Eurobonuspoäng stulna från hackade konton

Diskussion i 'SAS Group & EuroBonus' startad av lnixon, 25 Juni 2014.

  1. lnixon

    lnixon Medlem

    Land:
    Sverige Sverige
    Det här ser ju inte så bra ut:

    SAS-kunder frastjålet bonuspoeng - DN.no

    Det är nog en bra idé att inte logga in på sina Eurobonus-sidor över okrypterade trådlösa nätverk. (Apropå det; tänk om SAS-loungerna kunde erbjuda krypterat nät. Det är nog mycket värdefull information som skickas i klartext på de näten...)
     
  2. johhenrik

    johhenrik Medlem

    Ort:
    ARN
    Land:
    Sverige Sverige
    Det är ju rätt onödigt att kryptera, eftersom man måste lämna ut nyckeln till alla om de ska kunna använda det...
     
  3. mha321

    mha321 Medlem

    Nackdelen med att ha "för många partners". När man kan göra saker som köpa Amazon-gift-certs så blir det väldigt mycket enklare att få till något sådant utan att åka dit. (Lite svårt att köpa flygbiljetter utan att i något läge "åka fast" på det)

    Får verkligen hoppas att det får SAS att göra om och köra hela webbsiten och alla APIer 100% krypterat. Finns ingen anledning att hålla på och fjanta med blandningar som de gör idag.

    Om jag inte minns fel så körde de en kort period till och med kortnummer i klartext när man bokade i iPhone-appen precis i början. Typisk effekt av att ha outsourcat olika delar till olika spelare och inte lyckats hålla ihop delarna ordentligt (har sett precis sådan miss på flera andra ställen i sådana fall).
     
  4. lnixon

    lnixon Medlem

    Land:
    Sverige Sverige
    Man skulle kunna tro det, men alla anslutna enheter har (enkelt uttryckt) en egen krypterad kanal. Man kan alltså inte avlyssna andras trafik även om man vet nätets WPA-lösenord.

    (Eller, ja, det finns fortfarande attacker som kan utföras, men man kan i alla fall inte bara avlyssna passivt.)
     
  5. Paby

    Paby Medlem

    Designen av sas.se är verkligen under all kritik säkerhetmässigt (nåväl, även på andra sätt) men det är ju SAS IT vi har att göra med...

    Just problemet att inloggningsuppgifter skickas i klartext går att förhindra genom att gå till https://www.sas.se istället för http://www.sas.se i browsern. Normalt gör siter om sessionen till https om inloggningsuppgifter ska skickas men inte sas.se. Om man som användare däremot tvingar sessionen att vara säker från start med https så fortsätter den att vara det när inloggningsuppgifter skickas.

    Jag har ett bookmark till https://www.sas.se som jag använder för att inte göra bort mig och råka köra okrypterat - ett tips!
     
    Last edited: 25 Juni 2014
    1 person likes this.
  6. lnixon

    lnixon Medlem

    Land:
    Sverige Sverige
    3 personer gillar detta.
  7. Paby

    Paby Medlem

    SAS har nu ändrat beteendet för sas.se för att stoppa möjligheten för kriminella att snappa upp okrypterade inloggningsupgifter. Alla sessioner initieras nu automatiskt som https istället för http.
     
    1 person likes this.
  8. lnixon

    lnixon Medlem

    Land:
    Sverige Sverige
    Really? Inte hos mig, vad jag kan se.
     
  9. mha321

    mha321 Medlem

    Det gör de definitivt inte, och inloggningsformuläret som sådan är fortfarande okrypterat. Och de cookies som sätts har inte secure-flaggan, och innehåller galet mycket information. Inte password (det vet jag inte om de gjorde förut heller), men EuroBonus nivå, EuroBonus-nummer, poängbalans osv är fritt fram (men de ligger å andra sidan på den okrypterade sidan också).

    Så nej, det är defnitivt inte fixat.
     
  10. Paby

    Paby Medlem

    Du har rätt - inte hos mig heller längre. Frågan är om det var något tillfälligt igår. Krypteringen kanske skapade för mycket last på webservrarna så man var tvungen att gå tillbaka till okrypterat.
     

Dela sidan

BusinessClass Logo

Hej och välkommen till BusinessClass!

Prenumerera på vårt gratis nyhetsbrev för att få uppdateringar och nyheter om vad som händer runtom i världen och på BusinessClass.

I'm already subscribed
×
BusinessClass Logo

Välkommen till utskickslistan!

Glöm inte att kontrollera din epost och bekräfta din prenumeration.

BusinessClass Logo

Gå med i BusinessClass-gemenskapen!

Gilla oss på Facebook för att få de senaste nyheterna från BusinessClass direkt i ditt flöde.

Bli medlem och delta i våra diskussioner, ställ frågor och dela med dig av din kunskap och dina erfarenheter.

Bli medlem nu!
×