Intrång hos Foodora – 25 000 svenska konton påverkas

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Nov 2018
Skrivet av mpat:

SMSen syns ju på låsskärmen utan att man låser upp den.

Varför skulle de göra det? Möjligen om man inte hittat hur man stänger av sån skit, men så svårt är det inte.

Moderkort: Gigabyte X570 Aorus Master | CPU: AMD Ryzen R9 3900X | CPU-kylare: Corsair iCue H150i RGB PRO XT | RAM: Corsair Vengeance 32 GB (4x8) DDR4-3000 CL15 LPX | GPU: Palit RTX 2080 Ti 11 GB GamingPro OC | SSD: Samsung 970 EVO Plus 1 TB NVMe + Kingston A400 480 GB + Samsung QVO860 1 TB | PSU: EVGA SuperNOVA G2 1000 W Gold | Chassi: be quiet! Silent Base 801 | Skärm: BenQ PD3200U @ 3840x2160 + ASUS ROG Strix XG32VQ @ 2560x1440 | Tangentbord: Corsair K68 RGB Cherry MX Red | Mus: Logitech MX Master 2S

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jul 2016

Stackars hacker han måste vart hungrig.

Man är inte dum för att man har stavproblem.
Läs mer om min synfel Visual Snow
Om mig ----> #16970666

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2008
Skrivet av loevet:

@Erik_T: det ska tydligen handla om en testserver där de använder den gamla databasen för testsyften.

Dags att sluta använda produktionsdata i testmiljöer! Om man absolut måste så skall de skyddas på exakt samma sätt som i produktionsmiljön, vilket är mycket ovanligt...

Trädvy Permalänk
Medlem
Registrerad
Okt 2015
Skrivet av improwise:

Varför skulle man inte få radera data beroende på GDPR?

Jag var lite kluven på om jag skulle ta med GDPR men hade redan skrivit "två anledningar" (...:D...) på raden ovanför så den fick sitta kvar.
Vad jag menade är att GDPR i det här fallet ställer sig på företagets sida och anpassar sig efter lagen. Lagringsminimeringsprincipen enligt artikel 5.1.E i GDPR säger att man får bara spara uppgifter så länge det är nödvändigt, i en affärsverksamhet kan man bland annat luta sig mot bokföringslagen. Det blir alltså samma uppgifter (personinformation) men i två olika syften. Ena syftet är att kunna leverera en tjänst till en kund, exempelvis matutkörning. Det andra syftet är att Foodora ska uppfylla svensk lagstiftning i form av bokföringslagen. Hade den senare inte funnits skulle således uppgifterna försvunnit direkt efter att leverans och betalning genomförts.

Ett annat exempel är om en medarbetare vill ha särskild kost, säg vegankost. Skulle sedan denna medarbetare sluta måste arbetsgivaren ta bort ej relevant information om sin nu före detta medarbetare, kosten, men spara väsentlig information som kan beröra LAS eller ett arbetsgivarintyg.

Problemet med GDPR är som jag uppfattar det att det saknas fasta övre begränsningar, exempelvis ett auto expire på inaktiva konton som Foodora hade behövt implementera. Det skulle mycket väl kunna krypteras efter 12 månader och kan bara aktiveras genom ett nytt mail. Det blir inte relevant att Stina har en mailadress utan det relevanta i bokföringslagen är att en transaktion har utförts. I mina företag har jag ett HR-system som agerar så här och gråar ut information som inte är relevant efter olika parametrar som vi har satt, exempelvis next of kin försvinner på den anställdes sista arbetsdag medan annat sparas betydligt längre.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jan 2005
Skrivet av Klappa:

Tack för den detaljerade genomgången! Dock undrar jag vad du menar med "Även om det saltet är känt, innebär det att man måste köra om algoritmen på hela ordlistan för just den här bitchen lösenord. ". Vad innebär det och hur lång tid tar det?

Troligen inte om du inte hade konto hos dem år 2016.

TLDR
Hemligt salt: omöjligt att knäcka något lösenord.
Öppet salt unikt för hemsida: lång tid att knäcka långa lösenord.
Öppet salt per individ: Extremt lång tid att knäcka långa lösenord.

Såhär funkar det. Hashning gör att att en sträng översätts till en annan, det är lätt att göra åt ett håll, men omöjligt åt andra. Vad man gör för att knäcka det är egentligen att man testar alla möjliga lösenord ett och ett, och när man hittar samma "översättning" så har man hittat det lösenord man letar efter. Eftersom det tar så lång tid att göra det, så finns alla sådana översättningar online i tabeller (rainbow-tabeller som folk pratar om). Det kan alltså, förenklat, se ut som såhär.

swec -> d0f5d0820c9d94ee6d94a298394f2dc9918e7bd787ddece2fe8a79c8
"correct horse battery staple" -> 636f080709f287ec5c5ea79442fc4bb914924cd5c6ca8ff84e3410c4
6FE^68VJN3pHAT -> 646cc9c3c3a9a381a196c076e58dc893de133dbf077885fac56ec3ce

Saltet är helt enkelt att man lägger till en ganska lång sträng efter lösenordet innan man hashar det. Har man ett salt som är "?2e(~gKst-Zgu.Il9-b=", då blir alltså lösenordet "swec" till "swec?2e(~gKst-Zgu.Il9-b=". Detta är så långt att det är omöjligt att knäcka om man inte vet vilket saltet är. Vet man dock saltet kan man som attackerare såklart ta fram en nå tabell genom att lägga till saltet för varje försök.. Har man ett fast unikt salt i en databas/hemsida (men samma salt för alla användare) så måste man alltså ta fram denna tabell unikt för denna databas/hemsida. Dock när man gjort det har man knäckt alla lösenord. Har man sparat ett unikt slumpgenererat lösenord för varje användare kan man dock inte göra en tabell som funkar för hela hemsidan. Det gör då inte så mycket om detta salt i princip är offentligt, utan attackeraren måste attackera varje användare/lösenord individuellt. Är det ett kort lösenord, eller ett lösenord som i huvudsak består av ord som kan hittas i ordböcker, då går det fort. Är det ex 12 slumpgenererade tecken som är lösenord, då kommer det i princip aldrig knäckas någonsin, i vart fall inte innan kvantdatorernas genombrott.

Ska även sägas att har man ett tillräckligt långt och svårt lösenord så behövs inte ens nåt salt, utan då finns man inte med i tabellerna ändå. Tabellerna kan vara stora, men inte hur stora som helst.

Fractal Design Define R3 | HP ZR24w & Hyundai L90D+ | Corsair HX520W | Asus P8P67 Pro | i5 2500k @ 4,0 | Samsung 850 Evo 500GiB | GTX960 | 16 GB

Trädvy Permalänk
Medlem
Plats
Helsingborg
Registrerad
Dec 2004

@houze: korts sagt läckan har varit känd av foodora länge (sedan januari eller så) och flera personer har fått betalningar till foodora på banken och foodora har bara hanvisat till polis/bank. personen i artikeln blev av med 4800kr sammanlagt, och den artikeln är från en månad sedan, redan då erkände Foodora känna till läckan (på förfrågning) och först nu kommer den "allmänna" nyheten.

och inga åtgärder tog de till under tiden såsom rensa inloggningar och tvinga folk logga in på nytt och skapa nytt lösen och bekräfta email med länk osv, bara lät bovar beställa mat med andras konton verkar det som.

Xeon E5450@3.2ghz
9800GTX+

Trädvy Permalänk
Medlem
Registrerad
Apr 2006
Skrivet av MsSmith:

Jag var lite kluven på om jag skulle ta med GDPR men hade redan skrivit "två anledningar" (...:D...) på raden ovanför så den fick sitta kvar.
Vad jag menade är att GDPR i det här fallet ställer sig på företagets sida och anpassar sig efter lagen. Lagringsminimeringsprincipen enligt artikel 5.1.E i GDPR säger att man får bara spara uppgifter så länge det är nödvändigt, i en affärsverksamhet kan man bland annat luta sig mot bokföringslagen. Det blir alltså samma uppgifter (personinformation) men i två olika syften. Ena syftet är att kunna leverera en tjänst till en kund, exempelvis matutkörning. Det andra syftet är att Foodora ska uppfylla svensk lagstiftning i form av bokföringslagen. Hade den senare inte funnits skulle således uppgifterna försvunnit direkt efter att leverans och betalning genomförts.

Ett annat exempel är om en medarbetare vill ha särskild kost, säg vegankost. Skulle sedan denna medarbetare sluta måste arbetsgivaren ta bort ej relevant information om sin nu före detta medarbetare, kosten, men spara väsentlig information som kan beröra LAS eller ett arbetsgivarintyg.

Problemet med GDPR är som jag uppfattar det att det saknas fasta övre begränsningar, exempelvis ett auto expire på inaktiva konton som Foodora hade behövt implementera. Det skulle mycket väl kunna krypteras efter 12 månader och kan bara aktiveras genom ett nytt mail. Det blir inte relevant att Stina har en mailadress utan det relevanta i bokföringslagen är att en transaktion har utförts. I mina företag har jag ett HR-system som agerar så här och gråar ut information som inte är relevant efter olika parametrar som vi har satt, exempelvis next of kin försvinner på den anställdes sista arbetsdag medan annat sparas betydligt längre.

Problemet är väl att du som jag tolkade det angav GDPR, eller snarare dataskyddsförordningen som det heter i Sverige, som skäl för att inte få ta bort data när det i normalfallet är det omvända. Precis som du nu skriver .

Trädvy Permalänk
Medlem
Plats
Freiburg Tyskland
Registrerad
Jul 2006

Ärligt talat förstår jag inte vitsen med dessa foodora platformer.
Skall jag beställa en Pizza, ringer jag upp italienaren, talar om för han vad jag vill ha och han levererar hem med moppe eller bil. Samma med turken, chinesen och andra. Har aldrig varit nåt problem.
Som jag vet (jag faktiskt frågade) sparar dom dina uppgifter på lappar och slänger dom i sopen när leveransen gjorts. Du kan hämta ochså. Inga bank uppgifter, e-mails, lösenord och annat "hemligt" behövs.
Varför skall man ha en foodora mellan dig och restaurangen? Dom bara blodeglar pengar för att sätta sig mellan dig och restaurangen och ger inget mervärde.

Både när jag bodde i Berlin och nu här på småorten i syd västra Tyskland, har jag aldrig behövt en foodora liknande tjänst för att få fram en kebabtalrik, pizza eller chicken noodlar från chinesen.
Och nu, med denna nyhet om läckta uppgifter, får jag bekräftat att det är bättre att ha så få som möjligt med ställen där man regestrierar sig med personliga uppgifter.

iMac "27" Late 2013

Trädvy Permalänk
Medlem
Registrerad
Feb 2015
Skrivet av Traumklang:

Ärligt talat förstår jag inte vitsen med dessa foodora platformer.
Skall jag beställa en Pizza, ringer jag upp italienaren, talar om för han vad jag vill ha och han levererar hem med moppe eller bil. Samma med turken, chinesen och andra. Har aldrig varit nåt problem.

Finns mängder med matställen som inte levererar själva. Betydligt fler än som erbjuder hemleveranser i egen regi.
Vill du ha mat från någon av dem så får du antingen pallra dig dit, eller beställa via någon som Foodora.

Trädvy Permalänk
Medlem
Plats
Freiburg Tyskland
Registrerad
Jul 2006
Skrivet av Erik_T:

Finns mängder med matställen som inte levererar själva. Betydligt fler än som erbjuder hemleveranser i egen regi.
Vill du ha mat från någon av dem så får du antingen pallra dig dit, eller beställa via någon som Foodora.

Då åker jag hellre dit än att beställa via foodora eller andra liknande företag.
Det kostar mig inte mycket att gå till pizzarian runt hörnan eller slänga mig i bilen och köra till ex. en kinesiskt restaurang.
Folk är alldeles för lat
Men det är ett annat problem och kanske affärsgrunden till varför foodora existerar.

§1 /Kent, moderator

iMac "27" Late 2013

Trädvy Permalänk
Medlem
Registrerad
Jun 2016

Då Foodora e aningen nytt gäller de OnlinePizza konton?

Foodora e väl namnet från nyligen sammanslagning?

Trädvy Permalänk
Medlem
Plats
Örebro
Registrerad
Dec 2010

Det blir sämmre sen när kvant datorer är lite mer utveklade då kommer ju alla lösenord vara värdelösa

BOOT UP OR SHUT UP!

EVGA GTX 980TI 6GB fullcover / i7- 6500K OC 4.6Ghz/ Asus z170 Pro motherboard / G.skill Ripjaws 3000Mhz 16GB /, EVGA Supernova G2 850W PSU/ Fractal Design Define R5 White Windowed /M.2 Samsung 950pro /EKWB Watercooling 240+120mm radiator för GPU&CPU / Corsair K70 RGB / Phillips 27" G-sync+2st 27"AOC .

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Nov 2018
Skrivet av Returtony:

Det blir sämmre sen när kvant datorer är lite mer utveklade då kommer ju alla lösenord vara värdelösa

Nej, så är det inte.

Moderkort: Gigabyte X570 Aorus Master | CPU: AMD Ryzen R9 3900X | CPU-kylare: Corsair iCue H150i RGB PRO XT | RAM: Corsair Vengeance 32 GB (4x8) DDR4-3000 CL15 LPX | GPU: Palit RTX 2080 Ti 11 GB GamingPro OC | SSD: Samsung 970 EVO Plus 1 TB NVMe + Kingston A400 480 GB + Samsung QVO860 1 TB | PSU: EVGA SuperNOVA G2 1000 W Gold | Chassi: be quiet! Silent Base 801 | Skärm: BenQ PD3200U @ 3840x2160 + ASUS ROG Strix XG32VQ @ 2560x1440 | Tangentbord: Corsair K68 RGB Cherry MX Red | Mus: Logitech MX Master 2S

Trädvy Permalänk
Medlem
Plats
Skaune
Registrerad
Okt 2002
Skrivet av mpat:

SMS-verifiering är farligt. Det är inte så svårt att göra en man-in-the-middle på SMS, och har du slagit på det så är det ditt fel om någon snor pengar från ditt kort (dvs, banken ersätter dig inte).

BankID är en helt annan nivå på säkerhet.

I agree.

Skrivet av Lagerlöf:

Räcker att ha bank-ID krav på internetköp så var det enklare löst.

Jag kan vara lite fel ute men kan inte de företag som uteslutande använder sig av Klarna delvis gå förbi det?

Skrivet av orginallinus:

Slutade använda betalkort på nätet, sedan det visade sig att jag varit i London och Paris samma kväll och tydligen köpt en massa Escort-tjänster.

Låter väldigt ogött! Fick du reda på hur/vad som hänt?

🟢 Main: Ryzen7 2700X | Strix x470-I | 32GB | RTX2070S | Samsung C49RG9
🔵 unRaid: Ryzen5 2600 | B450M DS3H | 32GB
🟠 Tfn: OnePlus 6T Thunder Purple

-:| @ eller citera för svar |:-

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2003
Skrivet av mpat:

Det är säkert OK. Mest jag som blir misstänksam att någon har knäckt den för länge sen och spionerar med hjälp av det, som av allt att döma hände med NSA och RC4.

Frågan jag svarade på från början frågade om olika typer, så då nämnde jag några av de vanligaste. Sen kunde jag ju i sammanhanget tänkt på att ta några som används till lösenord, men jag får vill skylla på semesterhjärna.

NSA lär vara mer intresserade av att avlyssna trafik, vilket de inte kan göra genom att knäcka algoritmer för lösenordshashning. Att hitta svagheter eller kollisioner i de vanligare hash-algoritmer är också mer intressant för dem då det i teorin eventuellt skulle kunna ge dem möjligheten att generera falska certifikat, möjligheten att skapa skadliga filer med samma hash som en ofarlig fil, etc.

Ja, att du tog upp de andra algoritmerna som exempel på algoritmer generellt ser jag inget problem med. Det var mest när du specifikt nämnde att SHA3 + salt borde vara lugnt, och därmed specifikt talade om lösenord. Som svar på det ville jag bara förtydliga att det fanns algoritmer som är anpassade för ändamålet.

Antec P280 | Corsair RM750x | ASUS ROG Strix X370-F Gaming | Ryzen 9 3900X | G.Skill Trident Z RGB 3200MHz CL14 @3600MHz CL16 2x16GB | ASUS GTX 1080 Ti Strix Gaming OC | Samsung 970 Pro 1TB | Samsung 860 Pro 1TB | Samsung 850 Pro 1TB | Samsung PM863a 3.84TB | Sound Blaster Z | ASUS PG279Q + QNIX QX2710

Trädvy Permalänk
Medlem
Registrerad
Okt 2016
Skrivet av improwise:

Jag ser ingenting här som stödjer det generella påståendet om att kunden skulle vara utan möjlighet till ersättning om SMS används för 2FA. Grov oaktsamhet lär gälla oavsett metod för 2FA, t.ex. om du har ditt BankID på oskyddade enheter och berättat för andra vad du har för PIN kod till dina BankID osv.

Det är naturligtvis så att om köpet är godkänt med BankID så lär du inte få pengarna tillbaka då heller. Det är bara det att risken att man råkar illa ut med BankID är mycket mindre än med SMS. Brukar du gå runt och berätta koden till BankID för alla du möter? Det finns ingen som kan min kod mer än jag, och den är unik. Dessutom finns det på en pryl, inte alla jag äger. Och då har jag inte ens tagit upp risken att det är ett avancerat angrepp, där någon klonar telefonen (dvs, får ut ett nytt SIM med ditt nummer från sommarjobbaren i närmaste Telia-kiosk).

Trädvy Permalänk
Medlem
Registrerad
Okt 2016
Skrivet av UncleDirty:

Då Foodora e aningen nytt gäller de OnlinePizza konton?

Foodora e väl namnet från nyligen sammanslagning?

Fick faktiskt googla det själv för det var komplext:

Delivery Hero köpte upp OnlinePizza 2012 och Foodora 2015. De har varit samma företag sen dess. Nyligen lade man ner varumärket OnlinePizza och kallar allt Foodora. Hade du konto på OnlinePizza 2016 är det alltså dags att byta lösenord överallt.

Trädvy Permalänk
Medlem
Registrerad
Apr 2006
Skrivet av mpat:

Det är naturligtvis så att om köpet är godkänt med BankID så lär du inte få pengarna tillbaka då heller. Det är bara det att risken att man råkar illa ut med BankID är mycket mindre än med SMS. Brukar du gå runt och berätta koden till BankID för alla du möter? Det finns ingen som kan min kod mer än jag, och den är unik. Dessutom finns det på en pryl, inte alla jag äger. Och då har jag inte ens tagit upp risken att det är ett avancerat angrepp, där någon klonar telefonen (dvs, får ut ett nytt SIM med ditt nummer från sommarjobbaren i närmaste Telia-kiosk).

Så vi kan enas om att nedanstående inte stämmer då och att det inte finns något som säger att banken i normalfallet skulle vägra ersätta bedrägerier för att man använder 2FA via SMS? Att det sen finns generella undantag vid grov oaktsamhet samt att BankID överlag är bland de säkraste lösningarna som finns är väl sant i sig men en annan diskussion.

Skrivet av mpat:

SMS-verifiering är farligt. Det är inte så svårt att göra en man-in-the-middle på SMS, och har du slagit på det så är det ditt fel om någon snor pengar från ditt kort (dvs, banken ersätter dig inte).

Kan tillägga att det jag primärt är ute efter inte är att påvisa att du skulle ha fel utan snarare att inte folk ska oroa sig i onödan för att dom har 2FA via SMS vid kortköp om det nu inte stämmer det som påstås. Skulle det stämma lär jag inte vara den enda som vill veta om det men då behöver vi hitta en källa på det.

Generellt känns det osannolikt att bankerna skulle tillhandahålla ett sätt för verifiering som dom själva anser är så osäkert att dom skulle vägra ersätta drabbade kunder som använde det. Å andra sidan så tog det några år innan bankerna började lita på sina egna BankID:n för autentisering/signering i de egna internetbankerna men ändå erbjöd det för samma sak till externa parter.

Trädvy Permalänk
Medlem
Registrerad
Jul 2020

Jag var så imponerad av foodoras 2FA att jag lade till mitt kreditkort i mitt konto vilket jag inte skulle ha gjort.
Fick en dag en beställning levererad hem till dörren som ingen beställt trots unikt slumpat lösenord och 2FA, fick aldrig något SMS.
Banken eller snarare Eurocard krånglade inte utan betalade tillbaka pengarna.

Det jag inte fattar är varför man lägger en beställning och sedan inte väntar och plockar upp den utan låter den går till mig.

Raderade kontot och kommer nog inte att skapa ett nytt, det finns en pizzeria inom gångavstånd trots allt.
Jag fattar inte hur de bar sig åt heller, jag var inte inloggad på kontot på någon enhet som någon annan har tillgång till heller så jag kan inte skylla på någon i familjen.

Trädvy Permalänk
Medlem
Registrerad
Okt 2016
Skrivet av improwise:

Så vi kan enas om att nedanstående inte stämmer då och att det inte finns något som säger att banken i normalfallet skulle vägra ersätta bedrägerier för att man använder 2FA via SMS? Att det sen finns generella undantag vid grov oaktsamhet samt att BankID överlag är bland de säkraste lösningarna som finns är väl sant i sig men en annan diskussion.

Kan tillägga att det jag primärt är ute efter inte är att påvisa att du skulle ha fel utan snarare att inte folk ska oroa sig i onödan för att dom har 2FA via SMS vid kortköp om det nu inte stämmer det som påstås. Skulle det stämma lär jag inte vara den enda som vill veta om det men då behöver vi hitta en källa på det.

Generellt känns det osannolikt att bankerna skulle tillhandahålla ett sätt för verifiering som dom själva anser är så osäkert att dom skulle vägra ersätta drabbade kunder som använde det. Å andra sidan så tog det några år innan bankerna började lita på sina egna BankID:n för autentisering/signering i de egna internetbankerna men ändå erbjöd det för samma sak till externa parter.

Verified by Visa är designad just för att flytta risken för bedrägeri till kunden istället för som tidigare hos säljaren. Detta är Visas uttalade idé med systemet - genom att ha ytterligare en verifiering blir det lättare att argumentera att det är kunden som har gjort något fel. Internationellt är det vanligt att kunden måste ange ett lösenord som de själva satt. Detta är vansinnigt osäkert - dels sätter folk svaga lösenord, dels återanvänder de dessa, och dels kan de alltid nollställas på något sätt. I praktiken är det mindre säkert än bara att kolla kreditkortsnummer. Detta är inget problem för Visa eller bankerna, för deras mål är egentligen inte att minska bedrägerier - det är att minska deras egna förluster från bedrägerier. De har inga som helst problem med att lägga till ett osäkert steg, så länge det minskar deras förluster.

Det finns inget att vinna för dig som kund att slå på SMS-verifiering. Svenska banker måste erbjuda Verified by Visa/MasterCard SecureCode (vilket är samma sak, de licensierar det från Visa) och det är naturligtvis en fördel för säljaren att använda det, men det är upp till banken vilken bekräftelse de vill ha från dig. Accepterar de ett köp utan att du aktiverat SMS-verifiering så är det deras problem, inte ditt. Vägrar de online-köp utan det, så använd ett annat kort. Vill de köra med BankID för att verifiera dig så är det helt OK, för det är idag säkert nog, men SMS 2FA är bara korkat.

Åter till den första frågan, om källor. Jag känner till ett antal fall internationellt där Verified by Visa ledde till att banken inte var ersättningsskyldig vid ett bedrägeri. Vad jag kan hitta bland svenska fall är källorna ovan, samt ett fall från ARN (2019-11253) där kunden blev ersättningsskyldig efter ett bedrägeri där någon lurade till sig en engångskod från SMS för att skapa ett nytt BankID. Bättre källor än så kan jag inte hitta just nu, men jag tycker att de källorna är ganska tydliga. Om det anses vara grov oaktsamhet att lämna en plånbok i en låst bil, så är det väl lika oaktsamt att lämna en telefon där. Sammantaget är man mindre säker med SMS 2FA på än av.

Trädvy Permalänk
Medlem
Plats
Södermalm
Registrerad
Maj 2002

Vet inte om det är därför, men har börjat få massa Scam-samtal efter att denna läckan dök upp. Inte fått några tidigare.

PC: 9700K / 5700XT / 32 GB
FOTO: Fuji X-T2
Fotofolio \ flickr \ fotosidan

Trädvy Permalänk
Medlem
Registrerad
Apr 2006
Skrivet av mpat:

Verified by Visa är designad just för att flytta risken för bedrägeri till kunden istället för som tidigare hos säljaren. Detta är Visas uttalade idé med systemet - genom att ha ytterligare en verifiering blir det lättare att argumentera att det är kunden som har gjort något fel.

Samma fråga igen, har du någon källa på det? För vad jag vet handlar det snarare om att flytta ansvaret från säljaren till kortutgivaren. Banken kan i sin tur eventuellt försöka flytta ansvaret till kunden om dom anser att kunden varit försumlig, det har dock inget att göra med 2FA lösningen. Är kunden nog korkad kan man ha hur många säkerhetsspärrar som helst och ändå bli lurad.

Skrivet av mpat:

Det finns inget att vinna för dig som kund att slå på SMS-verifiering. Svenska banker måste erbjuda Verified by Visa/MasterCard SecureCode (vilket är samma sak, de licensierar det från Visa) och det är naturligtvis en fördel för säljaren att använda det, men det är upp till banken vilken bekräftelse de vill ha från dig. Accepterar de ett köp utan att du aktiverat SMS-verifiering så är det deras problem, inte ditt. Vägrar de online-köp utan det, så använd ett annat kort. Vill de köra med BankID för att verifiera dig så är det helt OK, för det är idag säkert nog, men SMS 2FA är bara korkat.

Varför skulle det inte finnas någon fördel för kunden att aktivera 2FA om alternativet är att inte ha någon verifiering alls? Hela iden med 2FA (iaf delvis) är att blanda in fler steg i ekvationen för att försvåra det hela för en man-in-the-middle. I de flesta fall är det nog inte så att kunden alls aktiverar SMS verifiering utan det snarare är att krav för att få handla på fler och fler ställen. BankID är bra men i en värld där ytterst få länder ens har personnummer så är fungerar det nog inte som global lösning på länge och då är förmodligen 2FA via SMS eller annat "Autentiserare" alla gånger bättre än att inte ha någon alls (förutom att säljaren riskerar att tappa affärer på det för att det blir ett extra steg för kunden att genomföra).

Skrivet av mpat:

Åter till den första frågan, om källor. Jag känner till ett antal fall internationellt där Verified by Visa ledde till att banken inte var ersättningsskyldig vid ett bedrägeri. Vad jag kan hitta bland svenska fall är källorna ovan, samt ett fall från ARN (2019-11253) där kunden blev ersättningsskyldig efter ett bedrägeri där någon lurade till sig en engångskod från SMS för att skapa ett nytt BankID.

Nej, det stämmer inte. Det som ledde till att banken inte var ersättningsskyldig var att kunden lämnat ut sin engångskod till någon annan som sen missbrukade den vilket bröt mot villkoren som kunden accepterat för att bli kund hos banken/tjänsten. Utan 2FA via SMS så hade bedragaren enbart behövt lura kunden till att godkänna det hela med sitt BankID mot som nu att det även krävdes att dom lurade kunden att inte göra bara det utan att även dela med sig av sin SMS kod.

Om man är riktigt paranoid skulle man väl kunna hävda att alla former av säkerhet enbart fanns för att de som tillämpade säkerheten skulle kunna friskriva sig från ansvar, men tror få på allvar skulle tro på det i detta fall

Trädvy Permalänk
Medlem
Registrerad
Okt 2016
Skrivet av improwise:

Samma fråga igen, har du någon källa på det? För vad jag vet handlar det snarare om att flytta ansvaret från säljaren till kortutgivaren. Banken kan i sin tur eventuellt försöka flytta ansvaret till kunden om dom anser att kunden varit försumlig, det har dock inget att göra med 2FA lösningen. Är kunden nog korkad kan man ha hur många säkerhetsspärrar som helst och ändå bli lurad.

Varför skulle Visa lägga pengar på att utveckla en lösning för att flytta kostnaden till sig själva? Vill de det så kan de bara säga att ”Vi tar det här!” och gå vidare.

Nej, bakgrunden var lite tjafs i säljar-ledet (speciellt om ”friendly fraud”) och Visa ville inte att de skulle utveckla någon egen betalningslösning. Det här blev ett utmärkt svar - flytta kostnaden till konsumentsidan som har svårare att byta, och låt någon entreprenör hitta på ett bättre verifierings-system. Vilket ju också har hänt.

Citat:

Varför skulle det inte finnas någon fördel för kunden att aktivera 2FA om alternativet är att inte ha någon verifiering alls? Hela iden med 2FA (iaf delvis) är att blanda in fler steg i ekvationen för att försvåra det hela för en man-in-the-middle.

.

För att du inte får tillbaka pengarna om någon snor dem på det sättet och får tillgång till SMS-koden, vilket inte är så svårt. Det är det jag försöker visa med alla länkarna.

Citat:

I de flesta fall är det nog inte så att kunden alls aktiverar SMS verifiering utan det snarare är att krav för att få handla på fler och fler ställen. BankID är bra men i en värld där ytterst få länder ens har personnummer så är fungerar det nog inte som global lösning på länge och då är förmodligen 2FA via SMS eller annat "Autentiserare" alla gånger bättre än att inte ha någon alls (förutom att säljaren riskerar att tappa affärer på det för att det blir ett extra steg för kunden att genomföra).

Nja. Siterna kräver Verified by Visa, vilket skickar en fråga till din bank för verifiering. Om banken i fråga har ditt mobilnummer, så kan de vilja skicka SMS till dig eller begära bekräftelse via BankID eller vad det nu är. Siten kan ligga i Ulan-Baator, det spelar ingen roll i sammanhanget om du har ett svenskt kreditkort och en svensk bank - så länge de kör Verified By Visa. Det är naturligtvis upp till banken att godkänna det ändå, om de inte har det numret eller någon annan verifiering aktiv. Jag har ett kort som det är så på.

Om man blir tvungen att slå på verifieringen för att kunna använda kortet, ja då är det så. Byt kort skulle jag säga, men det är inte alltid så lätt i denna bank-kartell. Inlägget jag svarade på lyfte SMS-verifiering som något man skulle slå på för att vara mer säker, och det var det jag vände mig mot.

Trädvy Permalänk
Medlem
Registrerad
Apr 2006
Skrivet av mpat:

Varför skulle Visa lägga pengar på att utveckla en lösning för att flytta kostnaden till sig själva? Vill de det så kan de bara säga att ”Vi tar det här!” och gå vidare.

Nej, bakgrunden var lite tjafs i säljar-ledet (speciellt om ”friendly fraud”) och Visa ville inte att de skulle utveckla någon egen betalningslösning. Det här blev ett utmärkt svar - flytta kostnaden till konsumentsidan som har svårare att byta, och låt någon entreprenör hitta på ett bättre verifierings-system. Vilket ju också har hänt.

Av samma skäl som man försöker förbättra IT säkerheten i alla andra sammanhang, att göra det svårare för bedragarna och minska antalet incidenter. Det bästa sättet att spara pengar lär vara om inga bedrägerier alls sker.

Skrivet av mpat:

För att du inte får tillbaka pengarna om någon snor dem på det sättet och får tillgång till SMS-koden, vilket inte är så svårt. Det är det jag försöker visa med alla länkarna.

Vilket fortfarande är ett påstående som saknar stöd annat än som personlig åsikt. Skulle någon hacka sig in i typ Telias nätverk och på den vägen komma över SMS eller motsvarande skulle det knappast sluta med att kunden fick stå för kostnaden eftersom dom då inte varit försumliga. I vilket fall som helst, om alternativet är att inte ha 2FA så lär det ändå alla gånger vara sämre (med viss reservation för om kunden blir mer lättlurad i tron att något är helt säkert). Sen finns det så klart många fler detaljer normalt i detta, varje fall lär vara unikt men här talar vi väl om normalfallet/normalfallen.

Skrivet av mpat:

Om man blir tvungen att slå på verifieringen för att kunna använda kortet, ja då är det så. Byt kort skulle jag säga, men det är inte alltid så lätt i denna bank-kartell. Inlägget jag svarade på lyfte SMS-verifiering som något man skulle slå på för att vara mer säker, och det var det jag vände mig mot.

Om du egentligen försöker säga att det finns säkrare sätt att skydda kreditkort med mera än 2FA via SMS så kan jag helt hålla med dig. Om alternativen är 1FA eller 2FA via SMS så vidhåller jag att det senare alltid är en bättre lösning (ur ett säkerhetsperspektiv) och kan fortfarande inte se varför någon som hade möjligheten skulle inaktivera det eller byta kort beroende på just det.

Måhända att vi dock kommit bort lite från trådens huvudtema här dock, men få inlägg har väl överlag handlat om just det ändå

Trädvy Permalänk
Medlem
Plats
Westrobothnia
Registrerad
Okt 2008
Skrivet av mpat:

Delivery Hero köpte upp OnlinePizza 2012 och Foodora 2015. De har varit samma företag sen dess. Nyligen lade man ner varumärket OnlinePizza och kallar allt Foodora. Hade du konto på OnlinePizza 2016 är det alltså dags att byta lösenord överallt.

Korv också, då borde jag vara drabbad, skapade mitt konto hos OnlinePizza 2016. Har dock inte fått något mail om det.

Men som tur är kör jag alltid med långa unika lösenord för varje tjänst, och har inget kortnummer lagrat hos dem heller, så det drabbar inget viktigt.

Uppdatering: upptäckte just att de kör med OTP via sms, varpå risken minskar avsevärt för någon att drabbas.

3950X, X470, 2080 Ti, 4K

Trädvy Permalänk
Medlem
Registrerad
Okt 2016
Skrivet av improwise:

Vilket fortfarande är ett påstående som saknar stöd annat än som personlig åsikt. Skulle någon hacka sig in i typ Telias nätverk och på den vägen komma över SMS eller motsvarande skulle det knappast sluta med att kunden fick stå för kostnaden eftersom dom då inte varit försumliga.

Om kunden gjort allt perfekt, så får man säkert pengarna tillbaka. Men som alla länkarna om ARN handlar om - det är väldigt små misstag som krävs för att ARN skall tycka att man är grovt försumlig. Lämnat mobilen i den låsta bilen är uppenbart inte OK. Lämna den i jackfickan när jackan hänger på stolen är inte OK. Vilket annat misstag av samma dignitet skulle ARN hänga upp sig på? Ser ingen anledning att ge dem den öppningen.

Citat:

I vilket fall som helst, om alternativet är att inte ha 2FA så lär det ändå alla gånger vara sämre (med viss reservation för om kunden blir mer lättlurad i tron att något är helt säkert). Sen finns det så klart många fler detaljer normalt i detta, varje fall lär vara unikt men här talar vi väl om normalfallet/normalfallen.

Om du egentligen försöker säga att det finns säkrare sätt att skydda kreditkort med mera än 2FA via SMS så kan jag helt hålla med dig. Om alternativen är 1FA eller 2FA via SMS så vidhåller jag att det senare alltid är en bättre lösning (ur ett säkerhetsperspektiv) och kan fortfarande inte se varför någon som hade möjligheten skulle inaktivera det eller byta kort beroende på just det.

Jag är inte direkt ensam om att tycka att 2FA över SMS är uselt:

https://blog.sucuri.net/2020/01/why-2fa-sms-is-a-bad-idea.htm...

https://authlogics.com/2019/10/07/sms-two-factor-authenticati...

https://www.kaspersky.com/blog/2fa-practical-guide/24219/

Google är fullt av dem.

Citat:

Måhända att vi dock kommit bort lite från trådens huvudtema här dock, men få inlägg har väl överlag handlat om just det ändå

Vi stör ingen annan, men vi verkar inte komma någonstans heller. För att summera: om något av mina kort krävde att jag tillät SMS-verifiering utan något alternativ, skulle jag sluta använda det kortet. Det är för min del samma sak som om internetbanken slutade använda HTTPS - det är inte en acceptabel säkerhetsnivå.

Trädvy Permalänk
Medlem
Registrerad
Apr 2006
Skrivet av mpat:

Om kunden gjort allt perfekt, så får man säkert pengarna tillbaka. Men som alla länkarna om ARN handlar om - det är väldigt små misstag som krävs för att ARN skall tycka att man är grovt försumlig. Lämnat mobilen i den låsta bilen är uppenbart inte OK. Lämna den i jackfickan när jackan hänger på stolen är inte OK. Vilket annat misstag av samma dignitet skulle ARN hänga upp sig på? Ser ingen anledning att ge dem den öppningen.

Du har om jag minns rätt hänvisat till ett beslut i ARN som handlar om att någon själv gav bort sin SMS kod till bedragarna.

Annars hade du bara kunnat länka till denna tråd där vi konstaterade samma sak för några dagar sedan, att det finns säkrare former av 2FA än SMS.

Skrivet av mpat:

För att summera: om något av mina kort krävde att jag tillät SMS-verifiering utan något alternativ, skulle jag sluta använda det kortet. Det är för min del samma sak som om internetbanken slutade använda HTTPS - det är inte en acceptabel säkerhetsnivå.

Nu börjar vi komma någonstans. Det jag invänt mot var det ursprungliga påståendet om att det skulle vara sämre med 2FA via SMS än att inte ha 2FA alls. Det vore som att hävda att HTTP är bättre än HTTPS med ett svagt certifikat bara för att det finns starkare HTTPS certifikat. Att hävda att 2FA via SMS fortfarande inte är nog säkert kan jag absolut hålla med om men om alternativet är ingen 2FA alls är det ändå ett fall framåt.

Glad att vi uppnådde enighet till slut och förmodligen är det fler här som är glada för det

Trädvy Permalänk
Medlem
Plats
Skepplanda
Registrerad
Mar 2007
Skrivet av GreyWilk:

I agree.

Låter väldigt ogött! Fick du reda på hur/vad som hänt?

Nej, fick aldrig några bilder eller noveller. Men å andra sidan slapp jag också känslan av att befinna mig på helt olika platser samtidigt. Samt att banken stod för notan, vilket ju är en ganska ovanlig företeelse i sig.

🖥️: Raveก้้้้้้้้้้้ 02-E | Ryzen 5 3600 | Noctua NH-14 | Gigabyte x470 Aorus Gaming 7 Wifi | 16 GB Corsair LP 3200 | KFA2 1070Ti | Cougar CM 650W | Acer XB27HU
💻:
Thinkpad X1 Carbon 2015
📱:
Galaxy S5@LineageOS

"Bättre bli motbevisad - än förklarad skyldig"