Här om kvällen var jag sugen på ett nytt datorspel, som erbjuds via den nya Steam-utmanaren Epic Games Store. Dags att skapa ännu ett konto, alltså. Tyvärr var detta inte möjligt – min e-postadress hade redan tagits i bruk av användaren "Ican Icanaw" från Thailand. Jag valde "återställ lösenord" och fick för första gången ett mejl av Epic Games Store, varpå jag kunde återställa ordningen.

En snabb sökning på det exotiska namn som stod skrivet på "mitt" konto avslöjade att ett stort antal Epic Games-användare råkat ut för samma sak när de skulle registrera sig. Problemet har varit känt i flera månader. Ursinnig mejlade jag supporten och frågade hur man 2019 kan erbjuda en tjänst som inte ens kräver verifiering per e-post när ett nytt konto skapas. Det enda svar jag fick var "Ska vi ta bort kontot?"

Sedan följde det klassiska mejlandet fram och tillbaka för att återställa kontot, men något svar på min fråga fick jag aldrig. Snacka om säkerhetsmässigt haveri – och då hos en tjänst som knappt funnits i ett halvår.

Den natten somnade jag i vredesmod. Tänkte på den gången mitt Spotify-konto kapades och förövaren utan någon som helst verifieringsåtgärd lyckades ändra den kopplade e-postadressen – vilket ledde till en energislukande återställningsprocess ihop med den förvisso hjälpsamma Spotify-supporten. Eller varför inte den gång mitt Minecraft-konto blev norpat och sedan flyttat långt bortom horisonten utan det minsta godkännande från min sida?

Jag tänkte också på den gången när jag hängde i en solig vingård i Italien och Netflix glatt mejlade ut att "nu har någon loggat in på ditt konto från tjottahejti". Loggade själv in snabbt som attan, använde funktionen Logga ut från alla enheter och bytte lösenord – så den gången blev resultatet lyckligtvis bara en Amarone-infuserad adrenalinkick mitt i djupaste Valpolicella.

Det här är för dåligt. E-postadresser, användarnamn och gamla lösenord läcker för jämnan, och att bara skydda inloggningar med ett enda säkerhetssteg (om ens det) borde vara förbjudet. Det spelar ingen roll att konton på tjänster som Netflix och Spotify är mindre kritiska att bli av med. Det spelar ingen roll att kreditkortsuppgifter skyddas och att du inte löper någon risk för id-kapning eller finansiell skada när ditt konto kapas.

Det handlar om signaler. Att underhållningsjättarna inte ens vidtar de mest grundläggande säkerhetsåtgärder för att spara på betalande användares tid och energi är respektlöst. Tvåstegsverifiering är långt ifrån felfritt, men skulle ändå göra stor skillnad. Kontoverifiering per e-post är en annan sak som verkligen bara måste finnas på plats innan man lanserar en tjänst i vårt årtusende.

Ta hand om era användare. Vi betalar faktiskt för att få nyttja era tjänster, och de tar inte sällan en stor plats i vår mediekonsumtion. Är man stor måste man faktiskt vara snäll.

Bonus-surftips: Sajten twofactorauth.org avslöjar vilka välanvända sajter och tjänster som inte erbjuder skydd i form av tvåstegsverifiering, och har en smidig Twitter-funktion för att uppmana syndarna till bättring.