Följ Black Week på SweClockers
Forum Övrigt Nyhetskommentarer Tråd Inlägg

Skånetrafiken läckte resenärers lösenord med nya mobilapplikationen

1 2
Skriv svar
Permalänk
Medlem
Skrivet av crew seven:

Nån som är förvånad?

Gå till inlägget
Skrivet av ZaInT:

Inte ett dugg förvånad, det är trots allt Skånetrafiken det gäller.

Gå till inlägget

Som nedflyttad Göteborgare som är van med Västtrafiks hutlösa priser och värdelösa appar så finner jag Skånetrafikens "nya" app fantastiskt bra och med helt rimlig prissättning. Ni som är så negativa, varför är det så?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Gsson113:

Som nedflyttad Göteborgare som är van med Västtrafiks hutlösa priser och värdelösa appar så finner jag Skånetrafikens "nya" app fantastiskt bra och med helt rimlig prissättning. Ni som är så negativa, varför är det så?

Gå till inlägget

Där uppe kan man iaf. planka lätt. Skånetrafiken är (i min mening) dyra och (inte bara i min mening) väldigt väldigt ofta försenade.
Förrförra veckan räknade jag anknytningar till och från jobb, 7 av 8 tåg och 1 av 2 bussar kom för sent.

Visa signatur

11600K@5.1 GHz + 32GB Corsair Vengeance RGB PRO 3200@3400 MHz + MSI RTX 2080 Super Gaming X Trio +
WDC Blue SN550 1TB + Black OEM SN730 500GB + Kingston A1000 480GB + A2000 500GB + NV2 1TB + 2TB R10 + RGB most of THE THINGS! + Corsair 4000D Airflow + 2*ZyXEL NSA326 2*3TB @ R1 + Netgear RN2100 4*3TB @ R10 + RN204 4*4TB @ R5 + Synology DS216j 2*4TB @ SHR R1 + DS418 4*8TB @ SHR R6 | tmp: R5 3600@4.2 GHz + 32GB 2666@3066MHz + 2070 8GB + 1 TB NV2 & 512GB SN730

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av FubbHead:

Låt mig gissa... Konsultutvecklat..

Gå till inlägget

Självklart, annars hade det varit klart 2021 och då krävt 2016 års OS på mobilerna för att fungera

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pv2b:

Om de haft "interna diskussioner" om detta i flera månader så har de brutit mot GDPR. Såna här informationsläckor måste rapporteras inom 72 timmar.

Gå till inlägget

Det tas upp i den länkade artikeln.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Alling:

Det finns ganska coola skyddsmekanismer mot den här typen av misstag som kan implementeras inom ramen för statisk typcheckning: Att använda data som på typnivå markerats som konfidentiell (lösenord) i en kontext ej explicit markerad som sådan (loggen) kan faktiskt göras till ett kompileringsfel! Tyvärr ligger "vanliga" språk och hur programmering görs i praktiken ofta långt efter forskningen på området (vilket inte är så konstigt).

Gå till inlägget

Jag är inte nån expert inom området men skulle man inte kunna ha loggning av inloggningsuppgifter påslaget när man utvecklar för att kunna se hur systemet hanterar olika typer av inmatningar?
När man sen går i produktion är ju såklart tanken att slå av den funktionen men det är inte helt självklart att utvecklaren kommer ihåg det, tex pga tidsbrist.

Skickades från m.sweclockers.com

Visa signatur

thank you, come again

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Baxtex:

Och därför en bra anledning att använda lösenordshanterare!

Nu är det ju dock en konsultbolag som utvecklat applikationen, känner folk där.. Men Skånetrafiken bör ändå hamna i skottgluggen då de skulle återställt lösenorden direkt och meddelat sina användare. Förstår inte varför man ska ha "interna diskussioner" i flera månader. Visst några kunder lär bli irriterade men hellre det än förbannade och skadat rykte för företaget. Om Skånetrafiken hade meddelat sina kunder kunde det ju gett bra pr, att folk känner sig trygga att Skånetrafiken tar ansvar.

Gå till inlägget

Ja, det enda serösa är att gå ut med det direkt till användarna. Sådant här kan hända alla företag, även de bästa, men har man någon som helst respekt för sina användare och även sitt företags långsiktiga rykte så finns det bara en sak att göra.

Skickades från m.sweclockers.com

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av huxflux:

Jag är inte nån expert inom området men skulle man inte kunna ha loggning av inloggningsuppgifter påslaget när man utvecklar för att kunna se hur systemet hanterar olika typer av inmatningar?
När man sen går i produktion är ju såklart tanken att slå av den funktionen men det är inte helt självklart att utvecklaren kommer ihåg det, tex pga tidsbrist.

Skickades från m.sweclockers.com

Gå till inlägget

Bransch praxis är att aldrig logga känslig information, oavsett hur värdefullt detr eftersom sådana här saker kan inträffa, mänskliga faktorn ska inte underskattas. Det och att i utvecklingen av själva funktionen så har redan utvecklarna källkoden och kan göra sina analyser därefter (se lösenord osv).

Men som sagt, sådant kan hända även dem bästa (se Twitter för exempel) men att hålla tyst om det är dåligt gjort. Lite irriterande kunder som måste byta lösenord är bättre än att mörka allt och sedan få misstroende från dem flesta.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Gsson113:

Som nedflyttad Göteborgare som är van med Västtrafiks hutlösa priser och värdelösa appar så finner jag Skånetrafikens "nya" app fantastiskt bra och med helt rimlig prissättning. Ni som är så negativa, varför är det så?

Gå till inlägget

Problemet är att gräset är alltid grönare på andra sidan, eller det ser så ut.
Tåg är ofta sena, lika så bussar. Det tas inte i beräkning att trafik (speciellt rusningstrafik) kan påverka tiderna och att tiderna för bussar alltid har varit ungefärliga och inte satta i sten. Det är lättare att klaga med andra ord.
Sen har ju Trafikverket hand om alla tågspår, underhållning och planering av när och vilket tåg går vart. Så Skånetrafiken kan ofta inte göra något åt det, men får skiten oavsett. Sen är dem inte helt felfria, men sådant är läget tyvärr.

Skickades från m.sweclockers.com

Redigera
Citera flera Citera
Permalänk
Medlem

Konfidentiell information

I ett riktigt system så kan ingen läsa lösenorden. Att logga lösenord i klartext är ganska urbota korkat.

Lösenord + salt -> hash

Varje gång man loggar in körs lösenord och salt genom hashfunktionen och så jämför man att hashet stämmer överens med det som finns sparat i databasen.

Exempel:
grankottebanan + jwefu23 (unikt salt) -> 8743b52063cd84097a65d1633f5c74f5

Ifall en anfallare kan komma åt hela databasen är det inte lika lätt att skydda lösenorden. Med snabba grafikkort så kan man på några timmar lösa ut ett lösenord.

Genom att peppra lösenorden kan man även skydda dem i det fall att anfallaren kommer åt databasen. Peppar är applikationsbundet medan saltet och hashet finns sparade i databasen. Finns flera implementationer av peppar men meningen är att göra det svårt om inte omöjligt att få fram det riktiga lösenordet, även om man har tillgång till databasen.

Redigera
Citera flera Citera
Permalänk
Avstängd

Skånetrafiken har alltid varit bra på att bryta mot lagar och bete sig som jag vet inte vad. Ett utmärkt exempel är när dom uppfann regeln att kontantkortens innehåll skulle tömmas efter 12 mån. Två år senare brainstormade en tjänsteman och kom på att: det är olagligt att stjäla folk pengar(!). Han behövde nog sjukskrivas för utbrändhet efter det. I ren panik startade Skånetrafiken en återbetalningskampanj för att VD:n och styrelsen (diverse lokalpolitiker) inte skulle få näringsförbud och fängelsestraff. Ännu en dag i Skånetrafikens värld. Att kolla lagar/regler med en jurist kostar bara pengar - så man fortsätter att hoppa mellan katastrofer.

Redigera
Citera flera Citera
Permalänk
Medlem

Här i Lund är stadsbussarna notoriska lagbrytare samt fortkörare.

Sen är körriktningsvisaren på bussarna nästan alltid ur funktion!

Visa signatur

XFX Radeon RX 7700 XT Speedster QICK 319 Black Edition | AMD Ryzen R7 5700X3D | Noctua NH-D15 | Asus TUF Gaming B550-Plus | Corsair Vengeance LPX DDR4 3200MHz 2x16GB | Samsung 990 Pro 1TB | Corsair HX1000i | Fractal Design Define S | Xiaomi G34WQi | Corsair K95 Platinum | Corsair Sabre RGB PRO Wireless | Corsair Void Elite Wireless

Redigera
Citera flera Citera
1 2
Skriv svar