SAS-mobil-app sendte kundernes kreditkortnumre uden kryptering

Illustration: leowolfert/Bigstock
Flyselskabet SAS' mobil-app gemte og sendte kundernes kreditkortoplysninger uden kryptering, så kreditkortinformationen kunne opfanges på usikre trådløse netværk.

Flyselskabet SAS har netop måttet ændre i en ny mobil-applikation, efter et norsk sikkerhedsfirma har afsløret et kritisk sikkerhedshul i applikationen. Det skriver Teknisk Ukeblad.

Sikkerhedsfirmaet Encripto opdagede, at SAS-applikationen til Apples mobilstyresystem iOS lagrede alle brugerens oplysninger i klartekst på telefonen. Når brugeren således indtastede sine kreditkortoplysninger for at købe en billet gennem applikationen, ville man altså kunne læse dem direkte fra telefonens hukommelse.

»Problemet var, at mobilapplikationen lagrede en historik, hvor kreditkort- og personlige oplysninger blev lagret uden kryptering. Det spillede ingen rolle, at du skulle bruge en kode for at åbne applikationen, når al information kunne trækkes ud i klartekst fra telefonens hukommelse,« siger daglig leder Juan J. Güelfo fra Encripto til Teknisk Ukeblad.

Læs også: Pas på toldfri indkøb i flyet: Kreditkortnumre sendes ukrypteret over radio

Men hvad værre var, så blev oplysningerne også sendt uden kryptering over det trådløse netværk til SAS' servere.

Hvis man sad på et usikkert trådløst netværk uden kryptering, ville enhver anden bruger i nærheden altså kunne opsnappe dataene i klartekst.

SAS udsendte den 8. maj en ny udgave af iOS-versionen af selskabets mobilapplikation og har også ændret på serverdelen, hvilket ifølge selskabets oplysninger til Teknisk Ukeblad skulle sørge for, at også Android-versionen er sikker.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Pedersen

Jeg stoler konsekvent aldrig igen på et firma der har lavet sådan en sikkerhedsbommert.

"Jamen det kan ske for alle?"

NEJ! Det kan ske for 1. års studerende der lige har lært at skrive en app i Java og så har læst op på en smule PHP derhjemme. Faktisk tror jeg at de 1. års studerende for det meste vil være i stand til at gennemskue at der nok er et eller andet som ikke er helt sikkert nok, og at de bør få gjort noget ved det...

Det minder mig lidt om den gang for mange mange mange år siden hvor jeg troede at HTTP POST var en god måde at transportere data på uden at få det sniffet. Men der var jeg også 12 år gammel!

Sune Foldager

[...]

Det minder mig lidt om den gang for mange mange mange år siden hvor jeg troede at HTTP POST var en god måde at transportere data på uden at få det sniffet. Men der var jeg også 12 år gammel!

Stop nu med det selvhellige pis.. godt for dig at du var for sej til alting da du blev 13, men sådan nogle ting sker altså fra tid til anden i virkeligheden af alle mulige forskellige grunde.

Henrik Pedersen

Haha ja den var måske lidt selvhellig, hit taken.

Men "alle mulige forskellige grunde" må du lige uddybe lidt bedre. Så det er måske helt i orden og tilforladeligt når det sker i den virkelige verden, fordi "det er jo kun mennesker"?

Hvad JEG ser som helt tilforladeligt, og jeg så sandelig også håber mange andre mennesker gør, er hvis der sker en bug af og til som får ens applikation til at gå ned, eller at data til tider ikke bliver gemt. De der episoder hvor mails bliver sendt ud 2 og 3 gange kan også tilgives.
Jeg vil endda gå så langt at sige man til nød kan tilgive et system hvor en privat nøgle bliver lækket eller andet pjat i den stil.

Det viser i det mindste at folkene bag har TÆNKT på sikkerheden. Men når klovnene laller rundt og siger noget i stil af

client.postData("http://sas.com/receivecredidcarddata.php", "?udloeb=0315&control=454"...)

Og så videre der ud af, you get the point, så har man jo netop ingen basisk forståelse for hvad der egentlig sker, eller konsekvenserne af manglende sikkerhed.

Så må du angribe mig nok så meget for at være lidt selvglad af og til, det kan mit ego ganske fint håndtere, men fyr nu også lige lidt af krudtet mod dem som strikker systemer sammen efter en "HTML/PHP/Java på 24 timer" bog købt i den lokale boghandel.

Sebastian Løck

Er det du mener at udvikleren skal tage ansvar for indirekte tab ved tredje part?
Her du selv udvikler eller rådgiver i en eller anden art og har indgået sådan nogle forpligtelser? Så håber jeg for din familie at du har selskabeliggjort ansvaret og at du ikke har nogle kollegaer.

Hvis ansvar for indirekte tab ved tredje part bliver en del af gamet, så regn med at vi altid danner et projektselskab med et egenkapital på 1 kr.

Gert Madsen

På samme vis som færdselsforseelser, og arbejdsulykker.

SAS har promoveret en service, som har en uansvarlig behandling af følsomme oplysninger.
Det skal SAS bøde for. Uanset hvem, der har udviklet applikationen.

Så længe man omkostningsfrit kan blæse på hvordan man behandler følsomme oplysninger, så kommer vi ingen vegne.

"så regn med at vi altid danner et projektselskab med et egenkapital på 1 kr."

Folk der efterlader konkursramte firmaer, istedet for at lave et ordentligt arbejde, findes jo i alle brancher.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder