Säkerhetshål hos UL funnet – personuppgifter har varit tillgängliga för obehöriga

Varför är jag inte förvånad?

Antites.

Vem som ska få sparken för det? Ingen?! Som vanligt...

Jag tror du mycket väl du förstår vad jag avsåg, men det går ju alltid att hårddra saker, om man inte har bättre för sig.

I Sverige har man inget direkt ansvar så ja, som vanligt

Jag har "hört" att på vissa arbetsplatser går det åt mellan 80-90 % av arbetstiden till möten medan resterande tid är kodning, kodrecensioner, o.d. Om du då går en YH-utbildning där nästan 50 % av studietiden är LIA, hur ska du då lära dig någon faktisk kodning (som exempelvis SQL Server Encryption i Microsofts SQL Server) om du till 80-90 % håller på med att brygga kaffe och lyssna på samma semesterhistorier om och om igen?!

Mvh,
WKL.

Självklart ingen. Och de drabbade kommer inte få någon som helst ersättning om/när deras inboxar blir sönderspammade, eller bedragare börjar ringa. I bästa fall får de ett "vi ber om ursäkt för det inträffade", som är gratis för UL och inte kommer avhjälpa något av ovanstående.

Egentligen borde de drabbade fakturera UL per påbörjad arbetstimme för varje spammail de raderar eller bedragarsamtal de besvarar orsakade av detta. De har nog själva inga som helst problem med att fakturera sådana som orsakar merarbete för dem.

Det är ganska låg datasäkerhet på de flesta ställen idag, det jobbas för att bli bättre, men det går sakta. Så fler händelser kommer inträffa, i detta fall var det ej superallvarligt.

Det är därför jag alltid betalar busschauffören med ett äggfack för mina resor.
Digitala betalningsmedel är spårbara, pengar vet man aldrig var de har varit, smutsiga bakterier eller droger kan vara på dem. Det enda säkra är byteshandel som folk gjorde på 1800 talet.

Rogers' bell curve är annars intressant. Innovators, Early adaptors, majority, laggers etc. De tidigaste får ofta mest en massa problem, driftkraften är ofta det är roligt.
Men de sista laggers får också problem. När typ alla köper sina biljetter i telefonen så anpassar biljettförsäljningen sig därefter. Det blir så himla omständligt att köpa biljetter på någon annanstans än mobilen. Dessutom tar biljetterna plats och på sommaren när man har ett par byxor och tshirt och ska förvara ens mobil, bankkort, nycklar etc i byxorna så har man ej mycket plats.

UL

Skulle vart skönt om företag kunde skylla alla fel på underleverantörer eller underentreprenörer...

UL bär ansvar gentemot de drabbade, sedan kan de i sin tur ansvarsbelägga konsultföretaget.

UL.

Ansvaret ligger alltid hos den som äger produkten, spelar ingen roll vem som skapat den eller vem man anställt för att skapa den, eller vilka former den anställningen/uppdraget tagit form i.

Ansvaret är helt och hållet UL's. Sen får man titta på avtalet som UL haft med leverantören och titta ifall leverantören gjort sig skyldig till kontraktsbrott och/eller missat krav, samt ifall dessa missade krav har några ekonomiska påföljder kopplade. Det kan mycket väl bli så att det blir feta böter och/eller kompensation till UL från lev i detta fall.

Men i slutändan är det ändå ägaren (UL) som har ansvaret. Som alltid.

Baserat på beskrivningen skulle jag spontant gissa på att det API som appen använder hade en Insecure Direct Object Reference-sårbarhet som lät folk enumerera fram denna information. Då måste ju naturligtvis appen kunna visa den informationen i klartext i appen (fast skickad över HTTPS givetvis), oavsett hur informationen lagrats.

Det kan naturligtvis också röra sig om en exponerad databas, men får inte den känslan här.

Skulle man sparka folk varje gång de introducerar en sårbarhet skulle mindre företag som dessa förmodligen inte ha så många utvecklare kvar. Samtidigt skulle de sparka de som dragit lärdom av misstaget och ersätta dessa med folk som mycket väl kan göra exakt samma misstag igen. Ännu värre är att det också skulle skapa en skadlig kultur där sårbarheter mörkas istället för att rapporteras internt.

Den rätta lösningen är att utbilda sina utvecklare istället, så att de själva har vanliga typer av webbsårbarheter i åtanke under utvecklingens gång.

Det där sistnämnda får du nog faktiskt underbygga med lite källor. Jag kan själv inte minnas ett endast fall där så visade sig vara fallet. Om det som du säger sker "ofta" så borde det inte vara särskilt svårt att ge lite bra exempel.