SAS-mobil-app sendte kundernes kreditkortnumre uden kryptering

7 kommentarer.  Hop til debatten
SAS-mobil-app sendte kundernes kreditkortnumre uden kryptering
Illustration: SAS.
Flyselskabet SAS' mobil-app gemte og sendte kundernes kreditkortoplysninger uden kryptering, så kreditkortinformationen kunne opfanges på usikre trådløse netværk.
14. maj 2013 kl. 13:26
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Flyselskabet SAS har netop måttet ændre i en ny mobil-applikation, efter et norsk sikkerhedsfirma har afsløret et kritisk sikkerhedshul i applikationen. Det skriver Teknisk Ukeblad.

Sikkerhedsfirmaet Encripto opdagede, at SAS-applikationen til Apples mobilstyresystem iOS lagrede alle brugerens oplysninger i klartekst på telefonen. Når brugeren således indtastede sine kreditkortoplysninger for at købe en billet gennem applikationen, ville man altså kunne læse dem direkte fra telefonens hukommelse.

»Problemet var, at mobilapplikationen lagrede en historik, hvor kreditkort- og personlige oplysninger blev lagret uden kryptering. Det spillede ingen rolle, at du skulle bruge en kode for at åbne applikationen, når al information kunne trækkes ud i klartekst fra telefonens hukommelse,« siger daglig leder Juan J. Güelfo fra Encripto til Teknisk Ukeblad.

Men hvad værre var, så blev oplysningerne også sendt uden kryptering over det trådløse netværk til SAS' servere.

Artiklen fortsætter efter annoncen

Hvis man sad på et usikkert trådløst netværk uden kryptering, ville enhver anden bruger i nærheden altså kunne opsnappe dataene i klartekst.

SAS udsendte den 8. maj en ny udgave af iOS-versionen af selskabets mobilapplikation og har også ændret på serverdelen, hvilket ifølge selskabets oplysninger til Teknisk Ukeblad skulle sørge for, at også Android-versionen er sikker.

7 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
5
15. maj 2013 kl. 13:11

En metode til at løfte sikkerheden generelt kan være at indføre objektivt ansvar for behandling af følsomme oplysninger.

Det skal koste at sløse med sikkerheden omkring andre menneskers oplysninger, uanset hvad der måtte foreligge af undskyldninger.

6
15. maj 2013 kl. 13:44

Er det du mener at udvikleren skal tage ansvar for indirekte tab ved tredje part? Her du selv udvikler eller rådgiver i en eller anden art og har indgået sådan nogle forpligtelser? Så håber jeg for din familie at du har selskabeliggjort ansvaret og at du ikke har nogle kollegaer.

Hvis ansvar for indirekte tab ved tredje part bliver en del af gamet, så regn med at vi altid danner et projektselskab med et egenkapital på 1 kr.

7
15. maj 2013 kl. 14:42

På samme vis som færdselsforseelser, og arbejdsulykker.

SAS har promoveret en service, som har en uansvarlig behandling af følsomme oplysninger. Det skal SAS bøde for. Uanset hvem, der har udviklet applikationen.

Så længe man omkostningsfrit kan blæse på hvordan man behandler følsomme oplysninger, så kommer vi ingen vegne.

"så regn med at vi altid danner et projektselskab med et egenkapital på 1 kr."

Folk der efterlader konkursramte firmaer, istedet for at lave et ordentligt arbejde, findes jo i alle brancher.

1
14. maj 2013 kl. 14:59

Jeg stoler konsekvent aldrig igen på et firma der har lavet sådan en sikkerhedsbommert.

"Jamen det kan ske for alle?"

NEJ! Det kan ske for 1. års studerende der lige har lært at skrive en app i Java og så har læst op på en smule PHP derhjemme. Faktisk tror jeg at de 1. års studerende for det meste vil være i stand til at gennemskue at der nok er et eller andet som ikke er helt sikkert nok, og at de bør få gjort noget ved det...

Det minder mig lidt om den gang for mange mange mange år siden hvor jeg troede at HTTP POST var en god måde at transportere data på uden at få det sniffet. Men der var jeg også 12 år gammel!

4
14. maj 2013 kl. 22:16

Haha ja den var måske lidt selvhellig, hit taken.

Men "alle mulige forskellige grunde" må du lige uddybe lidt bedre. Så det er måske helt i orden og tilforladeligt når det sker i den virkelige verden, fordi "det er jo kun mennesker"?

Hvad JEG ser som helt tilforladeligt, og jeg så sandelig også håber mange andre mennesker gør, er hvis der sker en bug af og til som får ens applikation til at gå ned, eller at data til tider ikke bliver gemt. De der episoder hvor mails bliver sendt ud 2 og 3 gange kan også tilgives. Jeg vil endda gå så langt at sige man til nød kan tilgive et system hvor en privat nøgle bliver lækket eller andet pjat i den stil.

Det viser i det mindste at folkene bag har TÆNKT på sikkerheden. Men når klovnene laller rundt og siger noget i stil af

client.postData("http://sas.com/receivecredidcarddata.php", "?udloeb=0315&control=454"...)

Og så videre der ud af, you get the point, så har man jo netop ingen basisk forståelse for hvad der egentlig sker, eller konsekvenserne af manglende sikkerhed.

Så må du angribe mig nok så meget for at være lidt selvglad af og til, det kan mit ego ganske fint håndtere, men fyr nu også lige lidt af krudtet mod dem som strikker systemer sammen efter en "HTML/PHP/Java på 24 timer" bog købt i den lokale boghandel.