Billet system / data sikkerhed

Her debatteres alt generelt om AaB Fodbold.
Besvar
seamann

Billet system / data sikkerhed

Indlæg af seamann » 18. maj 2012, 22:30

Igen i år har jeg modtaget en mail fra AaB med tilbud om forlængelse af sæsonkort. I denne mail skriver AaB min bruger samt adgangskode til billet systemet.

Det er, så vidt jeg kan se, en soleklar overtrædelse af alle regler og best practices omkring datasikkerhed. Om det er direkte ulovligt iht person data loven har jeg ikke indsigt i, men der er måske andre, der har denne indsigt ?

Under alle omstændigheder pisser det mig så meget af, at man ikke kan tænke længere, at jeg har tænkt mig at droppe billet systemet fuldstændigt fremover.

Brugeravatar
MrBangDK
Allstar
Allstar
Indlæg: 5089
Tilmeldt: 30. apr 2007, 10:06
Geografisk sted: 2730 - det mondæne Herlev..

Re: Billet system / data sikkerhed

Indlæg af MrBangDK » 18. maj 2012, 22:43

seamann skrev:Igen i år har jeg modtaget en mail fra AaB med tilbud om forlængelse af sæsonkort. I denne mail skriver AaB min bruger samt adgangskode til billet systemet.

Det er, så vidt jeg kan se, en soleklar overtrædelse af alle regler og best practices omkring datasikkerhed. Om det er direkte ulovligt iht person data loven har jeg ikke indsigt i, men der er måske andre, der har denne indsigt ?

Under alle omstændigheder pisser det mig så meget af, at man ikke kan tænke længere, at jeg har tænkt mig at droppe billet systemet fuldstændigt fremover.
Har du skrevet til AaB og gjort dem opmærksom på det? Eller bare skrevet det herinde?
Ska' vi hak'?

jonas386
Allstar
Allstar
Indlæg: 10593
Tilmeldt: 1. jun 2009, 16:00
Favoritspiller: Ingen

Re: Billet system / data sikkerhed

Indlæg af jonas386 » 19. maj 2012, 02:28

Jeg forstår ikke helt problemet?
AaB sender din er mail (som formodes at være privat) hvor de oplyser dit brugernavn og kodeord, eller hvordan?
http://www.youtube.com/watch?v=bx1wypIgVrE

Altid for AaB, Altid for Aalborg, Nordjylland det er mit hjem.

Brugeravatar
le Cid
Allstar
Allstar
Indlæg: 4412
Tilmeldt: 6. jul 2005, 13:12
Geografisk sted: Mejrup, Holstebronx

Re: Billet system / data sikkerhed

Indlæg af le Cid » 19. maj 2012, 06:36

jonas386 skrev:Jeg forstår ikke helt problemet?
AaB sender din er mail (som formodes at være privat) hvor de oplyser dit brugernavn og kodeord, eller hvordan?
Problemet er nok først og fremmest, at de ikke gemmer passwordet krypteret. Det burde altså være et mindstekrav! Mange mennesker bruger samme password til flere forskellige ting, så med en mailadresse og et password, kan man måske have fat i eksempelvis et komplet login til en mailkonto... For ikke at tale om webbanken...! Jeg er overbevist om, at sikkerhed ikke er prioriteret særligt højt hos AaB, eftersom de ikke engang har hørt om kryptering af passwords, så mon ikke det ville være barnemad for en bebumset teenage-hacker wannabe at få fat på de oplysninger?
Contra [1 2 3 4 5 6 7 8 9 10] Pro <-Mit Hilje-indeks

seamann

Re: Billet system / data sikkerhed

Indlæg af seamann » 19. maj 2012, 10:37

MrBangDK skrev:
seamann skrev:Igen i år har jeg modtaget en mail fra AaB med tilbud om forlængelse af sæsonkort. I denne mail skriver AaB min bruger samt adgangskode til billet systemet.

Det er, så vidt jeg kan se, en soleklar overtrædelse af alle regler og best practices omkring datasikkerhed. Om det er direkte ulovligt iht person data loven har jeg ikke indsigt i, men der er måske andre, der har denne indsigt ?

Under alle omstændigheder pisser det mig så meget af, at man ikke kan tænke længere, at jeg har tænkt mig at droppe billet systemet fuldstændigt fremover.
Har du skrevet til AaB og gjort dem opmærksom på det? Eller bare skrevet det herinde?
Ja, jeg har skrevet det til dem. Både sidste år og igen i år.

BoomZ0R
Allstar
Allstar
Indlæg: 1105
Tilmeldt: 22. mar 2009, 00:33

Re: Billet system / data sikkerhed

Indlæg af BoomZ0R » 19. maj 2012, 12:24

Det er simpelthen for ringe. Alle der sætter den slags systemer op, bør som minimum have krypteret passwords.
Et brugersystem må aldrig kunne oplyse brugere om deres password, men blot give mulighed for at nulstille det.

A_Strandfelt
Allstar
Allstar
Indlæg: 1913
Tilmeldt: 15. apr 2006, 23:00

Sv: Billet system / data sikkerhed

Indlæg af A_Strandfelt » 19. maj 2012, 18:41

Jeg er enig I, at det ikke er god stil at sende en mail med passwordet i, men det betyder jo ikke nødvendigvis, at passwords ikke er opbevaret krypteret på AaBs server. De kan bare være blevet dekrypteret inden afsendelse.

BoomZ0R
Allstar
Allstar
Indlæg: 1105
Tilmeldt: 22. mar 2009, 00:33

Re: Sv: Billet system / data sikkerhed

Indlæg af BoomZ0R » 19. maj 2012, 20:42

A_Strandfelt skrev:Jeg er enig I, at det ikke er god stil at sende en mail med passwordet i, men det betyder jo ikke nødvendigvis, at passwords ikke er opbevaret krypteret på AaBs server. De kan bare være blevet dekrypteret inden afsendelse.
Det tror jeg simpelthen ikk på. Desuden så hasher man normalt passwords, og har man gjort det, så kan man ikk få den oprindelige værdi tilbage. Så sikkerheden er nok ca. lig 0.

A_Strandfelt
Allstar
Allstar
Indlæg: 1913
Tilmeldt: 15. apr 2006, 23:00

Sv: Re: Sv: Billet system / data sikkerhed

Indlæg af A_Strandfelt » 19. maj 2012, 22:11

Zee skrev:
A_Strandfelt skrev:Jeg er enig I, at det ikke er god stil at sende en mail med passwordet i, men det betyder jo ikke nødvendigvis, at passwords ikke er opbevaret krypteret på AaBs server. De kan bare være blevet dekrypteret inden afsendelse.
Det tror jeg simpelthen ikk på. Desuden så hasher man normalt passwords, og har man gjort det, så kan man ikk få den oprindelige værdi tilbage. Så sikkerheden er nok ca. lig 0.
Jeg ved skam udmærket godt, hvad man gør og hvordan hashes fungerer. Min pointe var, at vi ikke ved, om passwords er krypterede i databasen, som folk ellers nærmest konkluderede her i tråden. Men vi ved, at der ikke er brugt one way hashing, hvilket ellers er den typiske løsning på opbevaring af passwords.

Besvar