[Ingo]

En av Dustins kunder upptäckte i förra veckan att Dustins personal enkelt kan se kundernas lösenord som används på företagets webbplats.

I ett foruminlägg på teknikbloggen Sweclockers uppgav en användare att Dustins personal kan se alla kunders lösenord till deras konton på webbutiken. Upptäckten gjordes efter att Dustins personal kommenterade en kunds lösenord i ett telefonsamtal.

Läs mer:
http://www.idg.se/2.1085/1.535381/du...d---i-klartext

[StefanW]

Och dom gräver ner sig själva i skiten ännu mer i tråden. (http://www.sweclockers.com/forum/71-.../index139.html)

1. De erkänner öppet i forumet att de sparar lösenorden i klartext.

2. De tar bort konton utan att verifiera ägaren; folk skriver "Ta bort mitt konto, kundnummer *****" och Dustin svarar med att det är borttaget. Ingen verifiering alls.

Undrar hur detta ska sluta.

Feber har också snappat upp detta: http://feber.se/webb/art/287444/dust...ndares_lsenor/

[tartareandesire]

Har man ett gammalt affärssystem i drift fortfarande så är det ju inte så konstigt att man låter det vara som det är till dess att ett nytt kommer på plats. Sen är jag högst tveksam till att det gör mer nytta än skada när man sprider sådan här information. Det är inte direkt första eller sista gången något sådant här kommer att inträffa och såvida inte systemet kommer att bytas ut relativt omedelbart så hjälper man bara hackare. Sen är det ju det här en stendöd bransch så man kan knappast räkna med något alls som kund annat än att man får sin produkt.

[pelmered]

Citat:

Ursprungligen postat av StefanW

Och dom gräver ner sig själva i skiten ännu mer i tråden. (http://www.sweclockers.com/forum/71-.../index139.html)

1. De erkänner öppet i forumet att de sparar lösenorden i klartext.

2. De tar bort konton utan att verifiera ägaren; folk skriver "Ta bort mitt konto, kundnummer *****" och Dustin svarar med att det är borttaget. Ingen verifiering alls.

Undrar hur detta ska sluta.

Feber har också snappat upp detta: http://feber.se/webb/art/287444/dust...ndares_lsenor/

Helt katastrof.
De har ju bara fortsatt att skämma ut sig med nya grodor i tråden där. De påstår t.ex. att de verifierar alla beställningar till företag om det är till en ny adress genom att ringa telefonnumret som finns registrerat hos bolagsverket vilket inte stämmer och inte verkar särskilt troligt att de gör med tanken på att de inte ens verifierar om någon vill ta bort sitt konto.

Det har ju även framkommit att de känt till problemet i många år utan att göra något åt det.

Nu verkar de också åtgärdat problemen.
http://www.sweclockers.com/forum/71-...l#post14131566

[jayzee]

Tyvärr är de knappast ensamma om det, om ni bara visste hur många stora bolag och mediahus jag jobbat åt som lagrar lösenord i klartext. Ett stort mediahus har nu övergått till kryptering (läs, ej hash) enligt de själva, vilket då är snäppet bättre men knappast bra.

[leonard]

Kan intyga att dustin är under all kritik när det kommer till hantering av kundinformation. Jag jobbade tidigare åt en stor IT-konsultfirma, och på uppdrag av en statlig myndighet beställde jag IT-utrustning till en ej verifierad adress bara genom att uppge rätt kundnummer och att jag glömt mitt lösenord. Sen var loginet mitt. Beställde grejer för ett värde på över 500 000 SEK. Lite social engineering, en tillfällig faktura-adress och en målvakt för leverans så hade man kunna göra mycket kul..