Fruktansvärt dålig integritet hos comviq.se

Jag är kund hos Comviq sedan ett par år tillbaka och är i förövrigt nöjd. För några veckor sedan fick jag ett samtal från Comviq med ett erbjudande som var anpassat efter mina behov. Priset lät bra så jag slog till och fick efter detta hämta ett nytt SIM-kort och aktivera mitt konto på Comviq.se. Notera att jag aldrig haft konto på Comviq.se sen innan. Jag blev mycket förvånad när jag för första gången såg vad de sparade för information om mina telefonvanor.


All metadata är datan



Nedanför är en bild på "Mina Samtal" som visar ut,-och ingående samtal med tillhörande samtalslängd samt in,-och utgående M/SMS.

Detta är i princip allting! Det enda som saknas är den faktiska datan, det vill säga själva samtalet eller innehållet i SMS:en. Notera även att hur mycket surf du förbrukat även står skrivet samt totala mängden. Detta visar exakt hur mycket du surfat.

Koppla gärna ihop ditt Google+ eller Facebook-konto!



Inte nog med det, men Comviq tyckte det var en bra idé att införa möjligheten att koppla ihop ett av sina Facebook,-eller Google +-konton. Detta är antagligen för Oauth3 men möjligheten bör inte finnas, man ska kunna ha ett telefonnummer utan att koppla ihop en faktiskt identitet. Givetvis är valet valfritt men det försvarar inte deras beslut då säkerligen flera kunder lär ha kopplat ihop konton med Comviq.se.

Värt att notera är dock att om du har abonnemang så finner du även alla dina fakturor sparade i PDF-format. Dessa innehåller namn och adress.

Telefonnummer i GET???



Du kanske ska logga in på ditt Comviq.se-konto på en publik eller din väns dator/mobil? Dålig idé. Om du loggar in så kommer du automatiskt att komma till www.comviq.se/mitt-konto/nummer/DITTTELEFONNUMMER. Detta kommer alltså att sparas direkt i historiken och man kan alltså kolla i historiken utan att ha tillgång till kontot vilket telefonnummer personer har.

Detta är också illa om det finns externa länkar på hemsidan då den länk man klickar på kommer se vart ifrån du kom och där finns ju hela ditt telefonnummer!

max-age=0


c@chloe:~# curl -I https://www.comviq.se
[...]
Strict-Transport-Security: max-age=0
[...]

A max-age value of zero (i.e., "max-age=0") signals the UA to cease regarding the host as a Known HSTS Host, including the
includeSubDomains directive (if asserted for that HSTS Host).

Källa: https://tools.ietf.org/html/rfc6797#section-6.1.1

De erbjuder alltså HSTS-fältet men sätter värdet till 0? Antagligen planerar de att inte använda HTTPS eller vet de inte hur man konfigurerar webbservar. Oh just det, om du manuellt vill lägga till HSTS för Comviq.se i Chrome så kommer värdet att tas bort eftersom Comviq.se skickar värdet 0 med varje request!

Skyddet av kakor är bristande



Comviq.se gillar att ge bort kakor, tydligen väldigt mycket. Den enda kakan som håller en kund inloggad är .AspNet.ApplicationCookie och den kommer inte med Secure-fältet i Set-Cookie. Detta innebär alltså, i kombination med max-age=0 att det är relativt enkelt att utföra en Man-in-the-middle attack på Comviq-användare för att sedan sno klientens kakor så att man kan logga in och när man väl är inloggad så, ja, då har ju hackern mycket metadata i fel händer.


Detta är rätt så illa. Det som jag anser är problematiskt är att så pass mycket (meta)data ligger lagrad relativt dåligt. jag tycker absolut att Comviq.se bör införa om det ska vara valfritt att spara all denna samtalsinformation på hemsidan eller inte.

Det är inte på fråga om Comviq får spara denna data för det får dem, men det berättigar inte att dem valt att göra det. Givetvis bör man skydda känslig data så gott det går, men man bör även minimera värdet på datan så mycket det bara går.

Kommer jag byta teleoperatör? Ja.