SF, hur tänkte ni?

Som uppföljning på mitt inlägg om deras nya mötesplats Biosnack kommer här ett inlägg som tar upp lite säkerhetstänk.

Alla som är medlemmar i Bioklubben hos SF har kortnumret som användarnamn och lösenordet är medlemmens förnamn. Bara här blir man lite rädd, dock så måste någon komma över mitt medlemskort och sedan tyda namnteckningen för att kunna logga in på deras sida.

För ett tag sedan lanserade de en mötesplats där de använder samma bra säkerhetstänk. Blir man medlem där får man automatiskt ett användarnamn, nämligen sitt kortnummer från Bioklubben. Användarnamnet syns på länken till medlemmarnas profilsidor (http://biosnack.sfbio.se/medlem/username) vilket man även kommer åt genom ett unikt id som startar på 1 för den första medlemmen och sedan ökas för varje ny medlem (http://biosnack.sfbio.se/user/auto-increment-id/).

Det är således väldigt enkelt att gå igenom alla medlemmarnas profilsidor och hämta ut deras användarnamn på mötesplatsen.

Lösenordet sätts som standars till medlemmens förnamn, första gången man loggar in får man dock en uppmaning att byta till ett säkrare lösenord. Varför satte SF någonsin ett lösenord som de ändå tycker är osäkert när de enkelt kunda genererat fram helt nya och säkra lösenord?

Lösenordet är förnamnet på medlemmens profilsida

Nu har vi alltså både användarnamn och lösenord till en medlem på deras nya mötesplats. Notera att detta enkla sätt att få tillgång till en medlems inloggningsuppgifter bara gäller de som inte väljer att byta användarnamn och/eller lösenord. Om man vill är det bara kolla alla nya medlemmarnas profilsidor och scanna av inloggningsuppgifter innan de hunnit ändra dessa.

Jag har påpekat detta för ansvariga hos SF och fick följande som svar

På nya Bioklubben kan man byta sin alias och lösenord till det som man vill. Och vi kommer att meddela våra medlemmar om att byta användarnamn och lösenord första gången de loggar in.

Biosnack är endast lanserad i en beta, hoppas verkligen att dessa brister är borta innan de lanserar sidan skarpt, säkerhetstänk verkar tyvärr inte stå högt upp på deras lista.

En tillfällig lösning hade varit att SF ger de nya medlemmarna något annat användarnamn inne på mötesplatsen än vad som används för att logga in till sidan.

5 reaktioner på ”SF, hur tänkte ni?”

  1. Som jag skrev har jag skickat e-postmeddelande till SF och påtalat bristerna, känner inte det är min uppgift att behöva leta upp utvecklarna, det får dom själva vidarebefordra internt.

  2. Väldigt ansvarsfullt av dig Stefan att gå ut med detta innan SF hunnit fixa problemet. Vad jag kan se är det löst nu men du har knappast gjort någon en tjänst genom att sprida information om en sårbarhet innan den åtgärdats.

  3. @Ano Om du har läst mitt inlägg så har jag kontaktat SF och påtalat bristerna, tycker det är ansvarsfullt. Svaret jag fick tolkade jag som att det skulle förbli så som det var. Att de ens satt dessa användarnamn och lösenord från första början och haft det så många år borde du lägga din fokus på, det är oansvarsfullt.

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *