Den mobile sentralbordløsningen som Telenor tilbyr svenske kunder, Telenor One 2.0, blir i dag kritisert for ussel sikkerhet i et oppslag i ComputerSweden.
Bakgrunnen er en IT-sjef som oppdaget hvor enkelt det var for uvedkommende å ta seg inn i bedriftens talepostkasse. Systemet krever verken brukernavn eller passord.
Derimot er det nok å åpne en URL i nettleseren. Dette er en lenke som aldri forandrer seg og som blir sendt usikret i en e-post for å informere kunder om uleste talebeskjeder.
– Jeg mener det er ansvarsløst, sier Andreas Timmelstad til avisen. Han er teknologiansvarlig i bedriften Arkitektopia, som nylig tok produktet i bruk.
Lenken gir full adgang til kontoen, hvor det også er mulig å sende SMS fra kundens telefonnummer, viderekoble telefonen til andre numre, samt få en oversikt over bedriftskundens interne telefonkatalog.
Ifølge ComputerSweden synes ikke Telenor det er det minste merkelig at en lenke som fører rett inn på kontoen sendes ubeskyttet over e-post.
– Det er akkurat som når man glemmer et passord et sted, da sendes det også i en e-post eller SMS, sier pressekontakt Alexandra Carlsson.
Svaret viser at hun neppe er kjent med beste praksis på området, som tilsier at passord aldri bør lagres i klartekst, men derimot sikres med enveis-kryptering via hash-koding. Da kan passordet heller ikke bli sendt i klartekst, men krever derimot en annen tilnærming, som for eksempel en anmodning om å tilbakestille passordet.
Ulik løsning i Norge
Telenor One 2.0 er ikke solgt i det norske markedet. Slik produktet blir fremstilt kan det minne om det norske Mobilt Bedriftsnett fra samme selskap, men dette er i virkeligheten to helt forskjellige løsninger.
– Påloggingen til den norske løsningen krever passord, både for brukere, sentralbord og for administrasjon. Sistnevnte har også tofaktor-autentisering, sier informasjonssjef Per A. Meling i Telenor Norge til digi.no.
