Skånetrafiken läckte resenärers lösenord med nya mobilapplikationen

Som nedflyttad Göteborgare som är van med Västtrafiks hutlösa priser och värdelösa appar så finner jag Skånetrafikens "nya" app fantastiskt bra och med helt rimlig prissättning. Ni som är så negativa, varför är det så?

Bransch praxis är att aldrig logga känslig information, oavsett hur värdefullt detr eftersom sådana här saker kan inträffa, mänskliga faktorn ska inte underskattas. Det och att i utvecklingen av själva funktionen så har redan utvecklarna källkoden och kan göra sina analyser därefter (se lösenord osv).

Men som sagt, sådant kan hända även dem bästa (se Twitter för exempel) men att hålla tyst om det är dåligt gjort. Lite irriterande kunder som måste byta lösenord är bättre än att mörka allt och sedan få misstroende från dem flesta.

Problemet är att gräset är alltid grönare på andra sidan, eller det ser så ut.
Tåg är ofta sena, lika så bussar. Det tas inte i beräkning att trafik (speciellt rusningstrafik) kan påverka tiderna och att tiderna för bussar alltid har varit ungefärliga och inte satta i sten. Det är lättare att klaga med andra ord.
Sen har ju Trafikverket hand om alla tågspår, underhållning och planering av när och vilket tåg går vart. Så Skånetrafiken kan ofta inte göra något åt det, men får skiten oavsett. Sen är dem inte helt felfria, men sådant är läget tyvärr.

Skickades från m.sweclockers.com

I ett riktigt system så kan ingen läsa lösenorden. Att logga lösenord i klartext är ganska urbota korkat.

Lösenord + salt -> hash

Varje gång man loggar in körs lösenord och salt genom hashfunktionen och så jämför man att hashet stämmer överens med det som finns sparat i databasen.

Exempel:
grankottebanan + jwefu23 (unikt salt) -> 8743b52063cd84097a65d1633f5c74f5

Ifall en anfallare kan komma åt hela databasen är det inte lika lätt att skydda lösenorden. Med snabba grafikkort så kan man på några timmar lösa ut ett lösenord.

Genom att peppra lösenorden kan man även skydda dem i det fall att anfallaren kommer åt databasen. Peppar är applikationsbundet medan saltet och hashet finns sparade i databasen. Finns flera implementationer av peppar men meningen är att göra det svårt om inte omöjligt att få fram det riktiga lösenordet, även om man har tillgång till databasen.

Skånetrafiken har alltid varit bra på att bryta mot lagar och bete sig som jag vet inte vad. Ett utmärkt exempel är när dom uppfann regeln att kontantkortens innehåll skulle tömmas efter 12 mån. Två år senare brainstormade en tjänsteman och kom på att: det är olagligt att stjäla folk pengar(!). Han behövde nog sjukskrivas för utbrändhet efter det. I ren panik startade Skånetrafiken en återbetalningskampanj för att VD:n och styrelsen (diverse lokalpolitiker) inte skulle få näringsförbud och fängelsestraff. Ännu en dag i Skånetrafikens värld. Att kolla lagar/regler med en jurist kostar bara pengar - så man fortsätter att hoppa mellan katastrofer.