Säkerhetshål i Swish

[Frederyck]

Det som är mest spännande med det här avslöjandet är att jag inte hittar nåt om det i gammelmedia.


http://blog.nullbyte.eu/open-curtains-in-swish-payments-service/


"TLDR: Vulnerability in Swish let any user access any other user's complete transaction history."

[Aves]

Det som är mest spännande med det här avslöjandet är att jag inte hittar nåt om det i gammelmedia.


http://blog.nullbyte.eu/open-curtains-in-swish-payments-service/


"TLDR: Vulnerability in Swish let any user access any other user's complete transaction history."

Läste igenom lite och det hela handlar nog om restfiler som inte tagits bort. Alltså har de inte städat efter alla tester som gjorts. Har väldigt svårt att se att dessa banker skulle gå med på tjänsten om den inte fanns tillräcklig med säkerhet.

[Gripen]

Banksekretessen har ju visat sig värdelös för personer som skänkt pengar till "fel" ändamål då och då, så det spelar i praktiken antagligen ingen roll. Är du en person av intresse så kan enskilda bankanställda läcka uppgifter till media och dyl. Hemskt att det förekommer, men så är det.

[arfo]

Läste igenom lite och det hela handlar nog om restfiler som inte tagits bort.

Vad i texten är det som får dig att dra den slutsatsen?

[Mange]

Idg hade två artiklar om detta, så det gick inte helt obemärkt förbi.

http://www.idg.se/2.1085/1.591278/bugg-i-swish-kunde-lacka-betalhistorik
http://www.idg.se/2.1085/1.591330/sa-upptacktes-buggen-i-swish

[Aves]

Läste igenom lite och det hela handlar nog om restfiler som inte tagits bort.

Vad i texten är det som får dig att dra den slutsatsen?

Jag kontaktade min bank och fick ett annat svar:

Svar SEB Internet Support
Hej!
Tack för ditt meddelande.

Swish-appen
för Android innehåller en GPL v2-fil. Den filen är en restprodukt från
de initiala testerna och har aldrig använts. Därför finns ingen
anledning att släppa källkoden. Vi kommer inom kort släppa en ny version
av appen utan denna restfil.

Med vänlig hälsning
SEB

Carina Floden

[Frederyck]

Jag kontaktade min bank och fick ett annat svar:

Svar SEB Internet Support
Hej!
Tack för ditt meddelande.

Swish-appen
för Android innehåller en GPL v2-fil. Den filen är en restprodukt från
de initiala testerna och har aldrig använts. Därför finns ingen
anledning att släppa källkoden. Vi kommer inom kort släppa en ny version
av appen utan denna restfil.

Med vänlig hälsning
SEB

Carina Floden

Fast den delen har ju inget i sig att göra med att de hade ett enormt säkerhetshål där man kunde få ut information om andra kunders transaktioner.


Att de hänvisar till GPL som en "restprodukt" är naturligtvis ren bs för övrigt. Jag är övertygad om att de fort-som-fan skrev om de bibliotek som nyttjade GPL så fort de blev varse om att de faktiskt behövde släppa källkoden för att slippa göra det. Jag har arbetat ganska extensivt mot svenska bankers IT-miljöer och de är /inte/ bättre än nåt annat stort företag. Slapp hantering av föreskrifter, otestad kod driftsätts i panik, patchningar görs utan förvarningar, fel mörkas osv osv. Precis som överallt.