Via sit nyhedsbrev inviterer Danske Spil spilleglade personer til at deltage i Danmarksmesterskaberne i Oddset.
Melder man sig til via den web-henvisning, der er i firmaets nyhedsbrev eller på Danske Spils webside, behandles de indtastede persondata langt fra med den sikkerhed, som man har krav på som bruger.
Der er nemlig overhovedet ingen sikkerhed på siden, konstaterer en sikkerhedsekspert, der beskriver 'DM i Oddset' som en "sikkerhedsmæssig brøler af de helt store."
Danske Spil tager ansvaret på sine skuldre.
"Det er desværre helt korrekt, at det ikke er en sikker side," erkender informationschef Thomas Rørsig fra Danske Spil.
"Vi arbejder nu på, at få det ændret så hurtigt som muligt," siger han.
Danske Spil arbejder ifølge informationschefen også på at finde frem til en forklaring på hvad, der er gået galt.
Tre alvorlige fejl
På tilmeldingssiden til 'DM i Oddset' skal man indtaste en række følsomme oplysninger for at få adgang til at være med.
"Du skal anføre dit CPR-nummer, for at vi kan tjekke, at du er over 18 år. Dit CPR-nummer vil kun blive anvendt til dette, og vil blive behandlet fortroligt."
Sådan står teksten under indtastningsfeltet på siden, men det løfte kan Danske Spil ikke leve op til.
Informationerne afgives nemlig på en helt almindelig http-webside og ikke på en sikker webside.
Websiden er da også forbundet med en hel række brud på alvorlige sikkerhedsregler herunder uforsvarlig behandling af netop CPR-numre, fortæller en sikkerhedsekspert.
"Danske Spil har på 'DM i Oddset' begået tre alvorlige fejl," fortæller Ken Willen fra sikkerhedsfirmaet Symantec.
"For det første linker Danske Spil til et domænenavn, der ligger uden for firmaets regi via Danske Spils nyhedsbrev. Det giver risiko for phishing," fortæller Ken Willen.
Det er nemlig firmaet Enetpulse, der har udviklet spillet for Danske Spil, og webadressen henviser således til Enetpulse domænenavn.
"Det giver samtidig et troværdighedsproblem, når man i nyhedsbreve henviser til sider uden for afsenderens eget univers uden at oplyse om det."
"Dernæst skal brugeren taste informationer som navn, adresse og CPR-nummer ind på en side, der ikke er underlagt nogen form for sikkerhed. Det er yderst kritisabelt, fordi uvedkommende personer kan få adgang til en hel stribe følsomme personoplysninger," siger han.
Brugeren skal ligeledes indtaste et password på siden, hvilket også kan udnyttes af it-kriminelle, hvis sikkerheden ikke er på plads.
"Vi ser ofte, at brugerne benytter det samme password til flere webtjenester. Kan kriminelle fiske de personlige oplysninger sammen med et 'standard-password', kan det potentielt give direkte adgang til alle tjenester, som den pågældende bruger anvender," påpeger Ken Willen overfor Computerworld.
CPR-tjek er helt værdiløst
Paradoksalt nok er kontrollen af CPR-numre på websiden helt værdiløs.
Der er nemlig tale om et matematisk tjek, der blot skal opfylde kravene i den beregningsmodel, der er for CPR-numre. Den såkaldte modulus 11-metode.
Derved er der ingen kontrol af, om det indtastede navn og CPR-nummer hænger sammen, men blot en beregning på de indtastede tal.
"Man kan faktisk oprette en person med et forkert CPR-nummer, så checket er reelt værdiløst," lyder det fra Ken Willen.
"Begrundelsen for at man skal indtaste CPR-nummeret er, at det skal kontrollere at vedkommende er over 18 år, men hvis man blot kan lave sit eget CPR-nummer eller benytte en andens, så er CPR-nummeret ikke egnet til at tjekke folks alder. Da CPR-nummer er en følsom oplysning, burde man derfor ikke blive bedt om at oplyse det, når det ikke har reel værdi," lyder sikkerhedsekspertens vurdering.
Efter Computerworlds henvendelse har Danske Spil forsikret, at der rettes op på sikkerheden.
Oddset er den samlede betegnelse for en række væddemålsspil, der administreres af Danske Spil.
