Danske forretninger, der sælger på Internet, og de leverandører, der sælger betalingssystemer, har tilsyneladende overset funktionen ?auto-complete? i Internet Explorer 5.0.
Den sørger nemlig for at huske, hvad der bliver indtastet i felterne på skærmen, så brugerne kun skal taste for eksempel deres navn én gang. Problemet er blot, at den også husker kreditkortnumre, Dankort-numre og udløbsdatoer.
Køber man noget på Internet fra et offentligt sted som et bibliotek, en skole eller en netcafé, vil alle have adgang til disse følsomme oplysninger - hvis forretningerne ikke har sikret sig.
Computerworld har undersøgt en række danske forretninger, og mange af dem var i sidste uge ramt af problemet. Det gjaldt også store og kendte forretninger som Interflora og GAD?s boghandel. Det skulle være løst nu, bedyrer leverandørerne, men kunder og brancheforening er utilfredse med, at det ikke har været opdaget før.
Det mest groteske er, at det blot drejer sig om at tilføje én linies tekst på forretningernes hjemmeside, så er hullet lukket. Bruger man SSL-krypterede formularer, sker det heller ikke, men mange forretninger har ikke villet betale for SSL-certifikater.
Det er sjuskeri
? Hvis det er så simpelt at rette, er der tale om ren slendrian. Jeg går ud fra, at vores leverandør Nethow er eksperter. De får penge for at være opmærksomme på det her, siger Jan Oppermann, der er markedschef hos Interflora.
? Det er yderst beklageligt, og de har åbenbart sovet i timen. Men det er rettet nu, siger Lone Haaning fra GAD. Foreningen for Dansk Internet Handel (FDIH) er noget mere bramfri i sin kritik af leverandørerne.
? Det er mildest talt ikke professionelt. Jeg ville være meget sur, hvis jeg havde købt en betalingsløsning med det sikkerhedshul. Det er også en mindre katastrofe, idet vi bruger mange ressourcer på at sikre handel på Internet og informere brugerne, men hvad hjælper det, hvis dem, der bygger husene, ikke sætter vinduer og døre i, siger formanden Gert Birnbacher.
Holdes under opsyn
Han vil nu tage det op i brancheforeningen. En idé kunne ifølge ham være, at aftalerne bliver ændret, så leverandørerne også skal teste fremtidige browsere. Leverandørerne kunne eventuelt holdes under opsyn af PBS, og deres certifikater kunne inddrages, hvis de ikke opdaterer sikkerheden.
? Leverandørerne er åbenbart stadig umodne, og det gør ikke mig tryg. Det kunne have været undgået, hvis de havde været mere seriøse. Det er sjuskeri, siger han.
Kunderne hos tre leverandører af betalingssystemer har været ramt, kan Computerworld bekræfte. Det gælder Architrade, Nethow og ScanNet. De lover dog alle, at sikkerhedshullet er lukket, inden dette bliver trykt. Architrade har længe kendt til det, og firmaet beskriver indgående på sin hjemmeside, hvordan problemet undgås. Hverken firmaets egne kunder eller konkurrenterne synes dog at have fået budskabet.
? Til en vis grad er det vel vores problem, idet vi rådgiver kunderne. Vi tager nu sagen op igen og sender et nyhedsbrev til dem, siger Jon Wichmann Hansen, der er administrerende direktør hos Architrade.
De to andre leverandører indrømmer også fodfejlen.
? Det er flovt. Jeg har ikke hørt om det før, men det bliver rettet øjeblikkeligt, siger Kenneth Madsen, der er marketingchef hos ScanNet.
? Jeg har ikke været klar over det, så man kan godt sige, at vi har sovet i timen. Det er dog bedrageri, hvis nogen udnytter det. Det svarer til at finde et Dankort på gaden og så handle med det, siger Jens Fjeldal, der er administrerende direktør hos Nethow.
Premium
Martin Thorborg overvejer at droppe de amerikanske tech-leverandører efter nedlukning af chefanklagers mailkonto: "Det er en sikkerhedsrisiko for den virksomhed, som jeg er direktør i"