Nyheten om at Cimber Sterling-ansatte har kjøpt opp brorparten av Norwegians 1 kronesbilletter på premiereflygingen mellom København og Karup, og at de fortsatte med det etter at nyheten om det første stuntet ble kjent, er oppsiktsvekkende. Og trist. Ikke bare har Cimberansatte «faket» bestillinger i oppdiktede og kreative navn, men de har også foretatt bestillinger i navnet til høyst eksisterende personer, i tillegg til å kjøpe billetter egen navn. Felles for alle kategoriene: No-show. Ingen møtte. Av 148 seter stod 88 tomme.
Luftfarten har utfordringer og problemer. Når ledelse og ansatte i et flyselskap framtrer som en bøling fnisende blåruss gjør det situasjonen ikke bedre. Deres fullstendige hodeløse oppførsel kaster dessverre skygger over hele bransjen og den konkurransen mellom aktørene vi alle ønsker. I tillegg til at man snøt seriøse reisende for muligheten til en svært rimelig flytur.
Jeg forventer at styret i Cimber Sterling lar hoder rulle.
Kjøpsaksjonen har definitivt noen svakheter i forretningsetikk.
Men jeg syns det var faktisk moro å se på fra en data- og sikkerhetsforskers syn.
Lå meg forklare dette for alle leserne tror at jeg er synisk.
Problemet – ved siden av ettikk – var at nettsiden og datasystemer som solgte billettene var ikke i stand til å kjenne hva det er som skjedde da billettene blitt kjøpt på samme kredittkort med mange forskellige navn på.
Datasystemer som håndterer kundeidentiteter på nett heter identitetsforvaltningssystemer. Vi alle bruker disse, fra Facebook (e-post-adresse, passord) opp til mer avanserte systemer som BankID eller digitale signaturer. Alle disse eID-systemene tilbyr forskellige sikekrhetsnivåer med hensikt til forfalskning av IDer, ID-tyveri, og potensjal til bedrageri. Og de har forskellige prislapp for nettsider som bruker disse.
Tilbake til hva det var som var moro i billettkjøpssaken.
Moro var at en flyselskap faktisk fikk smake sin egen medisin. Bruk av kredittkort (som er en veldig billig o usikker e-ID) til identifisering og autentisering er en transaksjon som er utsatt for ID-tyveri og bedrageri. Det trengs sikekrhetsmekanismer for å beskytte kundene, databasen og flyselskap.
Hva vi så i denne historien var at – help åpenbart – den fins nesten ingen sikkerhetsmekanismer på selgersiden. For vanlig er det kundene som blir offer til kredittkortbedrageri hvis kortet til kunden blir misbrukt mot slik salgssystemer med liten sikkerhet.
Det betyr at billettsalgssystem faktisk utsetter kundene sinde for en stort potential for kortbedrageri, uten at systemet sjekker det.
For moros skyld var det denne gangen selgeren som var offer til sin egene svakheter i eID- og kredittkorthåndtering – og ikke kundene. Det skier ikke ofte, ikke minst med så mye offentliggjøring av historien.
eID-systemene trenger en helhetlig sikkerhetsanalyse som ser på kundenes interesser (sikkerhet, personvern) sammen med selgerinteressene. Hvis analysen er ikke gjørt, så blir systemet sårbar, og har potential til å skade kundene og næringsliv.
Kjøpsaksjon var ikke god forretningsmoral – men er det drift av nettløsninger som gjør det så enkelt å kjøre bedrageri på nett?
Mvh
Lothar