Privata chattar hos Netdialog sårbara

Citera flera Citera (8)

2015-03-19 11:44

Broken-arrow

Medlem ★

Plats: sweden
Registrerad: Dec 2008

●

Skrivet av kobb3:

DN Skriver idag om att företaget Netdialog, som sysslar med chattar på internet, till exempel privata chattar till BRIS, cancersjuka barn mm, inte ens har skyddat sig mot SQL-injections i sina produkter. Hur är det ens möjligt för ett kommersiellt företag att sälja produkter som inte uppfyller de enklaste och mest självklara kriterierna någonsin?

Gissa vad, lösenorden för användarna till chattarna är inte heller krypterade.

Sådana här företag måste få sjukt mycket skit för va de gjort och förlora alla kunder för att inse att säkerhet är viktigt. Hoppas innerligt att de förlorar kunder på detta. I praktiken kommer det säkert inte påverka verksamheten ett skit, vilket är synd, företag ska inte tjäna på att göra dåliga produkter.

Blir lika upprörd varje gång.

Största felet är att gemene man inte vet vad säkerhet är på nätet och kör enkla lösenord. Tror det är helt enkelt generation och lathet/okunskap som låter företag gå fria.

När det gäller säkerhet på nätet får man lära sig sånt själv, genom misstag och/eller läsa på. Men 99% vill ju bara plugga in sladden i väggen och skiter i allt med säkerhet så länge dom kommer till Blocket,Aftonbladet och Facebook. Även HTTPS är inget dom bryr sig om det finns, för dom flesta vet inte ens vad det är.

Visa signatur

#Gilla inlägg som är bra & Använd citera/@"namn" vid snabbt svar

Citera flera Citera

2015-03-19 12:31

oelrich

Medlem

Plats: Uppsala
Registrerad: Jul 2011

●

Skrivet av Broken-arrow:

Största felet är att gemene man inte vet vad säkerhet är på nätet och kör enkla lösenord. Tror det är helt enkelt generation och lathet/okunskap som låter företag gå fria.

När det gäller säkerhet på nätet får man lära sig sånt själv, genom misstag och/eller läsa på. Men 99% vill ju bara plugga in sladden i väggen och skiter i allt med säkerhet så länge dom kommer till Blocket,Aftonbladet och Facebook. Även HTTPS är inget dom bryr sig om det finns, för dom flesta vet inte ens vad det är.

I många fall skall användaren inte behöva bry sig om säkerhet. Har man hand om känsliga uppgifter så bör det föra med sig kännbara konsekvenser om man inte hanterar dem säkert. Att skylla på slutanvändaren är bara lågt.

Ta ett sådant exempel som där du registrerar dig som vårdsökande någonstans. Ofta får du inte ens titta på datorn; så hur skall du kunna avgöra om den är säker (om du råkar ha de tekniska kunskaperna för det). Eller varför inte när du betalar med bankkort i butik. Hur kan man vara säker på att det som sker i den processen faktiskt är säkert?

Däremot så ligger det mycket i att företag och myndigheter sällan behöver ta ansvar för sina misstag. Men det är ju något vi som väljare med insikt i var problemen sitter verkar tycka är ok.

Visa signatur

.<

Citera flera Citera (1)

2015-03-19 12:40

Broken-arrow

Medlem ★

Plats: sweden
Registrerad: Dec 2008

●

Skrivet av oelrich:

I många fall skall användaren inte behöva bry sig om säkerhet. Har man hand om känsliga uppgifter så bör det föra med sig kännbara konsekvenser om man inte hanterar dem säkert. Att skylla på slutanvändaren är bara lågt.

Ta ett sådant exempel som där du registrerar dig som vårdsökande någonstans. Ofta får du inte ens titta på datorn; så hur skall du kunna avgöra om den är säker (om du råkar ha de tekniska kunskaperna för det). Eller varför inte när du betalar med bankkort i butik. Hur kan man vara säker på att det som sker i den processen faktiskt är säkert?

Däremot så ligger det mycket i att företag och myndigheter sällan behöver ta ansvar för sina misstag. Men det är ju något vi som väljare med insikt i var problemen sitter verkar tycka är ok.

Grejen är att kompetensen och kunskapen inte finns på rätt ställe. För att utöva påtryckning att fixa säkerheten måste vi vanlig privatpersoner ha kunskap i säkerhet på nätet och varför det är viktigt. myndigheter har flera gånger bevisat att dom skiter i individers rätt att datan ska ligga säkert, som när dom la privat information hos ett företags server utan att kolla säkerheten.

Största problemet är dom med betydande kunskap runt internet och säkerhet är få tyvärr. Därför detta kan fortgå. Folk bryr sig inte och glömmer fort varför det är viktigt att data ska ligga säkert.

Visa signatur

#Gilla inlägg som är bra & Använd citera/@"namn" vid snabbt svar

Citera flera Citera

2015-03-19 14:08

Teknocide

Medlem ★

Registrerad: Sep 2007

●

Skrivet av Broken-arrow:

Grejen är att kompetensen och kunskapen inte finns på rätt ställe. För att utöva påtryckning att fixa säkerheten måste vi vanlig privatpersoner ha kunskap i säkerhet på nätet och varför det är viktigt. myndigheter har flera gånger bevisat att dom skiter i individers rätt att datan ska ligga säkert, som när dom la privat information hos ett företags server utan att kolla säkerheten.

Största problemet är dom med betydande kunskap runt internet och säkerhet är få tyvärr. Därför detta kan fortgå. Folk bryr sig inte och glömmer fort varför det är viktigt att data ska ligga säkert.

Snarare borde det krävas kvalitetssäkring av myndigheter och organisationer med krav på sekretess. Det är knappast privatpersoners uppgift att se till att BRIS system är intrångssäkra.

Visa signatur

Kom-pa-TI-bilitet

Citera flera Citera (3)

2015-03-19 14:40

Broken-arrow

Medlem ★

Plats: sweden
Registrerad: Dec 2008

●

Skrivet av Teknocide:

Snarare borde det krävas kvalitetssäkring av myndigheter och organisationer med krav på sekretess. Det är knappast privatpersoners uppgift att se till att BRIS system är intrångssäkra.

Jo och oftast kommer pressen från folket. Många gånger gör inte myndigheter mer än det nödvändiga och IT säkerhet är långt ner på listan (sen är det ju dyrt att säkra systemen ).

Sen myndigheter lever ju kvar i en tid där allt lagrades på papper, inte som idag på datorer.

Visa signatur

#Gilla inlägg som är bra & Använd citera/@"namn" vid snabbt svar

Citera flera Citera

2015-03-19 23:16

kobb3

Medlem

Registrerad: Apr 2009

●

Skrivet av Broken-arrow:

Jo och oftast kommer pressen från folket. Många gånger gör inte myndigheter mer än det nödvändiga och IT säkerhet är långt ner på listan (sen är det ju dyrt att säkra systemen ).

Sen myndigheter lever ju kvar i en tid där allt lagrades på papper, inte som idag på datorer.

Problemet är väl att företag inte tjänar något nämnvärt på att höja sin säkerhet men det borde ju vara självklart att kryptera lösenord och undvika SQL-injections, det tar ju inte mer än 10 minuter att fixa.

Citera flera Citera

2015-03-19 23:35

Geckod

Quizmästare Malmö 2022

Plats: Karlshamn
Registrerad: Jan 2008

●

Hur gör man för att skydda sig mot detta då (Menar SQL injektion) ? Hade varit bra att veta.
Inte för att jag har något behöv av det just nu, men i framtiden

Citera flera Citera

2015-03-20 09:22

Broken-arrow

Medlem ★

Plats: sweden
Registrerad: Dec 2008

●

Skrivet av kobb3:

Problemet är väl att företag inte tjänar något nämnvärt på att höja sin säkerhet men det borde ju vara självklart att kryptera lösenord och undvika SQL-injections, det tar ju inte mer än 10 minuter att fixa.

Gäller det företag till privatperson är det förståeligt att säkerheten är låg. Beror på att kunder inte efterfrågar detta, detta i sin tur beror på att ingen bryr sig och/eller förstår konsekvenserna med att slarva med säkerheten (dom tror ändå inget allvarligt kan hända).

Samma inom offentliga sektorn är det ingen utifrån som pushar för säkerheten, så händer inget. Det är tyvärr så vi väljare som röstar på vist parti som i så fall får ta steget, tyvärr lär det inte hända från det är försent.

Visa signatur

#Gilla inlägg som är bra & Använd citera/@"namn" vid snabbt svar

Citera flera Citera

2015-03-20 12:36

SeeSharp

Medlem

Registrerad: Mar 2015

●

Sårbarheten hos BRIS har ingenting med sårbarheten hos Netdialog att göra. BRIS driftar sin chatt själva och hade ordentligt hashade lösenord med salt och allt. I BRIS fall var det inte i själva chatten säkerhetshålet fanns utan i en annan funktion på hemsidan. I och med denna sårbarhet gick det att komma åt databasen där även chattloggar och användarkonton fanns lagrade.

Citera flera Citera

2015-03-21 22:00

l4nky

Medlem ★

Registrerad: Jan 2005

●

Skrivet av Geckod:

Hur gör man för att skydda sig mot detta då (Menar SQL injektion) ? Hade varit bra att veta.
Inte för att jag har något behöv av det just nu, men i framtiden

Tom Scott har många bra klipp på såna saker.
https://www.youtube.com/watch?v=_jKylhJtPmI