennemgang af teknikken bag Dankort-løsningen.