Säkerhetshål i Swish

Startat av Frederyck, tisdag 04, November 2014, 13:52:10

Föregående ämne - Nästa ämne

Frederyck

Det som är mest spännande med det här avslöjandet är att jag inte hittar nåt om det i gammelmedia.


http://blog.nullbyte.eu/open-curtains-in-swish-payments-service/


"TLDR: Vulnerability in Swish let any user access any other user's complete transaction history."

Aves

Citat från: Frederyck skrivet tisdag 04, November 2014, 13:52:10
Det som är mest spännande med det här avslöjandet är att jag inte hittar nåt om det i gammelmedia.


http://blog.nullbyte.eu/open-curtains-in-swish-payments-service/


"TLDR: Vulnerability in Swish let any user access any other user's complete transaction history."

Läste igenom lite och det hela handlar nog om restfiler som inte tagits bort. Alltså har de inte städat efter alla tester som gjorts. Har väldigt svårt att se att dessa banker skulle gå med på tjänsten om den inte fanns tillräcklig med säkerhet.

Gripen

Banksekretessen har ju visat sig värdelös för personer som skänkt pengar till "fel" ändamål då och då, så det spelar i praktiken antagligen ingen roll. Är du en person av intresse så kan enskilda bankanställda läcka uppgifter till media och dyl. Hemskt att det förekommer, men så är det.

arfo

Citat från: Aves skrivet tisdag 04, November 2014, 15:34:50

Läste igenom lite och det hela handlar nog om restfiler som inte tagits bort.

Vad i texten är det som får dig att dra den slutsatsen?


Aves

Citat från: arfo skrivet tisdag 04, November 2014, 19:59:17
Citat från: Aves skrivet tisdag 04, November 2014, 15:34:50

Läste igenom lite och det hela handlar nog om restfiler som inte tagits bort.

Vad i texten är det som får dig att dra den slutsatsen?

Jag kontaktade min bank och fick ett annat svar:

Svar SEB Internet Support
Hej!
Tack för ditt meddelande.

Swish-appen
för Android innehåller en GPL v2-fil. Den filen är en restprodukt från
de initiala testerna och har aldrig använts. Därför finns ingen
anledning att släppa källkoden. Vi kommer inom kort släppa en ny version
av appen utan denna restfil.

Med vänlig hälsning
SEB

Carina Floden

Frederyck

Citat från: Aves skrivet onsdag 05, November 2014, 08:49:36

Jag kontaktade min bank och fick ett annat svar:

Svar SEB Internet Support
Hej!
Tack för ditt meddelande.

Swish-appen
för Android innehåller en GPL v2-fil. Den filen är en restprodukt från
de initiala testerna och har aldrig använts. Därför finns ingen
anledning att släppa källkoden. Vi kommer inom kort släppa en ny version
av appen utan denna restfil.

Med vänlig hälsning
SEB

Carina Floden


Fast den delen har ju inget i sig att göra med att de hade ett enormt säkerhetshål där man kunde få ut information om andra kunders transaktioner.


Att de hänvisar till GPL som en "restprodukt" är naturligtvis ren bs för övrigt. Jag är övertygad om att de fort-som-fan skrev om de bibliotek som nyttjade GPL så fort de blev varse om att de faktiskt behövde släppa källkoden för att slippa göra det. Jag har arbetat ganska extensivt mot svenska bankers IT-miljöer och de är /inte/ bättre än nåt annat stort företag. Slapp hantering av föreskrifter, otestad kod driftsätts i panik, patchningar görs utan förvarningar, fel mörkas osv osv. Precis som överallt.

Sponsorer

Guld & Silverpriser

Senaste Inlägg

Den STORA (enda) tråden för kommentarer angående silverspot by gbz
torsdag 25, Juni 2026, 15:21:37

Sverige - Hur mår vi ekonomiskt? by gbz
tisdag 23, Juni 2026, 23:56:11

Mormors Guld by sputnik
Söndag 21, Juni 2026, 06:22:54

meddelande delen på forumet? by Au
lördag 20, Juni 2026, 08:35:18

Bad jokes. by Tyr
fredag 19, Juni 2026, 19:36:53

Oseriösa säljare på Tradera. by Tyr
torsdag 18, Juni 2026, 19:33:32

(Såld)[Säljes]: Lot om 5 st 1oz silvermynt (3 Kookaburror, 1 koala & 1 Panda) by Mange
torsdag 18, Juni 2026, 17:20:42

Guld säljes. 10 g guldtacka. by Birka
tisdag 16, Juni 2026, 23:33:24

Guld säljes. Sovereigner till spotpris. by Birka
tisdag 16, Juni 2026, 23:30:32

Köpes: Guldtacka 50gram, eller Guldmynt till samma värde. by Berlusconi
Måndag 15, Juni 2026, 19:30:50

Irankriget by gbz
Söndag 14, Juni 2026, 13:51:12

Den STORA tråden för aktier i gruvbranschen by gbz
lördag 13, Juni 2026, 23:09:43

***Pausad***Spotpris, silver kilomynt Lunar Tupp 2017 by Coltrane
lördag 13, Juni 2026, 15:00:47

Centralbankernas guldhandel by gbz
torsdag 11, Juni 2026, 23:21:53

Den STORA (enda) tråden för kommentarer angående guldspot. by gbz
tisdag 09, Juni 2026, 23:45:23

Powered by EzPortal