Jag försökte nyss logga in på apoteket.se för att kolla ett e-recept.   Det är en rätt praktisk tjänst, om än trög, omodern och allt annat än användarvänlig.   För det mesta fungerar den, men idag ville den inte veta av mig.

Inloggningen såg annorlunda ut än den gjorde senast jag besökte sajten.   Inte bara annorlunda, den gjorde mig rätt misstänksam.

Apoteket BankID

Jag ville alltså logga in hos Apoteket, men hamnade på en obegriplig URL som påminner om dem man hittar i spamfolderns phishingmail.  Domänen heter funktionstjanster.se men vad har den med Apoteket att göra?   Ja, det står ”Apoteket AB” längst ned men ett företagsnamn är det första en scammare ordnar på sin phishingsida och det ger mig alltså ingen anledning att lita på sidan.  Det finns ett certifikat men det innehåller ingen organisationsinfo så min varningsflagga åker upp ett snäpp till.   Ett whois-uppslag av domännamnet ger mig två ledtrådar (här vill jag varna känsliga läsare):  ”wmdata” och ”logica”.

Jag suckar för mig själv och funderar på att sänka varningsflaggan men det visade sig att den självantänt och brunnit upp.  Nåja, jag känner mig våghalsig och klickar mig vidare.  Jag menar, hur illa kan det vara?

Apoteket BankID

Men guuud så roligt, ytterligare en helt okänd domän!  Inte heller denna har någon vettig information i sitt certifikat (som är utfärdat av GoDaddy, ett företag som är mer känt för jakt på utrotningshotade djur än för IT-säkerhet).    Ok, sedan var det förstås den lilla detaljen att sidan ger en java exception istället för att ta mig till mina recept, men ytterligare en whois-slagning förklarar den saken.  Det här är nämligen också en sajt från Logica.

Här hämtar jag en kopp kaffe och börjar om från början, denna gång i en annan browser.  Det tog mig lite längre, den här gången kom jag faktiskt hela vägen till den sajt jag ville besöka från början.

Apoteket BankID

Här dunkar jag huvet i tangentbordet några gånger och bestämmer mig för att vänta tills mitt lokala apotek öppnar och promenera dit istället.   De brukar nämligen kunna svara på frågor och ge service.

 

Men allvarligt talat, hur i all världen kan något vara så här fruktansvärt genomuselt?  Hur kan någon ha beställt den här lösningen och godkänt leveransen utan att få sparken efteråt?  Även om jag tar på mig min allra välvilligaste min så kan jag på sin höjd ha överseende med de två felsidorna, kanske pågick något systemarbete.   Kanske hade någon haft sönder Logicas känsliga system genom att logga in på en öppen Telnetport, vad vet jag.

BankID är en säkerhetslösning.   Den huvudsakliga funktionen är att identifiera användaren, i det här fallet att ingen annan än jag ska kunna kika på mina recept.   Men, för att en säkerhetslösning ska fungera måste faktiskt båda parter ha förtroende för den.  I det här fallet är mitt förtroende för Apotekets lösning obefintlig.   Att tvingas logga in på en sajt med okänd innehavare är inte ok.  Inte någonsin.

Att Logica ens levererar en sån här lösning säger en del om hur lite de förstår säkerhet i allmänhet och säkerhet på nätet i synnerhet.    Det är så många fel här att jag inte vet var jag ska börja, tyvärr har det blivit torsdag och jag har inte hela helgen på mig.

 

Fotnot 1)  Företaget som tidigare var känt hette då WM-Data.  Sedan blev de Logica som är mest kända för att de släpper in obehöriga användare i sina system.   Numera tror jag att de kallar sig CGI.  De kan iofs ha hunnit byta namn igen medan jag skrev den här fotnoten.

Fotnot 2)   Den här skärmdumpen kan jag inte låta bli att dela med mig av.

BankID Funktionstjänster

”Välj önskad tjänst”.   Vad bilden föreställer kan jag inte ens gissa mig till.   Den får mig att tänka på koax-nätverk men de flesta av oss slutade använda såna under förra millenniet.  Den var inte heller klickbar, däremot gick det bra att klicka på ”Logga ut” och det gjorde jag.

Fotnot 3)  Nä, jag kan egentligen inte ha överseende med de där felsidorna men jag försökte tänka lite positivt.