SAS Eurobonusshop hackade

H

h%C3%A5kan-eriksson

New member
Hej.



Igår när jag skulle in och göra en bokning så fick jag se följande spännande lilla detalj:





upload_2017-6-5_10-20-37-png.64789



Blev såklart lite konfunderad och slog en signal till kundtjänst. Det enda de kunde säga var att jag har handlat på SAS EuroBonus Shop Vilket jag naturligtvis hade kommit ihåg. data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7



Efter ett samtal med eurobonusshoppen så bekräftar det att mitt konto och "många andra" blivit hackade och att det ligger hos "Sas crime". Hon ville inte säga hur många, men att det är på deras sida det hänt och att det "inte gjorts av en svensk". Poängen ska enligt henne komma tilllbaks "om ett tag" när deras utredning är klar.



Intressant helt klart. Ingenting på mitt EB-konto var pillat med, utan endast shoppen. Så jag köper ju inte att de knäckt mitt lösen (som jag naturligtvis bytt nu) utan tror ju snarare att de knäckt själva shoppen i sig.



Så kan det gå data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7
 
Yikes.



Har du använd SAS EuroBonus Shop någon gång överhuvudtaget? Inte denna gång förstås, men någon annan gång?
 
Jag vet inte riktigt faktiskt.

Grejen är ju att SAS just nu är så fragmenterade i sin hantering av Eurobonus så jag knappt har koll på vart jag kommer in med mitt lösen.

De påstår att detta och SAS Plus deal är olika saker. För där vet jag att jag beställt något för pengar någon gång.



Så jag _tror_ inte att jag använt den här. Om den nu inte funnits under annan skepnad tidigare. Kände inte igen den alls iaf. Så förmodligen inte.
 
Det verkar högst otroligt att de hackat EB-shoppen och sedan gjort köp som syns. Isåfall är det riktiga amatörer. Det är mycket mer troligt att de faktiskt lyckats knäcka ditt lösenord på något sätt. Anledningen till att de sedan använder poäng i EB-shoppen är att de hoppas att prylarna skeppas innan det hela upptäcks och därmed kommer de undan. Att boka flyg/hotell för poäng är inte så användbart eftersom det tvingar en att vara på en viss plats vid en viss tid...
 
agehall skrev:Det verkar högst otroligt att de hackat EB-shoppen och sedan gjort köp som syns. Isåfall är det riktiga amatörer. Det är mycket mer troligt att de faktiskt lyckats knäcka ditt lösenord på något sätt. Anledningen till att de sedan använder poäng i EB-shoppen är att de hoppas att prylarna skeppas innan det hela upptäcks och därmed kommer de undan. Att boka flyg/hotell för poäng är inte så användbart eftersom det tvingar en att vara på en viss plats vid en viss tid...Klicka för att utvidga...
Click to expand...


Mjo, egentligen håller jag med dig. Och rent tekniskt spelar det ju mig ingen jätteroll, lösenordet är bytt osv.

Men då det enligt kundtjänst skulle ha varit ett stort antal konton som används samtidigt så undrar jag ju lite vart de hittat svagheten så att säga. För har de ett gäng medlemmars konton tillgängliga så har de ju antingen hittat dem någon annanstans eller så är det en brute force-grej. Varpå svagheten ligger i andra änden så att säga.



Intressant är det iaf. Kan tyckas att det är konstigt att de vet att mitt konto på något sätt används olovligt och ändå inte tvingade igenom ett lösenordsbyte. Utan detta löste jag ju liksom själv imorse. Spontant så hade jag ju omgående tvingat alla att byta lösen.. Men men, jag är ju inte SAS IT data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7
 
Kolla BA-forumet på flyertalk. Det är enstrid ström av personer där som får sina konton hackade. Det sker nog mer brutefoeceing ön vad man tror.
 
Intressant utveckling idag.



Fick följande från SAS nu på morgonen.




Hej Håkan Eriksson.Vi har blivit uppmärksammade på att poäng använts från ditt EuroBonus-konto utan din vetskap. Vi kan se att poängen använts för inköp av varor från EuroBonus Shop.Enligt din EuroBonus-profil har inga ändringar av personliga uppgifter registrerats i samband med detta köp och vi kan se att information om köpet blev skickat till samma e-mail adress som finns angiven i din profil. Ingen anledning till misstanke om oegentligheter har funnits för EuroBonus eller EuroBonus Shop, men i syfte att förhindra fler köp har vi nu stoppat möjligheten att använda ytterligare poäng från ditt konto.Enligt vad du beskriver verkar det som om någon har loggat in på ditt EuroBonus konto med inloggningsuppgifter som bara bör vara kända av dig. Detta indikerar att personen ifråga har/har haft tillgång till din e-mail - och sannolikt också till din dator - och på så sätt skaffat sig tillgång till ditt Eurobonus-konto.För att förhindra liknande händelser i framtiden, vill vi be dig att se över ditt EuroBonus-konto och ändra dina inloggningsuppgifter. Vi vill även framhålla vikten av att du, för din egen skull, snarast kontrollerar din dator mot eventuella virus samt försäkrar dig om att ingen har skaffat sig otillbörlig tillgång till annan information, som exempelvis inloggningsuppgifter till ditt bankkonto eller din kreditkortsinformation.Vi har tillsvidare stängt ditt EuroBonus-konto så att inga fler poäng-uttag kan göras. Vänligen återkom till oss så snart du ändrat dina inloggningsuppgifter och kanske fått din dator kontrollerad mot eventuella virus, så öppnar vi ditt konto igen.Om några av dina EuroBonus-poäng felaktigt har använts, bör du anmäla detta till polis samt eventuellt kontakta ditt försäkringsbolag. Denna typ av missbruk ligger utanför SAS EuroBonus ansvar.Vid frågor är du välkommen att kontakta oss på följande e-mailadress:[email protected]Med vänlig hälsning,SAS Fraud InvestigationKlicka för att utvidga...
Click to expand...


Det är intressant på flera sätt.

För det första är det alltså inte jag som gjort någon anmälan, utan den är gjord av Eurobonus-shop. Så påståendet att det inte funnits någon anledning för dem att misstänka oegentligheter blir ju rätt löjlig när det är deras egna fraud-system som stoppat transaktionen och de själva som anmält det hela till SAS. Så det blir ju en direkt lögn. Även om den förmodligen beror mer på okunskap än uppsåt.



Sedan pekar de väldigt mot att min mail skulle vara hackad. Först och främst stämmer det inte då inga inloggningar gjort från några konstiga ställen. Och jag var bortrest så inga datorer var igång, utan endast mobilen. Så, de har helt enkelt inte skickat mig någon bekräftelse. Vilket känns rimligt i sig eftersom kundtjänsten på Eurobonus-shop säger att transaktionerna stoppades i "steg 2". Dvs de drog poäng, men skickade inga varor osv då det blev uppenbart att det var fraud. Så även om det mycket väl kan vara så att mitt lösenord hackats (så jävla klurigt lösen hade jag inte) så är det definitivt inte via mailen. (Plus såklart att har man tillgång till min mail har man tillgång till jävligt mkt intressantare saker att sno än EB-poäng data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7).



Slutligen finns tramset på slutet om polisanmälan och att det ligger utanför deras ansvar. Vilket rimmar illa med att Eurobonus-shop säger att ingenting skickats och att de ska återbetala poängen så snart SAS "låst upp" kontot igen.



Man kan slutligen tycka att det är intressant att själva "köpet" gjordes och fraud-anmäldes i fredags. Men att jag som kund idag (onsdag) blir ombedd att byta lösen. De låste inte kontot och tvingade ett lösenordsbyte automatiskt som ett "riktigt" företag skulle gjort data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7



För övrigt är personen som skrivit mailet, vars namn jag plockat bort, helt onåbar. Han nås inte via växeln i Stockholm då han "inte finns". Och i Svega har de aldrig hört talas om honom och har inga kontaktuppgifter till den avdelningen.



Så, skickade ett långt svar och inväntar deras återkoppling. Blir intressant det här. data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7
 
Håkan Eriksson skrev:Intressant utveckling idag.Fick följande från SAS nu på morgonen.Det är intressant på flera sätt.För det första är det alltså inte jag som gjort någon anmälan, utan den är gjord av Eurobonus-shop. Så påståendet att det inte funnits någon anledning för dem att misstänka oegentligheter blir ju rätt löjlig när det är deras egna fraud-system som stoppat transaktionen och de själva som anmält det hela till SAS. Så det blir ju en direkt lögn. Även om den förmodligen beror mer på okunskap än uppsåt.Sedan pekar de väldigt mot att min mail skulle vara hackad. Först och främst stämmer det inte då inga inloggningar gjort från några konstiga ställen. Och jag var bortrest så inga datorer var igång, utan endast mobilen. Så, de har helt enkelt inte skickat mig någon bekräftelse. Vilket känns rimligt i sig eftersom kundtjänsten på Eurobonus-shop säger att transaktionerna stoppades i "steg 2". Dvs de drog poäng, men skickade inga varor osv då det blev uppenbart att det var fraud. Så även om det mycket väl kan vara så att mitt lösenord hackats (så jävla klurigt lösen hade jag inte) så är det definitivt inte via mailen. (Plus såklart att har man tillgång till min mail har man tillgång till jävligt mkt intressantare saker att sno än EB-poäng).Slutligen finns tramset på slutet om polisanmälan och att det ligger utanför deras ansvar. Vilket rimmar illa med att Eurobonus-shop säger att ingenting skickats och att de ska återbetala poängen så snart SAS "låst upp" kontot igen.Man kan slutligen tycka att det är intressant att själva "köpet" gjordes och fraud-anmäldes i fredags. Men att jag som kund idag (onsdag) blir ombedd att byta lösen. De låste inte kontot och tvingade ett lösenordsbyte automatiskt som ett "riktigt" företag skulle gjortFör övrigt är personen som skrivit mailet, vars namn jag plockat bort, helt onåbar. Han nås inte via växeln i Stockholm då han "inte finns". Och i Svega har de aldrig hört talas om honom och har inga kontaktuppgifter till den avdelningen.Så, skickade ett långt svar och inväntar deras återkoppling. Blir intressant det här.Klicka för att utvidga...
Click to expand...


Konstigt. Loggas inte IP-nummer då? Och var var grejerna tänkta att skickas, det känns ju som att de borde ha koll på det?



Jag fick mitt PayPal-konto hackat på samma sätt nyligen, med resultatet att en massa grejer köptes och skickades till konstiga adresser. Dvs. de hade lyckats komma över användar-ID och lösenord - vilket väl är uppgifter som mer eller mindre säljs batchvis. Såväl PayPal som AmEx tog det på allvar och det löstes snabbt.



Verkar oseriöst skylla på dig istället för att reda ut problemet. Lustigt nog vill de ju sällan att man går till polisen, utan "löser" ofta denna typ av bedrägerier fort som attan ändå. Inte för att polisen prioriterar det, men om de nu gör det så kan det ju visa sig att de inte sköter sina åtaganden när det kommer uppdateringar av data security osv. En av de mest grundläggande sakerna brukar ju vara att IP-nummer loggas. Det är nog billigare för dem att ersätta dig än att det börjar grävas i hur de hanterar känslig data - och jag gissar på att det inte är prioriterat. Blir bra löp för Aftonbladet när de kan skriva att potentiellt miljontals EuroBonus-konton kan vara hackade.



En anledning till att du inte får tag på gubben kan väl vara att såväl shoppen som dereas "fraudavdelning" är outsourcad till b.la. Crossroads Loyalty Solutions, då finns han kanske inte i SAS bok heller?



Hursomhelst borde du ju få tillbaka dina poäng snabbt eftersom de redan pekat på att det inte är ditt fel i den första kontakten med kundservice, och eftersom det verkar som att fler är drabbade. Stå på dig oavsett.
 
Moco skrev:Konstigt. Loggas inte IP-nummer då? Och var var grejerna tänkta att skickas, det känns ju som att de borde ha koll på det?Jag fick mitt PayPal-konto hackat på samma sätt nyligen, med resultatet att en massa grejer köptes och skickades till konstiga adresser. Dvs. de hade lyckats komma över användar-ID och lösenord - vilket väl är uppgifter som mer eller mindre säljs batchvis. Såväl PayPal som AmEx tog det på allvar och det löstes snabbt.Verkar oseriöst skylla på dig istället för att reda ut problemet. Lustigt nog vill de ju sällan att man går till polisen, utan "löser" ofta denna typ av bedrägerier fort som attan ändå. Inte för att polisen prioriterar det, men om de nu gör det så kan det ju visa sig att de inte sköter sina åtaganden när det kommer uppdateringar av data security osv. En av de mest grundläggande sakerna brukar ju vara att IP-nummer loggas. Det är nog billigare för dem att ersätta dig än att det börjar grävas i hur de hanterar känslig data - och jag gissar på att det inte är prioriterat. Blir bra löp för Aftonbladet när de kan skriva att potentiellt miljontals EuroBonus-konton kan vara hackade.En anledning till att du inte får tag på gubben kan väl vara att såväl shoppen som dereas "fraudavdelning" är outsourcad till b.la. Crossroads Loyalty Solutions, då finns han kanske inte i SAS bok heller?Hursomhelst borde du ju få tillbaka dina poäng snabbt eftersom de redan pekat på att det inte är ditt fel i den första kontakten med kundservice, och eftersom det verkar som att fler är drabbade. Stå på dig oavsett.Klicka för att utvidga...
Click to expand...


Tackar.



Ja precis, normalt brukar ju sådant skötas väldigt diskret och smidigt.

Intressantast kan jag tycka är att enligt shoppen så ska de inte ha skickat något. Dvs, de har egentligen inte lidit någon förlust alls och ska kunna skicka tillbaks alla poäng till folk. Så bortsett från arbetstimmar så har ingen lidit någon skada egentligen. Så oerhört intressant att de väljer den approachen.



Så vi får se. Uppdaterar när jag får svar. data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7
 
Efter en vecka och ett argt samtal till supporten Sveg så tog någon av cheferna där tag i ärendet och ringde runt och hetsade lite internt.

Så efter några timmar kom detta:




Hei Håkan Erikson,Vi kan bekrefte at poengene er satt tilbake på din EuroBonus konto.Med vennlig hilsenFraud InvestigationKlicka för att utvidga...
Click to expand...
 
Håkan Eriksson skrev:Intressant utveckling idag.Så även om det mycket väl kan vara så att mitt lösenord hackats (så jävla klurigt lösen hade jag inte) så är det definitivt inte via mailen.Klicka för att utvidga...
Click to expand...


Det går inte att ha en klurigt lösenord för max antal tecken är 12! Fattar inte varför de har satt en så låg begränsning. Man brukar ju säga att 12-14 är minimum (se här: Password strength - Wikipedia ). SAS har dock satt minimum till maximum...
 
flygahitochdit skrev:Detgårinte att ha en klurigt lösenord för max antal tecken är 12! Fattar inte varför de har satt en så låg begränsning. Man brukar ju säga att 12-14 är minimum (se här:Password strength - Wikipedia). SAS har dock satt minimum till maximum...Klicka för att utvidga...
Click to expand...


Som utvecklare blir jag mörkrädd när jag ser att det finns en begränsning på hur långt mitt lösenord får vara. Kan tyda på att lösenordet lagras i klartext.. Men man kan hoppas SAS är smartare än så och att begränsningen är någon gammal kvarleva.
 
Johan_S skrev:Som utvecklare blir jag mörkrädd när jag ser att det finns en begränsning på hur långt mitt lösenord får vara. Kan tyda på att lösenordet lagras i klartext.. Men man kan hoppas SAS är smartare än så och att begränsningen är någon gammal kvarleva.Klicka för att utvidga...
Click to expand...
Det är säkert något som ligger kvar från en tidigare version. Tror inte någon utvecklare idag skulle göra ett sådant misstag.
 
Att argumentera om längd på lösenord är helt bortkastat. Säkerhet med enbart lösenord är svag oberoende av längd. Ska man få vettig säkerhet behövs tvåfaktorauthenticering.
 
agehall skrev:Att argumentera om längd på lösenord är helt bortkastat. Säkerhet med enbart lösenord är svag oberoende av längd. Ska man få vettig säkerhet behövs tvåfaktorauthenticering.Klicka för att utvidga...
Click to expand...
För de allra flesta system skulle det räcka utmärkt om folk bara lärde sig hantera det och utvecklare slutade hitta på smarta sätt att hindra folk från att hantera det. Tyvärr kräver det första att "gemene man" utbildas I frågan och det andra kräver att utvecklare tänker till innan de hittar på "smarta saker", och inget av det är speciellt sannolikt.



För mer dyrbara saker som tex ff konton som faktiskt har stort monetärt värde gäller naturligtvis 2FA.


Jönsson skrev:Det är säkert något som ligger kvar från en tidigare version. Tror inte någon utvecklare idag skulle göra ett sådant misstag.Klicka för att utvidga...
Click to expand...
Hahaha.. Man kunde verkligen önska att det var så, men tyvärr är det inte så verkligheten ser ut.
 
agehall skrev:Att argumentera om längd på lösenord är helt bortkastat. Säkerhet med enbart lösenord är svag oberoende av längd. Ska man få vettig säkerhet behövs tvåfaktorauthenticering.Klicka för att utvidga...
Click to expand...
Är det tvåstegsverifiering du är ute efter? Är det verkligen användbart i ett publikt system?
 
Jönsson skrev:Är det tvåstegsverifiering du är ute efter? Är det verkligen användbart i ett publikt system?Klicka för att utvidga...
Click to expand...
Tvåfaktorautentisering är i sig absolut användbart i publika system. Det svåra är customer service och recovery runt det, om man ska få bra värde ur det...
 
Några exempel:

Gmail har frivillig 2FA. När du loggar in på en ny enhet skickas en extrakod som SMS (finns alternativ)

På Skandiabanken har du en lista med engångskoder som du ska knappa in efter att ha verifierat dig med BankId



I båda fallen finns ett lösenord men det ensamt räcker inte för att logga in.
 
Johan_S skrev:Men man kan hoppas SAS är smartare än så och att begränsningen är någon gammal kvarleva.Klicka för att utvidga...
Click to expand...


Säkert en gammal begränsning av teknisk natur. Första versionerna av Amex inloggning hade max 8 tecken. Jag drog slutsatsen att de hade en gammal version av Oracle som dB i botten eftersom det finns en inbyggd envägshash för att spara lösenord som hade exakt den begränsningen. Meningslöst kort eftersom redan från början var det enkelt att brute force-hacka så korta hashar.
 
You must log in or register to reply here.
Back
Top