Skånetrafiken läckte resenärers lösenord med nya mobilapplikationen

Permalänk
Melding Plague

Skånetrafiken läckte resenärers lösenord med nya mobilapplikationen

Tusentals användare kan ha fått sina lösenord röjda. Detta efter att Skånetrafikens av misstag lagrade inloggningsuppgifterna i loggfilen för sin nya mobilapplikation.

Läs hela artikeln här

Visa signatur

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa kan leda till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Permalänk
Medlem

"Av misstag" lagrades uppgifterna. Ok. Jag tror aldrig att användaruppgifter lagras av misstag, sånt säljs för $$$.

Visa signatur

Ryzen 5 1600, Gigabyte 1070, MSI B350M MORTAR, Crucial 16GB, Samsung EVO 500GB, Define Mini C, Corsair RM550x (╯°□°)╯​︵ ┻━┻

Permalänk
Medlem

Here we go again...

Permalänk
Medlem

Värdelös ursäkt, Skånetrafiken får nog sparka IT-ansvarig samt PR-ansvarig.

Visa signatur

Ryzen 5600x (Noctua NH-D15) || Kingston Fury 32GB 3600MHz
ASUS Prime X470 PRO || ASUS GeForce RTX 3080 Tuf OC
Fractal Design Define S (6x chassifläktar) || Corsair RM750X v2
FURY Renegade 2TB || WD Blue 1TB M.2 || LG C2 42" + XB271HUA

Permalänk
99:e percentilen

Det finns ganska coola skyddsmekanismer mot den här typen av misstag som kan implementeras inom ramen för statisk typcheckning: Att använda data som på typnivå markerats som konfidentiell (lösenord) i en kontext ej explicit markerad som sådan (loggen) kan faktiskt göras till ett kompileringsfel! Tyvärr ligger "vanliga" språk och hur programmering görs i praktiken ofta långt efter forskningen på området (vilket inte är så konstigt).

Visa signatur

Skrivet med hjälp av Better SweClockers

Permalänk
Medlem

En intressant fråga som ej verkar ha kommit upp är om lösenordet skrevs i klartext i loggarna ? De säger att de inte sparar lösenordet i klartext i systemen men nämner ej att desamma gäller i loggarna.

Visa signatur

Intel 9600k - 1080Ti - 32gb ram
AMD Threadripper 1920x - Asus GTX 1070 - 48gb ram
Intel 5820k - MSI GTX 1070 - 16gb ram

Permalänk
Medlem

Låt mig gissa... Konsultutvecklat..

Visa signatur

-- FubbHead

Permalänk
Medlem
Skrivet av Marticus:

"Av misstag" lagrades uppgifterna. Ok. Jag tror aldrig att användaruppgifter lagras av misstag, sånt säljs för $$$.

Läs artikeln.

Permalänk
Inaktiv

Bättre ta det säkra före det osäkra och flytta från Skåne än att bara byta lösenord.

Skrivet av FubbHead:

Låt mig gissa... Konsultutvecklat..

Det finns inget säkrare än system utvecklat av en intern hustomte, som använder tekniker som hade ett bäst före datum på runt 1970. Jag gissar på att det i detta fall var inhouse-jobb gjort av de folkvalda i kommunalhuset.

Angående inhouse-tekniker så har jag sett allt möjligt, som billiga nas för 1500kr där de tror att datan är säkert för de har en bra backup genom raid 1.

Permalänk
Medlem
Skrivet av anon159643:

Bättre ta det säkra före det osäkra och flytta från Skåne.

Det var ju ganska onödigt sagt av dig

Visa signatur

Stationär: RTX 4090 OC ASUS | Ryzen 9 5950X | G.Skill Trident Z NEO 3600mhz 32GB | Arctic Liquid Freezer III 360 | Corsair HX1000i | Asus Rog Strix X570-F Gaming | Samsung 990 PRO 2TB | Samsung 980 PRO 2TB | Fractal Design North XL

Jobbdator: MacBook Pro 16" i7 6C, 16GB ram DDR4, AMD Radeon Pro 5300M 4GB

Permalänk
Inaktiv
Skrivet av klotim:

Det var ju ganska onödigt sagt av dig

Jag förtydligade mitt inlägg. Men att flytta minskar risken att utsättas för denna app.

Permalänk
Medlem
Skrivet av dlq84:

Läs artikeln.

har läst den, står fast vid min kommentar.

Visa signatur

Ryzen 5 1600, Gigabyte 1070, MSI B350M MORTAR, Crucial 16GB, Samsung EVO 500GB, Define Mini C, Corsair RM550x (╯°□°)╯​︵ ┻━┻

Permalänk
Avstängd

Oj! Nu får de en till ursäkt att öka priserna!

Tro inte ni får nån ersättning av de, tvärtom..

Visa signatur

-Stäng av snabbstart i ditt Windows.

Permalänk
Inaktiv
Skrivet av Marticus:

har läst den, står fast vid min kommentar.

Du menar alltså att ett så stort företag som Skånetrafiken skulle sälja lite lösenord vid sidan av...?

Permalänk
Avstängd
Skrivet av anon287298:

Du menar alltså att ett så stort företag som Skånetrafiken skulle sälja lite lösenord vid sidan av...?

Vem vet..kanske en ''mullvad'' som ville tjäna lite extraknäck

Visa signatur

-Stäng av snabbstart i ditt Windows.

Permalänk
Medlem
Skrivet av anon287298:

Du menar alltså att ett så stort företag som Skånetrafiken skulle sälja lite lösenord vid sidan av...?

"Ett sommarkort och 3000 lösenord tack."

Permalänk
Medlem
Skrivet av anon287298:

Du menar alltså att ett så stort företag som Skånetrafiken skulle sälja lite lösenord vid sidan av...?

Storleken på företaget har ingen som helst betydelse. Vidare så ja, jag tror att det är vanligt att användares data säljs "vid sidan av", oavsett om det görs av skånetrafiken eller Facebook. Tror du att sånt inte görs alltså?

Skickades från m.sweclockers.com

Visa signatur

Ryzen 5 1600, Gigabyte 1070, MSI B350M MORTAR, Crucial 16GB, Samsung EVO 500GB, Define Mini C, Corsair RM550x (╯°□°)╯​︵ ┻━┻

Permalänk
Inaktiv
Skrivet av Marticus:

Storleken på företaget har ingen som helst betydelse. Vidare så ja, jag tror att det är vanligt att användares data säljs "vid sidan av", oavsett om det görs av skånetrafiken eller Facebook. Tror du att sånt inte görs alltså?

Skickades från m.sweclockers.com

Det är väldigt stor skillnad på data och lösenord. Facebook säljer inte lösenord. Klart storleken på företaget och hur stor läckan är har betydelse, varför skulle ett företag med så stor omsättning vara intresserade av små summor, som dessutom förstör bolagets anseende ganska grovt om det läcks ut?

Permalänk
Medlem
Skrivet av anon287298:

Det är väldigt stor skillnad på data och lösenord. Facebook säljer inte lösenord. Klart storleken på företaget och hur stor läckan är har betydelse, varför skulle ett företag med så stor omsättning vara intresserade av små summor, som dessutom förstör bolagets anseende ganska grovt om det läcks ut?

Lösenord är data och data innefattar också massor av andra uppgifter. Facebook cashar in annonspengar för precis all data om sina användare och kallar det för "dataläckor" när dom blir påkomna, sen får dom hetta ett tag för "misstaget" och sedan går tiden vidare. Det är samma visa för massor av företag och i mina ögon är ingen moraliskt immun mot en sådan gärning, inte heller skånetrafiken.

Skickades från m.sweclockers.com

Visa signatur

Ryzen 5 1600, Gigabyte 1070, MSI B350M MORTAR, Crucial 16GB, Samsung EVO 500GB, Define Mini C, Corsair RM550x (╯°□°)╯​︵ ┻━┻

Permalänk
Medlem

Nån som är förvånad?

Visa signatur

Min dator är Cat-säker.
Hakuna Matata

Permalänk
Medlem

Inte ett dugg förvånad, det är trots allt Skånetrafiken det gäller.

Visa signatur

11600K@5.1 GHz + 32GB Corsair Vengeance RGB PRO 3200@3400 MHz + MSI RTX 2080 Super Gaming X Trio +
WDC Blue SN550 1TB + Black OEM SN730 500GB + Kingston A1000 480GB + A2000 500GB + NV2 1TB + 2TB R10 + RGB most of THE THINGS! + Corsair 4000D Airflow + 2*ZyXEL NSA326 2*3TB @ R1 + Netgear RN2100 4*3TB @ R10 + RN204 4*4TB @ R5 + Synology DS216j 2*4TB @ SHR R1 + DS418 4*8TB @ SHR R6
| tmp: R5 3600@4.2 GHz + 32GB 2666@3066MHz + 1060 6GB@2100/4500MHz + 1 TB NV2 & 512GB SN730

Permalänk
Hedersmedlem
Skrivet av Alling:

Det finns ganska coola skyddsmekanismer mot den här typen av misstag som kan implementeras inom ramen för statisk typcheckning: Att använda data som på typnivå markerats som konfidentiell (lösenord) i en kontext ej explicit markerad som sådan (loggen) kan faktiskt göras till ett kompileringsfel! Tyvärr ligger "vanliga" språk och hur programmering görs i praktiken ofta långt efter forskningen på området (vilket inte är så konstigt).

Detta finns faktiskt i PowerShell (SecureString), och det är lite av ett gissel

Permalänk
Medlem
Skrivet av frong:

Värdelös ursäkt, Skånetrafiken får nog sparka IT-ansvarig samt PR-ansvarig.

Skånetrafiken är så värdelösa så dom 2 är förmodligen dom mest kompetenta där!

Skrivet av ZaInT:

Inte ett dugg förvånad, det är trots allt Skånetrafiken det gäller.

I second that!

Visa signatur

XFX Radeon RX 7700 XT Speedster QICK 319 Black Edition | AMD Ryzen R7 5700X | Noctua NH-D15 | Asus TUF Gaming B550-Plus | Kingston Fury Beast DDR4 3600MHz 4x8GB | Samsung 990 Pro 1TB | Corsair HX1000i | Fractal Design Define S | LG 27GL83A | Corsair K95 Platinum | Corsair Sabre RGB PRO Wireless | Corsair Void Elite Wireless

Permalänk
99:e percentilen
Skrivet av pv2b:

Detta finns faktiskt i PowerShell (SecureString), och det är lite av ett gissel

Aha! Det blir coolt på riktigt när man kan ha typer som är polymorfiska både i det faktiska innehållet och även i konfidentialitetsstrukturen. Med en sådan parametriserad typ kan man skapa vilka säkerhetsnivåer man vill och markera vilka data som helst med dem. Då kan man till exempel ha att för varje typ a (t ex Int, String, …) är Public a, Confidential a och TopSecret a tre olika typer, sådana att värden i Public a kan användas i en Confidential- eller TopSecret-typad kontext, men inte åt andra hållet.

Då skulle till exempel System.out.println eller console.log konceptuellt ha typen Public String → void.

Visa signatur

Skrivet med hjälp av Better SweClockers

Permalänk
Hedersmedlem
Skrivet av Alling:

Aha! Det blir coolt på riktigt när man kan ha typer som är polymorfiska både i det faktiska innehållet och även i konfidentialitetsstrukturen. Med en sådan parametriserad typ kan man skapa vilka säkerhetsnivåer man vill och markera vilka data som helst med dem. Då kan man till exempel ha att för varje typ a (t ex Int, String, …) är Public a, Confidential a och TopSecret a tre olika typer, sådana att värden i Public a kan användas i en Confidential- eller TopSecret-typad kontext, men inte åt andra hållet.

Då skulle till exempel System.out.println eller console.log konceptuellt ha typen Public String → void.

Fullt så bra är det inte.

Dessutom hade jag lite fel, det är inte en PowerShell-grej, det är en .NET-grej. Här kan du förkovra dig lite:

https://docs.microsoft.com/en-us/dotnet/api/system.security.s...

Fokus verkar ligga på att inte lagra känsliga strängar i klartext i minne snarre än något annat.

Permalänk
Medlem

Vilken tur att det inte hände i Sverige

Skickades från m.sweclockers.com

Permalänk
99:e percentilen
Skrivet av pv2b:

Fullt så bra är det inte.

Dessutom hade jag lite fel, det är inte en PowerShell-grej, det är en .NET-grej. Här kan du förkovra dig lite:

https://docs.microsoft.com/en-us/dotnet/api/system.security.s...

Fokus verkar ligga på att inte lagra känsliga strängar i klartext i minne snarre än något annat.

OK, ja jag har ingen aning om SecureString eller .NET i allmänhet. Mina exempel kommer från implementationer i Haskell.

Visa signatur

Skrivet med hjälp av Better SweClockers

Permalänk
Medlem

Och därför en bra anledning att använda lösenordshanterare!

Skrivet av ZaInT:

Inte ett dugg förvånad, det är trots allt Skånetrafiken det gäller.

Nu är det ju dock en konsultbolag som utvecklat applikationen, känner folk där.. Men Skånetrafiken bör ändå hamna i skottgluggen då de skulle återställt lösenorden direkt och meddelat sina användare. Förstår inte varför man ska ha "interna diskussioner" i flera månader. Visst några kunder lär bli irriterade men hellre det än förbannade och skadat rykte för företaget. Om Skånetrafiken hade meddelat sina kunder kunde det ju gett bra pr, att folk känner sig trygga att Skånetrafiken tar ansvar.

Permalänk
Avstängd

**bort /mod**

Känns som inget man har är speciellt säkert, flera av mina emails och andra konton blir attackerade konstant även sånt jag inte använt på flera år.

§1
Permalänk
Hedersmedlem
Skrivet av Baxtex:

Och därför en bra anledning att använda lösenordshanterare!

Nu är det ju dock en konsultbolag som utvecklat applikationen, känner folk där.. Men Skånetrafiken bör ändå hamna i skottgluggen då de skulle återställt lösenorden direkt och meddelat sina användare. Förstår inte varför man ska ha "interna diskussioner" i flera månader. Visst några kunder lär bli irriterade men hellre det än förbannade och skadat rykte för företaget. Om Skånetrafiken hade meddelat sina kunder kunde det ju gett bra pr, att folk känner sig trygga att Skånetrafiken tar ansvar.

Om de haft "interna diskussioner" om detta i flera månader så har de brutit mot GDPR. Såna här informationsläckor måste rapporteras inom 72 timmar.