I et stort sikkerhedstjek af 14 bookmakere på det danske licensmarked har BetXpert fundet flere huller i bookmakeren Betfairs sikkerhedsprocedure, der bl.a. gør det muligt at gå ind på din nabos Betfair-konto, hvis du kender hans fødselsdato og kan gætte hans brugernavn. Betfair* afviser at have sikkerhedsproblemer med danske kunder, men vil undersøge sagen.
Kan du gætte din nabos brugernavn, og kender du hans fødselsdato, så kan du uden problemer ændre adgangskoden og få adgang til hans Betfair-konto. Det kan BetXpert nu afsløre efter at have lavet et grundigt sikkerhedsstjek af alle bookmakere på det danske licensmarked.
For hver af de 14 bookmakere har vi bl.a. undersøgt, hvad det kræver at skifte adgangskode gennem den "Glemt adgangskode”-funktion, som mange bookmakerne tilbyder på deres hjemmeside. Funktionen tilbyder typisk, at man angiver sit brugernavn, og via en mailverifikation kan man ændre sin adgangskode.
Som den eneste udbyder udelader Betfair* i visse tilfælde mailverifikationen, og her er det således nok at angive fødselsdato og brugernavn, hvorefter man ledes til en side, hvor adgangskoden kan ændres. Fødselsdato og brugernavn er altså nok til at overtage adgangen til en anden persons konto. Og da man kun skal bruge NemID for at logge på hos bookmakerne fra en PC, kan man via mobil eller tablet herefter logge sig ind på den konto man netop har ændret adgangen til - og eventuelt spille hele saldoen op.
Det er en kritisabel procedure, mener IT-ekspert Henrik Biering, der bl.a. sidder i en arbejdsgruppe under Rådet for Digital Sikkerhed.
"Det virker ikke særlig sikkert," siger han.
For at få adgang til naboens Betfair-konto kræver det dog som nævnt, at du opsnuser brugernavn og fødselsdata på en anden person. Men det er ikke svært i dag, hvis man virkelig vil - for danske netbrugere bruger som regel det samme brugernavn i flere sammenhænge på nettet. Og fødselsdato kan ofte findes på de sociale medier.
"Folk er generelt dårlige til at have forskellige brugernavne. Hvis man vil, kan man hurtigt finde en given persons brugernavn på sociale medier som Facebook og Twitter eller andre steder på nettet," siger Henrik Biering.
Betfair*: Vi har høje sikkerhedskrav
Betfair* ønsker ikke at kommentere den konkrete sag, men siger i en skriftlig udtalelse til BetXpert:
"Vi er ikke bekendt med nogle sikkerhedsproblemer, som har påført nogen af vores danske kunder tab. Vi gennemgår dog konstant vores sikkerhedsprocedurer og vil gøre det igen på baggrund af dette," udtaler Betfair* og siger også:
"Betfair* tager kundernes sikkerhed seriøst og har en række sikkerhedsprocedurer, som også inkluderer en "2-trins-godkendelse", som kunderne kan installere. Det er en ekstra pinkode, der kan bruges udover adgangskoden. Derudover har vi et lukket system, der gør, at indestående kun kan udbetales til det kreditkort, som de er sat ind med."
Vi ville gerne have spurgt mere ind til den konkrete sag og forhørt os, om Betfair* virkelig mener, det skal være så nemt at logge ind på andres konti. Og om de har tænkt at ændre praksis. Men de vil kun forholde sig generelt til sikkerheden, siger de. Talsmanden fra Betfair* nævner blandt andet over for BetXpert, at de er ISO27001.verificeret (en global standard for IT-sikkerhed), ligesom deres danske side er verificeret af GLI Europe, som er en uafhængig tredjepart, godkendt af den danske Spillemyndighed. Begge er verificeringer, som sætter beskyttelse af kundedata og generel datasikkerhed i højsædet.
BetXpert erfarer desuden, at problematikken med at kunne overtage andres konti, hvis man kender brugernavn og fødselsdato, ikke gælder for alle kunder. På visse konti inkluderer ”Glemt password”-funktionen en mailverifikation, og ud fra vores testresultater formoder vi, at størrelsen på kundens indestående er afgørende for om mailverifikation inkluderes som et sidste trin i processen, hvor adgangskoden ændres. Har kontoen et indestående over 500-1000 kr., så vil en ændring af adgangskoden inkludere mailverifikation – er indeståendet lavere, kan kontoen ”overtages” via simpel angivelse af brugernavn og fødselsdato. Vel at mærke hvis kontoen ikke har aktiveret førnævnte 2-trins godkendelse.
Vi har spurgt Betfair*, hvorfor ens konto skal være mindre sikker bare fordi, man ikke har et stort indestående på den. Det spørgsmål har de ikke ønsket at svare på. Betfair* har heller ikke ønsket at afsløre, om der er planer om at udvide mailverifikationen til samtlige kundekonti, så det ikke kun anvendes hos et udvalg af kunder.
Er du bekymret for din Betfair-konto kan du, som Betfair* svarede længere oppe, installere en "2-trins-godkendelse" som beskytter din konto mod ”fjendtlig” overtagelse. Beskyttelsen virker også på mobile platforme. Se mere på Betfair*s hjemmeside under Min Konto -> Kontooplysninger -> Min sikkerhed.
Fik udleveret anden mands spilhistorik
Vores undersøgelse er som nævnt lavet for alle bookmakere, hvor vi har fundet både større og mindre huller. Et andet kritisabelt hul står Betfair* også for. Udover at teste bookmakerne for, hvad det krævede at skifte adgangskode, undersøgte vi også, hvor stringente bookmakernes kundeservice er med hensyn til at kontrollere, hvem de taler med i den anden ende.
I denne del af undersøgelsen tjekkede vi, om det lod sig gøre at få udleveret eller ændre følsomme kontooplysninger uden at identificere sig behørigt. Hos alle bookmakerne henvendte vi os på vegne af en specifik kundekonto, men i samtlige tilfælde blev henvendelsen afsendt fra en ”forkert” emailadresse, dvs. en anden adresse end den, der var registreret på kundekontoen. De fleste bookmakere sendte automatisk deres svar til den registrerede, korrekte emailadresse, andre udbad sig, at man skrev fra den korrekte emailadresse, men i ét tilfælde blev der set stort på afsenderen; Betfairs kundeservice returnerede – til den ”forkerte” emailadresse – en total spilhistorik for de sidste 12 måneder for den specifikke kundekonto, vi havde henvendt os omkring (tilhørende en ansat ved BetXpert).
Det er dog en klar fejl, indrømmer Betfair* over for BetXpert:
"Betfair* har stramme procedurer for omgang med kundernes information... I dette isolerede tilfælde var vores klare procedurer ikke overholdt, og vi undskylder helhjertet. Medarbejderen arbejder ikke længere for Betfair*," siger de.
Sådan gjorde vi:
Vi satte os for at undersøge, hvor sikker din konto og dine personlige data egentlig er hos de dansk-licenserede spilleudbydere. For at teste bookmakernes sikkerhedsprocedurer har vi henvendt os til hver bookmaker for at undersøge følgende:
1. Kan man få udleveret adgangskoden, hvis man henvender sig direkte pr. mail? Kan man det, så opbevares adgangskoden ukrypteret, hvilket vil sige, at adgangskoden bogstav for bogstav kan findes i deres system. Her bør alle bookmakere have krypteret koderne, så de ikke kan ses, og derved ikke er sårbare over for hackerangreb.
2. Kan man få fat i login/password uden brug af to trins-verifikation (fx mail frem og tilbage). Med andre ord stoler bookmakeren blindt på, at man er den, man udgiver sig for at være? Eller sikrer bookmakeren at verificere brugere ved et ekstra identifikationsparameter og fx sende oplysningen til en anden enhed som fx mobilen.
3. Hvordan reagerer bookmakeren, hvis man henvender sig fra en anden e-mailadresse, hvor det eneste man kender er den rigtige brugers kontonavn? Kan man på denne måde få udleveret personfølsomme oplysninger eller ændre stamdata på fremmed konto?
Helt konkret har vi henvendt os på fem forskellige måder:
- Anvendt vores PC og brugt bookmakerens formular ”glemt brugernavn” – for at tjekke, hvor let det er at få.
- Anvendt vores PC og brugt bookmakerens formular ”glemt adgangskode” - for at tjekke, hvor let det er at få.
- Anvendt vores mobil (tablet) og brugt bookmakerens formular ”glemt brugernavn” - for at tjekke, hvor let det er at få.
- Anvendt vores mobil (tablet) og brugt bookmakerens formular ”glemt adgangskode” - for at tjekke, hvor let det er at få.
- Kontaktet bookmakeren fra en forkert e-mail, (dvs. ikke den som kontoen står i), og ved oplysning af kontonavn udbedt ændring i stamdata eller udlevering af personlige oplysninger (fx spilhistorik).
Se alle resultaterne i denne pdf. Til information arbejder vi på en opfølgning på nogle af de andre tilfælde hvor sikkerhedsprocedurerne ikke var som forventet.