Gute Idee...
Bike-Sharing - eine gute Idee. Anbieter gibt's mittlerweile viele, insbesondere in Berlin.
Wir haben uns für
Lidl-Bike entschieden -
eine Marke der Deutsche Bahn Connect GmbH.
Seriöser Name, dachte ich, schick gemacht Website, und vor allen Dingen sind viele (!) Räder überall in der Stadt verfügbar.
Soweit super.
Dann schnell
registriert...
... netter Anfang...
Tarif auswählen - wobei die Unterschiede zwischen
den vier Optionen leider unklar bleiben:
Naja, nehmen wir mal Basis... Jetzt Name, Adresse
Email + Kontaktdaten angegeben, inklusive Zahlungsdaten.
Kein Kennwort. Aber Zahlungsdaten?
Naja, ich will ein Fahrrad mieten, und zwar sofort. Also - meine Kreditkarte
angegeben.
Dann folgt ein freundliches: "Danke für Ihre Registrierung - Sie erhalten eine Mail."
... Security? Scheint nicht nötig!
Ja, Mail + SMS erhalte ich pronto.
Und in der Mail steht, im Klartext (!!) ein für mich erzeugtes Passwort.
In der Mail. Ein Klartext-Passwort.
2017. Da sollte jeder Softwerker schon mal was von Security gehört haben. Insbesondere,
keine Passworte per Mail zu versenden. Schon gar nicht an nicht-verifizierte Adressen.
Und schon überhaupt gar nicht inklusive aller weiteren Informationen, die ein Angreifer
zum Kapern von Accounts benötigt.
Peinlich + gefährlich
Wer diesen Onboarding-Prozess konzipiert respektive entwickelt hat, benötigt dringend Nachhilfe in Sachen Security. Die beteiligten Dienstleister (die sich auf der Lidl-Bike
Website auch noch kräftig selbst loben) haben sich damit gründlich disqualifiziert.
Aber die Räder sind prima, Verleih- und Rückgabeprozesse großartig, und Berlin ist bei
schönem Wetter eine tolle Stadt.
tl;dr
Lidl-Bike verschickt beim Onboarding Passworte plus Kundennummer im Klartext an nicht-verifizierte Mailadressen. Finde ich nicht gut - Angreifer könnten damit den neu
angelegten Account
kapern.
