Ingen kundtjänst ska be om lösenord

För några veckor sedan tipsade en medlem i Säkerhetsbubblan om ett felaktigt hanterat kundtjänstärende. Han hade varit i kontakt med en av de stora svenska internet- och mobiloperatörerna för att få hjälp med sitt e-postkonto. Vid upprepade tillfällen hade kundtjänstpersonalen då bett om att få hans lösenord.

Ingen kundtjänstmedarbetare ska under några omständigheter be om att få en kunds inloggningsuppgifter. Kundtjänstmedarbetare ska aldrig heller be om att bli inloggad via Bank-ID. Ifall så sker agerar kundtjänstmedarbetaren som om han eller hon vore kunden i fråga och med exakt samma rättigheter. I alla loggar ser det också ut som att det är kunden själv som gör eventuella ändringar, inte kundtjänstmedarbetaren.

Varning! Att logga in någon annan via Mobilt Bank-ID är som att låna ut sin legitimation.

Kundtjänstmedarbetare borde aldrig behöva åtkomst till enskilda kunders konton. Alla kundkontoinställningar som kundtjänstmedarbetarna har rätt att ändra ska de kunna uppdatera från sina egna konton i det bakomliggande administrationssystemet. Om de saknar möjlighet att göra en ändring så är det för att de inte har rättigheterna som krävs.

I och med att internet- och mobiloperatören i fråga hade bett om att få lösenord flera gånger tog vi kontakt med deras pressavdelning. De tackade för att vi uppmärksammat dem om problemet och svarade följande.

Vi har undersökt frågan och uppmärksammat att våra rutiner inte varit tillräckligt tydliga vad gäller att kundtjänstpersonal aldrig ska be kunder om inloggningsuppgifter. Vi arbetar därför på att uppdatera de aktuella rutinerna. Kundtjänstpersonal behöver inte tillgång till kunders inloggningsuppgifter för att göra felsökning, då man har tillgång till testkonton och andra felsökningsverktyg.

Svar från operatörens pressavdelning

Mot denna bakgrund ser vi ingen anledning att publicera vilken operatören i fråga var. Med denna artikel vill vi enbart påminna alla läsare om att aldrig låta någon annan logga in i ens eget namn.

Bonusinfo om Nikka Systems Academy

På Nikka Systems Academy behöver vi aldrig logga in på våra användares konton. Ifall de vill ha hjälp med att ändra en inställning kan vi sköta det från administrationssystemet. Användarnas respektive gruppledare kan också ändra utvalda inställningar åt sina gruppmedlemmar från gruppadministrationssidorna.