17 September 2017

Wie man Onboarding NICHT machen sollte

Gute Idee...

Bike-Sharing - eine gute Idee. Anbieter gibt's mittlerweile viele, insbesondere in Berlin. Wir haben uns für Lidl-Bike entschieden - eine Marke der Deutsche Bahn Connect GmbH. Seriöser Name, dachte ich, schick gemacht Website, und vor allen Dingen sind viele (!) Räder überall in der Stadt verfügbar. Soweit super. Dann schnell registriert...

... netter Anfang...

Tarif auswählen - wobei die Unterschiede zwischen den vier Optionen leider unklar bleiben: NewImage Naja, nehmen wir mal Basis... Jetzt Name, Adresse Email + Kontaktdaten angegeben, inklusive Zahlungsdaten. Kein Kennwort. Aber Zahlungsdaten? Naja, ich will ein Fahrrad mieten, und zwar sofort. Also - meine Kreditkarte angegeben. Dann folgt ein freundliches: "Danke für Ihre Registrierung - Sie erhalten eine Mail."

... Security? Scheint nicht nötig!

Ja, Mail + SMS erhalte ich pronto. Und in der Mail steht, im Klartext (!!) ein für mich erzeugtes Passwort. In der Mail. Ein Klartext-Passwort. 2017. Da sollte jeder Softwerker schon mal was von Security gehört haben. Insbesondere, keine Passworte per Mail zu versenden. Schon gar nicht an nicht-verifizierte Adressen. Und schon überhaupt gar nicht inklusive aller weiteren Informationen, die ein Angreifer zum Kapern von Accounts benötigt.

Peinlich + gefährlich

Wer diesen Onboarding-Prozess konzipiert respektive entwickelt hat, benötigt dringend Nachhilfe in Sachen Security. Die beteiligten Dienstleister (die sich auf der Lidl-Bike Website auch noch kräftig selbst loben) haben sich damit gründlich disqualifiziert. Aber die Räder sind prima, Verleih- und Rückgabeprozesse großartig, und Berlin ist bei schönem Wetter eine tolle Stadt.

tl;dr

Lidl-Bike verschickt beim Onboarding Passworte plus Kundennummer im Klartext an nicht-verifizierte Mailadressen. Finde ich nicht gut - Angreifer könnten damit den neu angelegten Account kapern.

No comments: