I minst två år har operatören Com Hem skickat okrypterade mejl med lösenord i klartext till sina kunder. Mejlen skickas även från en domän som Com Hem inte äger, det rapporterar Computer Sweden.
Teckna din prenumeration på Aktuell Säkerhet här
När en kund tecknar ett nytt abonnemang eller när en kund begär ett nytt lösenord då det förra glömts bort kommer ett meddelande från Com Hem. Lösenordet landar helt okrypterat i kundens portal för självbetjäning – det som ofta benämns ”Mina sidor”. Computer Sweden påpekar att det anses som undermålig säkerhet att skicka lösenord i klartext på det viset. De skriver även att många kunder har hört av sig till företaget och ifrågasatt den bristande säkerheten.
– Det stämmer att kunder som ber om ett nytt lösenord kan få ett tillfälligt lösenord utskickat per mejl. I det fallet har vi som rutin att användarnamn inte ska anges i samma mejl, för att säkerställa att det inte ska gå att koppla lösenordet till användaren. Det handlar om tillfälliga autogenererade lösenord som det är meningen att kunden ska byta så fort som möjligt, säger Joel Ibson, kommunikationschef på Tele2 som äger Com Hem, till Computer Sweden.
Att avsändaren till mejlet dessutom använder adressen comhem@dcp.se är ytterligare en aspekt av förfarandet som anses märklig. Som mottagare kan man lätt tro att det handlar om nätfiske.
– Jag håller med om att det inte är optimalt, även om det har sin förklaring. Vi jobbar med KGM Datadistribution och det är de som distribuerar lösenordet. Vi håller dock på att se över en lösning där vi ska kunna arbeta med en tydligare Com Hem-adress som avsändare, säger Joel Ibson.