ItNyt-verkkojulkaisun torstaina 17.6.2010 julkaisema artikkeli on herättänyt kysymyksiä koskien S-ryhmän tietoturvaa. ItNyt oli tutkinut laboratorio-olosuhteissa langattoman verkkoyhteyden turvallisuutta ja mahdollisuutta kalastella verkkoyhteyden avaamisessa käytettäviä asiakasomistajatunnuksia. ItNyt havaitsi tutkimuksessaan, että osassa S-ryhmän toimipaikkoja käytössä oleva langaton verkkoyhteys (WLAN) olisi mahdollistanut tietomurron avulla saada selville S-ryhmän asiakkaan S-Etukortin numeron ja asiakastunnuksen. Toisen tunnuksia ei voi saada vahingossa haltuun, riski koskee vain tarkoituksellisia kaappauksia. Kaapatuilla tunnuksilla olisi voinut päästä kirjautumaan Asiakasomistaja Onlineen kaapattujen tunnusten omistajan tietoihin. Mitä tarkoittaa WLAN tai langaton verkkoyhteys? WLAN (lyhenne sanoista Wireless Local Area Network) on langaton lähiverkkotekniikka, jolla erilaiset verkkolaitteet voidaan yhdistää ilman kaapeleita. WLAN-tekniikkaa käytettäessä tietokonetta ei tarvitse liittää kaapelilla Internetiin, vaan yhteyden muodostamiseen riittää yhteensopiva vastaanotin. Nykyään kannettavissa tietokoneissa on lähes aina WLANvastaanotin sisäänrakennettuna. Minkä takia S-ryhmä on tarjonnut asiakkailleen langatonta verkkoyhteyttä asiakasomistajatunnuksilla? Olemme halunneet tarjota usein langatonta verkkoa toimipaikoissamme käyttäville asiakasomistajille ilmaisena palveluna verkkoyhteyden ja helpon tavan kirjautua verkkoon omilla tunnuksilla. Langattoman verkkoyhteyden saa S-ryhmän toimipaikoissa käyttöön myös kassalta saatavilla kertatunnuksilla. Mitkä ovat asiakasomistajatunnukset ja missä niitä käytetään? Asiakasomistajatunnukset koostuvat S-Etukortin korttinumerosta ja asiakastunnuksesta. S- Etukortti Visan ollessa kyseessä korttinumeron sijasta käytetään jäsennumeroa/asiointinumeroa. Asiakasomistajatunnuksilla pystyi aiemmin ottamaan käyttöön langattoman verkkoyhteyden S-ryhmän toimipaikoissa. Lisäksi asiakasomistajatunnuksia tarvitaan kirjauduttaessa Asiakasomistaja Onlineen. Asiakasomistajatunnuksilla voidaan myös tunnistautua asiakasomistajaksi ja kerryttää Bonusta esim. musiikkiverkkokauppa Poimurista. Missä S-ryhmän toimipaikossa WLAN-yhteys on käytössä? S-ryhmä tarjoaa asiakkaidensa käyttöön langatonta verkkoyhteyttä S-ryhmän hotelleissa, lähes kaikissa ABC-liikennemyymälöissä sekä osassa ravintoloita, kahviloita ja autoliikkeitä. Eiliseen saakka langattoman verkkoyhteyden saattoi ottaa käyttöön asiakasomistajatunnuksilla valtaosassa ABC-liikennemyymälöitä, Automaa-ketjun
autoliikkeissä sekä osassa Amarilloja ja Coffee Houseja. Muissa toimipaikoissa langatonta verkkoyhteyttä voi käyttää vain kertatunnuksilla tai käytössä oleva verkko ei vaadi kirjautumista ollenkaan. Mitä palveluja uutisoitu tietoturvariski koskee? ItNyt:n uutisoima riski koskee S-ryhmän toimipaikoissa asiakkaiden käyttöön tarkoitettuja WLAN-yhteyksiä, joissa asiakas on kirjautunut verkkoon asiakasomistajatunnuksilla. WLANyhteyttä asiakasomistajatunnuksilla on voinut käyttää valtaosassa ABC-liikennemyymälöitä, Automaa-ketjun autoliikkeissä sekä osassa Amarilloja ja Coffee Houseja. Näissäkin toimipaikoissa valtaosa WLAN-yhteyttä käyttäneistä asiakkaista on kirjautunut verkkoon kertakäyttöisillä tunnuksilla, jolloin riskiä asiakastunnusten urkkimiselle ei ole voinut syntyä. Muissa toimipaikoissa käytössä olevia WLAN-yhteyksiä tietoturvariski ei koske. S-ryhmä poisti heti käytöstä riskialttiin kirjautumistavan. Ovatko tietoni voineet joutua vääriin käsiin? Uutisoitu puute tietoturvassa koskee mahdollisuutta rikollisin keinoin kalastella käyttöön toisen asiakkaan asiakasomistajatunnukset. Asiakasomistajatunnus olisi voinut joutua alttiiksi kalastelulle vain, jos asiakas on käyttänyt S-ryhmän toimipaikassa langatonta WLAN-yhteyttä asiakasomistajatunnuksilla. Valtaosa S-ryhmän toimipaikoissa WLAN-yhteyttä käyttäneistä on käyttänyt kirjautumisessa kertakäyttöisiä kassalta noudettavia tunnuksia, jolloin riskiä asiakasomistajatunnusten urkkimiselle ei ole voinut syntyä. Vain hyvin pienen asiakasmäärän asiakasomistajatunnukset ovat edes teoriassa voineet altistua tietomurron riskille. S-ryhmän tiedossa ei ole yhtään toteutunutta asiakasomistajatunnusten kalastelutapausta. Asiakasomistajatunnuksilla ei saa selville toisen asiakkaan henkilötunnusta. Olen käyttänyt WLAN-yhteyttä ABC:llä. Ovatko tietoni joutuneet vääriin käsiin? Asiakasomistajatunnuksesi on voinut joutua alttiiksi kalastelulle vain, jos olet käyttänyt S- ryhmän toimipaikassa langatonta WLAN-yhteyttä asiakasomistajatunnuksilla. Tällöin asiakasomistajatunnuksillasi on ollut teoreettinen mahdollisuus altistua tietomurron riskille. Suosittelemme kuitenkin varmuuden vuoksi asiakastunnuksen vaihtamista Asiakasomistaja Onlinessa. Kuka on voinut päästä tietoihin käsiksi? Vain rikollisin keinoin toimivalla henkilöllä on ollut teoreettinen mahdollisuus kaapata S- ryhmän toimipaikassa asiakasomistajatunnuksilla avaamasi WLAN-yhteys. S-ryhmän tiedossa ei ole yhtään toteutunutta asiakasomistajatunnusten kalastelutapausta.
Voiko kuka tahansa päästä käsiksi toisen asiakkaan asiakasomistajatunnuksiin? Ei voi. Vain rikollisin keinoin toimivalla henkilöllä on ollut teoreettinen mahdollisuus kaapata S-ryhmän toimipaikassa asiakasomistajatunnuksilla avattu WLAN-yhteys. S-ryhmän tiedossa ei ole yhtään toteutunutta asiakasomistajatunnusten kalastelutapausta. S-ryhmä poisti heti käytöstä riskialttiin kirjautumistavan Istun usein kahvilassa, jossa moni asiakas surffaa yhtä aikaa langattomalla verkkoyhteydellä. Voiko joku toinen imuroida minun tietojani tai seurata sitä, missä verkossa liikun? Jos kahvilan langaton verkko on suojaamaton, on verkon käyttäjillä mahdollisuus kuunnella langattoman verkon liikennettä ja näin saada tietoonsa muiden käyttäjien verkkoliikennettä. S-ryhmän WLAN-yhteydessä kirjautumiseen käytetyt asiakasomistajatunnukset siirtyvät kuitenkin salattuina eikä muilla käyttäjillä ole tällä tavoin ollut mahdollista saada niitä selville. Suojatuissa langattomissa verkoissa tietoliikenne on salattua. Suojatun verkon salauksen purkaminen on laillisin keinoin mahdotonta. Onko S-ryhmän tarjoama langaton verkkoyhteys turvattomampi kuin muiden tarjoamat verkkoyhteydet? Jos langaton verkko on suojaamaton, on kaikilla verkon käyttäjillä mahdollisuus kuunnella langattoman verkon liikennettä ja näin saada tietoonsa muiden käyttäjien verkkoliikennettä. S-ryhmän tarjoama langaton verkkoyhteys ei ole sen turvallisempi tai turvattomampi, kuin muidenkaan tarjoamat verkkoyhteydet. S-ryhmän WLAN-yhteydessä kirjautumiseen käytetyt asiakasomistajatunnukset siirtyvät salattuina eikä muilla käyttäjillä ole tällä tavoin ollut mahdollista saada niitä selville. Suojatun verkon salauksen purkaminen on laillisin keinoin mahdotonta. Voinko jatkossa turvallisesti käyttää langatonta verkkoyhteyttä S-ryhmän toimipaikoissa? Langattoman verkon käyttämiseen sisältyy aina riski. Avoimissa langattomissa verkoissa suosittelemme käyttämään vain sellaisia kirjautumista edellyttäviä sähköisiä palveluita, jotka perustuvat tietoliikenteen salaukseen. Tällöin palvelun sisäänkirjautumissivun yhteydessä tulisi nettiselaimessa näkyä lukon kuva. Voit lukon kuvaa klikkaamalla tarkistaa, että sivuston omistaja on luotettu toimija. S-ryhmän Asiakasomistaja Onlineen kirjauduttaessa asiakasomistajatunnukset siirtyvät salattuina, eikä muilla ole mahdollista saada niitä selville. Maksuttoman langattoman verkkoyhteyden saat käyttöösi kassalta saatavilla kertatunnuksilla, joilla ei voi käyttää muita palveluja.
Olen käyttänyt saldopäätettä S-Etukortilla ja asiakastunnuksella. Onko joku voinut kalastella tunnukseni käyttöön? Ei. ItNyt:n uutisoima riski koskee S-ryhmän toimipaikassa käytettävän WLAN-yhteyden avaamisessa käytettävää kirjautumistapaa. Saldopäätteen käytössä tarvitset S-Etukorttia ja asiakastunnusta. Saldopäätteen käyttö ei onnistu pelkällä korttinumerolla, vaan vaatii fyysisen S-Etukortin. Saldopäätteessä käytettäviä/näytettäviä tietoja ei voi kalastella käyttöön ItNyt:n uutisoimalla tavalla. Onko S-Etukortissa tietoturvariski? Ei, S-Etukorttiin ei liity uutisoitua tietoturvariskiä. Verkkosivusto ItNyt:n uutisoima puute koskee kirjautumista langattomaan verkkoon asiakasomistajatunnuksilla S-ryhmän toimipaikoissa. Asiakasomistajat ovat voineet saada käyttöönsä maksuttoman WLAN - yhteyden tunnistautumalla asiakasomistajiksi S-Etukortin korttinumerolla ja asiakastunnuksella. Jos asiakkaalla on käytössään S-Etukortti Visa, kirjautuu hän palveluun jäsen-/asiointinumerollaan. Valtaosa WLAN-yhteyden käyttäjistä on käyttänyt kertakäyttöisillä tunnuksilla, joita havaittu tietoturvariski ei koske. Paljastunut puute on siis voinut saattaa alttiiksi vain hyvin pienen asiakasjoukon asiakasomistajatunnukset. Tätäkään riskiä ei enää ole, koska S-ryhmä poisti heti mahdollisuuden käyttää WLAN-yhteyttä asiakasomistajatunnuksilla. Urkituilla tunnuksilla olisi voinut päästä Asiakasomistaja Onlineen, jossa näkyy tiedot asiakasomistajan tekemistä bonusostoista ja maksetusta Bonuksesta. Urkituilla tunnuksilla ei olisi ollut mahdollista kirjautua S-Pankin verkkopankkiin eikä varastaa toisen identeettiä. Epäilen S-Etukortin numeron ja asiakastunnuksen joutuneen vääriin käsiin. Mitä teen? S-Etukorttiin liittyy useita tunnuslukuja. Jos nelinumeroinen asiakastunnuksesi, jota käytetään Asiakasaomistaja Onlinessa, on joutunut vääriin käsiin, sinun tulee kirjautua Asiakasomistaja Onlineen ja vaihtaa asiakastunnuksesi. Löydetty WLAN-kirjautumiseen liittyvä puute tietoturvassa koskee vain näitä tunnuksia. Jos epäilet maksuominaisuuksia sisältävän S-Etukortin tunnusluvun (PIN) joutuneen vääriin käsiin, ota heti yhteyttä S-Pankki Asiakaspalveluun puh. 010 76 5800 ma-pe klo 8-20 (0,0821 /puhelu + 0,119 /min). Mikä on Asiakasomistaja Online? Mistä nämä tunnukset saa käyttöön? Asiakasomistaja Online on asiakasomistajan käyttöön tarkoitettu sähköinen asiointipalvelu, josta asiakas voi tarkastaa mm. bonusostokertymänsä sekä maksetun Bonuksen. Palveluun kirjautumisessa tarvitset S-Etukortin korttinumeroa ja asiakastunnusta. Asiakasomistaja Onlinen käyttöön tarvittavat asiakasomistajatunnukset asiakasomistaja saa asioimalla S-ryhmän toimipaikoissa olevissa asiakaspalvelupisteissä. Palvelupisteitä löytyy
kaikista Prismoista, lähes kaikista Sokoksista ja osasta suurempia S-marketteja. Asiakastunnuksia voi myös tiedustella S-ryhmän Asiakasomistajapalvelusta, puh 010 76 5858 ma-pe klo 8-20 (0,0821 /puhelu + 0,119 /min). Mihin tunnuksilla pääsee? Mitä vahinkoa tunnusten urkinnalla voidaan aiheuttaa? Asiakasomistajatunnukset koostuvat S-Etukortin korttinumerosta ja nelinumeroisesta asiakastunnuksesta. Asiakasomistajatunnuksilla voi kirjautua Asiakasomistaja Onlineen ja langattomaan WLAN-verkkoon maksutta S-ryhmän toimipaikassa. Samoilla tunnuksilla tunnistaudutaan asiakasomistajaksi ja kerrytetään Bonusta esim. musiikkiverkkokauppa Poimurista. Havaittu tietoturvariski ei koske kirjautumista näihin palveluihin. Asiakasomistajatunnuksilla voi Asiakasomistaja Onlinesta saada tietoa bonusostokertymästä ja rahana maksetuista eduista. Palvelussa näkyy tiedot asiakkaan yhteystiedoista. Palvelussa on mahdollista tilata käteiskortteja sekä hallinnoida uutiskirjetilauksia. Asiakasomistajatunnuksilla ei pääse esim. kirjautumaan S-Pankin verkkopankkiin eikä maksamaan ostoksia verkkokaupassa. Mitä olette aikoneet tehdä tälle vakavalle tietoturva-aukolle ja milloin? S-ryhmä poisti riskialttiin kirjautumistavan heti käytöstä. Jatkossa S-ryhmän toimipaikoissa voi langattomaan verkkoon kirjautua vain kassoilta saatavilla kertakäyttöisillä tunnuksilla, jolloin mitään riskiä asiakasomistajatunnusten tai asiakasomistajatietojen urkkimiselle ei voi syntyä. Onko tunnusten kalastelu laillista? Tunnusten kalastelu ei ole laillisin keinoin mahdollista. Myös kalasteluyritys on rangaistava teko. Kalastelusta jää verkkoon jälki. Mistä tiedän, ovatko omat tietoni väärissä käsissä? Tietosi ovat voineet edes teoriassa joutua alttiiksi kalastelulle vain, jos olet käyttänyt S- ryhmän toimipaikassa WLAN-yhteyttä asiakasomistajatunnuksilla. Jos et ole käyttänyt WLAN-yhteyttä asiakasomistajatunnuksilla, eivät tietosi ole voineet joutua vääriin käsiin. Asiakasomistajatunnukset koostuvat S-Etukortin numerosta (S-Etukortti Visa -korteissa korttinumeron sijasta jäsennumero) ja asiakastunnuksesta. Asiakastunnusta on suositeltavaa vaihtaa määräajoin. Asiakastunnuksen voi itse vaihtaa Asiakasomistaja Onlinessa. Valtaosa WLAN-yhteyden käyttäjistä on kirjautunut kertakäyttöisillä tunnuksilla, joten paljastunut puute on koskenut varsin pientä asiakasomistajien joukkoa. S-ryhmän tiedossa ei ole yhtään toteutunutta asiakasomistajatunnusten kalastelutapausta.
Kuinka monen asiakasomistajan asiakastiedot ovat uhattuna? Paljastunut puute on koskenut hyvin pientä asiakasomistajien joukkoa. Asiakasomistajatunnukset ovat voineet joutua alttiiksi kalastelulle vain, jos olet käyttänyt S- ryhmän toimipaikassa WLAN-yhteyttä asiakasomistajatunnuksilla. Valtaosa S-ryhmän toimipaikoissa WLAN-yhteyttä käyttävistä on kirjautunut kertakäyttöisillä tunnuksilla, jolloin riskiä asiakastunnusten urkkimiselle ei ole voinut syntyä. Asiakasomistajatunnukset koostuvat S-Etukortin numerosta (Visakorteissa korttinumeron sijasta jäsennumero) ja asiakastunnuksesta. Asiakastunnusta on suositeltavaa vaihtaa määräajoin. Asiakastunnuksen voi itse vaihtaa Asiakasomistaja Onlinessa.