I fjol släppte Skånetrafiken en ny mobilapplikation för resenärer. Den nya appen låter resenärerna köpa biljetter och fungerar även som ett komplement till de traditionella plastkorten. I juni upptäckte en av Skånetrafikens apputvecklare en systemmässig brist som läckte användarnas lösenord. Källor till Kvällsposten uppger att mer än tusen lösenord läckte på en enda vecka.
För att bringa klarhet i vad som har hänt, rent tekniskt, ställde Skånetrafikens IT-chef Johan Karlberg upp på en intervju med SweClockers. Han försäkrar att systemet inte lagrar användarnas lösenord i klartext. Det var en felaktig konfiguration som gjorde att lösenorden fastnade i systemets loggar.
Loggsystem som av misstag lagrar användarnas lösenord fortsätter att vara ett stort IT-säkerhetsproblem. I våras upptäckte Twitter att de av misstag loggat användarnas lösenord och uppmanade därför 330 miljoner användare att byta. Skånetrafiken har ännu inte gått ut med någon uppmaning om lösenordsbyte till sina användare, men de för interna diskussioner kring vilka åtgärder som ska vidtas.
Skånetrafiken har inte fått några indikationer på att inloggningsuppgifterna har missbrukats. Trots det uppmanar vi på SweClockers samtliga användare av Skånetrafikens app att byta lösenord. Det gäller framförallt alla andra appar och webbplatser där samma lösenord har använts. Lösenord som har fastnat i loggfiler bör alltid betraktas som röjda även om enbart en begränsad skara administratörer har haft tillgång till loggfilerna.
Säkerhetsbristen, som Johan Karlberg tillskriver den mänskliga faktorn, är nu åtgärdad. Inga bankkort- eller kreditkortsuppgifter kan ha läckt då de hanteras av ett annat system hos Skånetrafikens betaltjänstleverantör.
Karl Emil Nikka är sakkunnig inom IT-säkerhetsfrågor på SweClockers och står bakom programserien "Så fungerar". Han driver dessutom utbildningsföretaget Nikka Systems med fokus på just IT-säkerhet och var dessförinnan press- och utbildningschef på Kjell & Company.
