Verkkojulkaisu: S-korttitietoihin voi murtautua
5
S-ketjun ABC-huoltoasemilla on wlan-verkkoja, joita asiakasomistajat ovat voineet hyödyntää maksutta kirjautumalla palveluun. Kirjautumissivu on toistaiseksi pois käytöstä. Verkkoon pääsee yhä hakemalla tunnuksen kassalta.
Tuore it-alan verkkojulkaisu ITNyt kirjoittaa, että SOK-osuuskauppakonsernin S-korttijärjestelmässä olisi paljastunut vakava tietoturvaongelma, jonka vuoksi asiakastietoja pääsee luvattomasti lukemaan verkossa. SOK myöntää teoreettisen riskin, mutta vastaa verkkojulkaisun liioitelleen uhkaa. SOK ilmoittaa jo estäneensä tämän väärinkäyttötavan.
ITNytin raportoima tietoturvauhka liittyy siihen, että SOK-ketjun ABC-huoltoasemilla on ollut wlan-verkkoja, joiden kautta asiakkaat ovat lähettäneet asiakastunnuksensa ja salasanansa. Näin on kirjauduttu langattomaan verkkoon.
Verkkojulkaisun mukaan näin on saatu asiakastiedot identiteettivarkautta varten. SOK:n asiakasomistaja- ja markkinointipalveluiden tietohallintojohtaja Jari Seitsamo kiistää väitteen.
”Identiteettivarkaus ei palvelun tiedoilla onnistu. Siellä ei ole henkilötunnusta. Sieltä ei saa kummempia tietoja kuin puhelinluettalosta”, sanoo Seitsamo Tietokone-lehdelle.
Sen sijaan palvelussa on voinut nähdä asiakkaan nimen, kotiosoitteen sekä puhelinnumeron ja sähköpostiosoitteen. Tietoja on myös voinut muuttaa. Myös kortilla tehdyt ostokset ovat katsottavissa.
SOK: Uhkan hyödyntäminen vaikeaa
Seitsamon mukaan uhka on teoreettinen. Huoltoaseman wlan-verkko on pitänyt kaapata, ja sinne on pitänyt luoda valesivusto, jonka kautta asiakas huijataan kirjautumaan.
Seitsamo sanoo, että SOK:n tiedossa ei ole yhtään tapausta, jossa asiakastietoja olisi onnistuttu viemään.
Hän jatkaa, että huoltoasemien wlan-verkossa S-tunnuksella kirjautuminen on tähän astikin ollut hyvin vähän käytetty palvelu.
SOK on kuitenkin ottanut web-kirjautumispalvelun toistaiseksi pois käytöstä huoltoasemilta. Langattomaan verkkoon pääsee yhä, kun hakee kassalta wlan-tunnuksen. Sen saa S-etukorttiaan vastaan kassalta.
Jari Seitsamo muistuttaa, että mihin tahansa web-palveluun voidaan murtautua, jos sen käyttäjätunnus ja salasana saadaan hankittua phishing-huijauksella.
Käyttäjän kannattaa siis varmistaa, että antaa tietonsa vain aidoille web-sivustoille.
