Nya tvivel har väckts angående onlinesäkerheten hos high street-återförsäljaren Argos, efter en PC Pro undersökning.
Igår avslöjade vi att Argos skickade kunders okrypterade kreditkortsnummer och säkerhetskoder i e-postmeddelanden med orderbekräftelse, vilket potentiellt exponerade dem för onlinebedrägerier.
Nu har det visat sig att samma bekräftelsemail innehåller en webblänk – ironiskt nog avsedd att dirigera kunder till Argos säkerhetssida – som innehåller kundens fullständiga namn, adress och kreditkortsuppgifter i själva URL:en.
Denna information skickas okrypterad via e-post, så alla som övervakar nätverkstrafiken kan se data
Kunder som klickar på den webblänken skulle därför lämna oformaterad information om sina kreditkortsnummer i webbläsarens webbhistorik, vilket kan vara särskilt problematiskt på delade eller offentliga datorer, som de som används av webbkaféer.
Det skulle också lämna kundernas uppgifter lagrade i serverloggarna som underhålls av arbetsgivare och internetleverantörer, samt Argos egen webbanalysmjukvara, som loggar webbadresserna som används för att komma åt dess webbplats.
Felet upptäcktes av Dennis Publishings tekniska chef, Paul Lomax, som beställde möbler från Argos i september förra året och fick sina kreditkortsuppgifter stulna några månader senare. PC Pro Läsaren Tony Graham, som uppmärksammade oss på de felaktiga e-postmeddelandena i första hand, fick också sina kortuppgifter stulna efter att ha gjort en beställning hos Argos, även om det inte finns några bevis för att binda Argos till kreditkortsstölderna.
Bruten ”lagens ande”
Säkerhetsexperter säger att Argos system var allvarligt felaktigt. ”Argos säger ’vi tar säkerheten för dina uppgifter på allvar’. Det verkar mer som ”Vi tar inte säkerheten för dina uppgifter på allvar. Vi kan skicka e-post till dig då och då med dina betalkortsuppgifter, säger Sophos Labs säkerhetsexpert, Paul Baccas.
”Att skicka den här mängden detaljer är en dålig idé, och den har implementerats dåligt. Att ha kundernas PII [personally identifiable information] och PCI [payment card information] inom e-postmeddelandet – även om det möjligen inte bryter mot dataskyddslagen – har brutit mot lagens anda, och jag skulle misstänka att dataskyddsombudet skulle vilja bli informerad.”
”Den här informationen skickas okrypterad via e-post, så alla som övervakar nätverkstrafiken kan se data. Om e-postmeddelandet går till en webbmail eller ett företagskonto kommer denna information att lagras och tillgänglig för personer med åtkomst till dessa servrar”, tillade han.
”Vi vet att skurkar övervakar nätverkstrafik och hackar webbservrar. Skadlig programvara söker redan på datorer efter lokalt lagrad e-post för att få PII. Jag ser detta varje dag i mitt arbete.”
Argos kommentar
I ett uttalande skickat till PC Pro Argos sa att de ”tar säkerheten för sina kunders data på största allvar, är fullt medveten om kraven i dataskyddslagen och har vidtagit korrigerande åtgärder i samband med denna fråga.
”Vi är i kontakt med informationskommissionärens kontor. Vi har gjort dem medvetna om vårt förhållningssätt till kundkommunikation och kommer att fortsätta att arbeta nära dem för att säkerställa att vi vidtar alla lämpliga åtgärder.”
Argos har vägrat att kommentera hur många kunder som har drabbats eller om de har kontaktat kunder som fått de felaktiga mejlen.
Vår egen undersökning visar att de felaktiga mejlen skickades ut så tidigt som i september förra året, men problemet åtgärdades inte förrän förra månaden.
