Eurobonuspoäng stulna från hackade konton

L

lnixon

New member
Det här ser ju inte så bra ut:



SAS-kunder frastjålet bonuspoeng - DN.no




Det är nog en bra idé att inte logga in på sina Eurobonus-sidor över okrypterade trådlösa nätverk. (Apropå det; tänk om SAS-loungerna kunde erbjuda krypterat nät. Det är nog mycket värdefull information som skickas i klartext på de näten...)
 
Det är ju rätt onödigt att kryptera, eftersom man måste lämna ut nyckeln till alla om de ska kunna använda det...
 
Nackdelen med att ha "för många partners". När man kan göra saker som köpa Amazon-gift-certs så blir det väldigt mycket enklare att få till något sådant utan att åka dit. (Lite svårt att köpa flygbiljetter utan att i något läge "åka fast" på det)



Får verkligen hoppas att det får SAS att göra om och köra hela webbsiten och alla APIer 100% krypterat. Finns ingen anledning att hålla på och fjanta med blandningar som de gör idag.



Om jag inte minns fel så körde de en kort period till och med kortnummer i klartext när man bokade i iPhone-appen precis i början. Typisk effekt av att ha outsourcat olika delar till olika spelare och inte lyckats hålla ihop delarna ordentligt (har sett precis sådan miss på flera andra ställen i sådana fall).
 
johhenrik skrev:Det är ju rätt onödigt att kryptera, eftersom man måste lämna ut nyckeln till alla om de ska kunna använda det...Klicka för att utvidga...
Click to expand...


Man skulle kunna tro det, men alla anslutna enheter har (enkelt uttryckt) en egen krypterad kanal. Man kan alltså inte avlyssna andras trafik även om man vet nätets WPA-lösenord.



(Eller, ja, det finns fortfarande attacker som kan utföras, men man kan i alla fall inte bara avlyssna passivt.)
 
Designen av sas.se är verkligen under all kritik säkerhetmässigt (nåväl, även på andra sätt) men det är ju SAS IT vi har att göra med...



Just problemet att inloggningsuppgifter skickas i klartext går att förhindra genom att gå till https://www.sas.se istället för http://www.sas.se i browsern. Normalt gör siter om sessionen till https om inloggningsuppgifter ska skickas men inte sas.se. Om man som användare däremot tvingar sessionen att vara säker från start med https så fortsätter den att vara det när inloggningsuppgifter skickas.



Jag har ett bookmark till https://www.sas.se som jag använder för att inte göra bort mig och råka köra okrypterat - ett tips!
 
SAS har nu ändrat beteendet för sas.se för att stoppa möjligheten för kriminella att snappa upp okrypterade inloggningsupgifter. Alla sessioner initieras nu automatiskt som https istället för http.
 
lnixon skrev:Really? Inte hos mig, vad jag kan se.Klicka för att utvidga...
Click to expand...


Det gör de definitivt inte, och inloggningsformuläret som sådan är fortfarande okrypterat. Och de cookies som sätts har inte secure-flaggan, och innehåller galet mycket information. Inte password (det vet jag inte om de gjorde förut heller), men EB nivå, EB-nummer, poängbalans osv är fritt fram (men de ligger å andra sidan på den okrypterade sidan också).



Så nej, det är defnitivt inte fixat.
 
lnixon skrev:Really? Inte hos mig, vad jag kan se.Klicka för att utvidga...
Click to expand...


Du har rätt - inte hos mig heller längre. Frågan är om det var något tillfälligt igår. Krypteringen kanske skapade för mycket last på webservrarna så man var tvungen att gå tillbaka till okrypterat.
 
Upptäcker idag att min adress på SAS.se är ändrad till en gatuadress i Riga! Ett lettiskt mobilnummer finns där oxå, samt att mitt födelsedatum är ändra 8 dagar framåt. Har inte haft poäng där på många år, och inget kort kopplat. Men skrämmande att veta att kontot är hackat, och att någon kan mitt lösenord.

Har mig veterligen bara loggat in på SAS två gånger de senaste +5 åren, och då hemmifrån.
 
Reverse brute-force attack (använder samma lösenord och ändrar login ID) har skett på många webbsidor.

Webbsidorna bör ha Captcha eller annat system för att skydda sig ifrån Reverse brute-force attack.
 
reboot81 skrev:Upptäcker idag att min adress på SAS.se är ändrad till en gatuadress i Riga! Ett lettiskt mobilnummer finns där oxå, samt att mitt födelsedatum är ändra 8 dagar framåt. Har inte haft poäng där på många år, och inget kort kopplat. Men skrämmande att veta att kontot är hackat, och att någon kan mitt lösenord.Har mig veterligen bara loggat in på SAS två gånger de senaste +5 åren, och då hemmifrån.Klicka för att utvidga...
Click to expand...


Om du använder samma lösenord på flera olika tjänster så byt lösenord omedelbart.
 
reboot81 skrev:Upptäcker idag att min adress på SAS.se är ändrad till en gatuadress i Riga! Ett lettiskt mobilnummer finns där oxå, samt att mitt födelsedatum är ändra 8 dagar framåt. Har inte haft poäng där på många år, och inget kort kopplat. Men skrämmande att veta att kontot är hackat, och att någon kan mitt lösenord.Har mig veterligen bara loggat in på SAS två gånger de senaste +5 åren, och då hemmifrån.Klicka för att utvidga...
Click to expand...




Tömma kontot förstår jag, men vad skulle vara vitsen att ändra det där speciellt om det inte fanns några poäng på kontot ?
 
SAS måste vara sämsta stället att stjäla poäng, man blir ju själv rånad om man för över poäng data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7
 
Homer skrev:Tömma kontot förstår jag, men vad skulle vara vitsen att ändra det där speciellt om det inte fanns några poäng på kontot ?Klicka för att utvidga...
Click to expand...
I dagens konspiratoriska värld är det inte så långsökt att tänka sig att en person tar över en annan persons Eurobonus-konto, bokar flygbiljett i dennes namn för poängen och sedan flyger i dennes namn. Inom Schengen sker ju ingen id-kontroll vid resande med endast handbagage.

OT: År 2013 skedde i Sverige 80.000 id-stölder. Med tanke på att det föds ungefär 100.000 barn varje år ger det att varje svensk har 80% risk att råka ut för en id-stöld under sin livstid.
 
Nemo skrev:I dagens konspiratoriska värld är det inte så långsökt att tänka sig att en person tar över en annan persons Eurobonus-konto, bokar flygbiljett i dennes namn för poängen och sedan flyger i dennes namn. Inom Schengen sker ju ingen id-kontroll vid resande med endast handbagage.OT: År 2013 skedde i Sverige 80.000 id-stölder. Med tanke på att det föds ungefär 100.000 barn varje år ger det att varje svensk har 80% risk att råka ut för en id-stöld under sin livstid.Klicka för att utvidga...
Click to expand...




Du behöver inte ändra något för att boka biljetter i någon annans namn,

så varför boka biljett i kontoinnehavarens namn?
 
Homer skrev:Du behöver inte ändra något för att boka biljetter i någon annans namn,så varför boka biljett i kontoinnehavarens namn?Klicka för att utvidga...
Click to expand...
Om det finns Eurobonuspoäng på det kapade kontot går det inte att spåra betalningen. Annars måste man ju använda Visa/MC/AmEx/Diners och det går att spåra.
 
Nemo skrev:Om det finns Eurobonuspoäng på det kapade kontot går det inte att spåra betalningen. Annars måste man ju använda Visa/MC/AmEx/Diners och det går att spåra.Klicka för att utvidga...
Click to expand...


Du måste ju betala avgifterna på något sätt, hur gör du det utan att använda ett kreditkort?



Återigen, varför kapa ett konto som är tomt och utan status?
 
Homer skrev:Du måste ju betala avgifterna på något sätt, hur gör du det utan att använda ett kreditkort?Återigen, varför kapa ett konto som är tomt och utan status?Klicka för att utvidga...
Click to expand...


Behöver man konto för att handla på faktura? I sådana fall kanske det är därför. Kan inte komma på något annat skäl.
 
You must log in or register to reply here.
Back
Top